Fonction de passe d'accès temporaire (TAP) activée

Le passe d'accès temporaire (TAP) sert de méthode d'authentification temporaire, offrant une alternative à l'authentification standard de Microsoft Entra comme un mot de passe et l'authentification MFA. Destiné à des situations telles que l'intégration d'employés, la perte de mot de passe et les réinitialisations du support technique, ou servant d'amorçage pour l'implémentation d'autres méthodes d'authentification comme l'authentification sans mot de passe (par exemple, Microsoft Authenticator, Windows Hello Entreprise ou la clé de sécurité FIDO2), le TAP introduit un mot de passe limité dans le temps ou à usage unique. Les utilisateurs peuvent utiliser ce mot de passe tout au long de la durée de vie du TAP, en fonction de la stratégie de TAP configurée et définie dans la console « Méthodes d'authentification » (via le portail Azure ou le centre d'administration Microsoft Entra). Cette stratégie peut s'appliquer de manière générale à tous les utilisateurs ou de manière sélective à des groupes spécifiques. Une fois la stratégie activée, les utilisateurs privilégiés ayant l'autorisation requise peuvent générer un TAP dans la console « Méthodes d'authentification ». Les principales considérations à prendre en compte sont les suivantes :

• Le TAP contourne l'authentification MFA, car il s'agit d'une méthode d'authentification robuste.
• Le TAP pose un risque de sécurité potentiel si un acteur malveillant disposant de privilèges élevés l'exploite. En effet, un attaquant pourrait accéder à un compte sans connaître le mot de passe et sans le réinitialiser, ce qui le rend plus discret. Notez qu'un TAP ne remplace pas le mot de passe d'un utilisateur. Ainsi, les utilisateurs ciblés peuvent toujours se connecter à l'aide de leur mot de passe habituel ou d'un autre moyen d'authentification, malgré la mise en place d'une porte dérobée de type TAP.

Si votre organisation utilise des TAP, assurez-vous qu'ils servent exclusivement à intégrer de nouveaux employés ou de nouveaux appareils. Par conséquent, les connexions via TAP ne doivent se faire qu'occasionnellement et sous étroite surveillance.

Cette fonctionnalité légitime peut être activée intentionnellement et elle est actuellement active au sein du tenant. Dans de tels cas, vous pouvez ajouter le tenant en tant qu'exception dans les options, tout en gardant à l'esprit la surface d'attaque étendue. Inversement, si la fonctionnalité n'est pas utilisée, il est recommandé de la désactiver afin de réduire la surface d'attaque potentielle.

Vous pouvez utiliser cette fonctionnalité pour démarrer les méthodes d'authentification sans mot de passe, comme le recommande Microsoft. Si votre organisation l'utilise à cette fin, vous devez ajouter votre ID de tenant à la liste d'exclusion de cet indicateur d'exposition. Pour atténuer davantage la surface d'attaque, envisagez de réduire le nombre d'utilisateurs ou de groupes éligibles à la génération de passes d'accès temporaire en modifiant le paramètre par défaut « Tous les utilisateurs » pour adopter un sous-ensemble plus restreint.

Cependant, si votre organisation n'utilise pas de TAP actuellement, il est plus sûr de désactiver cette fonction à l'aide de la procédure suivante :

• Connectez-vous au « centre d'administration Microsoft Entra ».
• Accédez à « Protection » > « Méthodes d'authentification » > « Stratégies ».
• Dans la liste des méthodes d'authentification disponibles, sélectionnez « Passe d'accès temporaire ».
• Faites basculer le curseur « Activer » sur « Désactivé » pour désactiver la fonctionnalité.

Nom: Fonction de passe d'accès temporaire (TAP) activée

Nom de code: TEMPORARY-ACCESS-PASS-FEATURE-ENABLED

Sévérité: Low

Type: Microsoft Entra ID Indicator of Exposure