Pour gérer vos consentements :
Categories: CloudCybersécurité

MFA obligatoire sur Azure : ce que prépare Microsoft

Qu’en est-il des comptes de service ? des utilisateurs invités ? de ceux qui n’ont pas de smartphone ?… Autant de questions adressées à Microsoft la semaine dernière après qu’il eut annoncé son intention d’« exiger le MFA pour tous les utilisateurs d’Azure ».

Le groupe américain expliquait qu’il allait amorcer, en juillet 2024, un déploiement « progressif et méthodique pour [en] minimiser l’impact ». Il ne disait pas grand-chose de plus, sinon que des communications par e-mail et sur le portail Azure suivraient.

Face aux interrogations des admins, un responsable produit a fini par clarifier la situation. Dans les grandes lignes :

Concernés : les utilisateurs qui se connectent au portail et au CLI Azure, à PowerShell ou à Terraform pour administrer des ressources Azure.

Non concernés : les principaux de service, les identités managées, les identités de workloads et plus globalement les comptes « basés sur des tokens et utilisés pour l’automatisation ».

En cours d’évaluation : les comptes de secours (dits break-glass) et autres « processus spéciaux de récupération ». Idem pour le mécanisme d’exception que Microsoft entend proposer « dans les cas où aucune méthode de contournement n’est disponible ».

Le déploiement commencera bien en juillet, mais uniquement pour le portail Azure. Il s’étendra ensuite – toujours de manière progressive – au CLI, à PowerShell et à Terraform.

Pas de surcoût pour le MFA… basique

La version gratuite d’Entra ID, incluse avec tout abonnement Azure, donne accès à du MFA basique. Cela requiert d’activer les paramètres de sécurité par défaut. À ce niveau de service, pas de possibilité d’exclure des utilisateurs ou des scénarios. On ne peut par ailleurs utiliser, comme facteur d’authentfication, que l’application Microsoft Authenticator. Sauf pour le rôle d’administrateur général : celui-ci peut aussi recevoir un texto (et peut accéder au MFA sans activer les paramètres de sécurité par défaut).

L’accès conditionnel est une fonctionnalité premium, intégrée à partir d’Entra ID P1 (intégré à certains produits, dont EMS E3, Microsoft 365 E3 et Microsoft 365 Business Premium). Le forfait P2 y ajoute notamment une analyse de risque. On le retrouve dans les licences EMS E5 et Microsoft 365 E5.

À consulter en complément :

Quand le MFA fait le jeu des cyberattaquants
Pour un MFA conforme au RGPD : ce que recommande la CNIL
Les axes d’amélioration des solutions MFA et SSO
La synchronisation cloud des codes MFA pointée du doigt

Illustration © Eugene Sergeev – Shutterstock

Recent Posts

IA et communs numériques : 7 projets français à suivre

L'appel à projets « Communs numériques pour l'intelligence artificielle générative » a ses premiers lauréats.…

1 jour ago

Snowflake et Databricks rivalisent aussi sur l’open source

Snowflake et Databricks viennent d'officialiser l'un et l'autre une démarche de mise en open source…

1 jour ago

Recall : le rendez-vous raté de Microsoft sur les PC Copilot+

Fonctionnalité phare des PC Copilot+, Recall ne sera finalement pas disponible à leur lancement.

1 jour ago

Conformité RGPD : l’autoévaluation BCR en 50 questions

La CNIL a produit un outil d'évaluation de maturité pour les projets de BCR. On…

2 jours ago

Comment Accor a basculé son système de réservation sur AWS

La plateforme de réservation du groupe Accor, TARS, est exploitée sur AWS.depuis fin 2023. Une…

2 jours ago

VMware by Broadcom : les frais de fonctionnement réduits, les revenus aussi

Sous l'ère Broadcom, VMware coûte moins... et rapporte moins. Coup d'œil sur sa contribution actuelle…

2 jours ago