Authentification MFA manquante pour un compte non privilégié

MEDIUM

Description

Cet IoE ne peut pas fonctionner sans une licence Microsoft Entra ID P1 ou P2 en raison de restrictions de disponibilité des données imposées par Microsoft. Par conséquent, il ne retournera aucun résultat sur les tenants Entra ID Free.

L'authentification multifacteur (MFA), anciennement appelée authentification à deux facteurs (2FA), protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'activer l'authentification MFA, même pour les comptes non privilégiés. Lorsqu'un attaquant obtient le mot de passe d'un utilisateur par une méthode quelconque, l'authentification MFA bloque l'authentification en demandant un facteur supplémentaire tel qu'un code valide temporairement provenant d'une application mobile, un jeton physique, une caractéristique biométrique, etc.

Cet indicateur d'exposition signale les comptes qui ne disposent pas de méthode MFA enregistrée et vous informe si vous forcez l'authentification MFA sans avoir enregistré de méthode. En effet, ce cas de figure peut permettre à des attaquants disposant d'un mot de passe d'enregistrer leurs propres méthodes MFA et de créer un risque de sécurité. Cependant, cet indicateur d'exposition n'indique pas si Microsoft Entra ID force ou non l'authentification MFA, car les stratégies d'accès conditionnel peuvent exiger l’authentification MFA en fonction de critères dynamiques.

Vous pouvez également utiliser les fonctions « Activité des méthodes d'authentification » et « Rapports MFA » dans Entra ID.

Voir aussi l'IOE connexe, « Authentification MFA manquante pour un compte privilégié », pour les comptes privilégiés.

Les utilisateurs désactivés sont ignorés dans la mesure où ils ne peuvent pas être exploités immédiatement par des attaquants, mais aussi en raison d'une limitation de l'API Microsoft Graph qui signale un statut MFA incorrect pour les utilisateurs désactivés.

Solution

Tous les utilisateurs signalés, même ceux sans privilèges, doivent enregistrer des méthodes MFA et l'authentification MFA doit leur être appliquée, afin de renforcer leur protection contre les attaques de mot de passe.

Pour Microsoft Entra ID, Microsoft offre un modèle de stratégie d'accès conditionnel appelé Require MFA for all users. La stratégie demande aux utilisateurs d'enregistrer une méthode d'authentification MFA la première fois qu'ils s'authentifient après l'application forcée de l'authentification MFA. Nous vous recommandons de suivre les instructions de la section « Planifier un déploiement d’accès conditionnel » dans la documentation Microsoft. En particulier, si vous utilisez des solutions d'identité hybrides telles que Microsoft Entra Connect ou Microsoft Entra Cloud Sync, vous devez exclure leur compte de service de la stratégie, car il ne respecte pas la stratégie d'accès conditionnel. Utilisez l'action « Exclure les utilisateurs » et excluez directement le ou les comptes de service, ou cochez l'option « Rôles d'annuaire » et sélectionnez le rôle « Comptes de synchronisation d'annuaires ».

Vous trouverez davantage d'informations sur l'authentification multifacteur de Microsoft Entra dans cette section de la documentation Microsoft Entra sur l'authentification (consultez également les pages connexes).

Détails de l'indicateur

Nom: Authentification MFA manquante pour un compte non privilégié

Nom de code: MISSING-MFA-FOR-NON-PRIVILEGED-ACCOUNT

Sévérité: Medium

Type: Microsoft Entra ID Indicator of Exposure

Informations MITRE ATT&CK: