MFA obligatoire sur Azure : ce que prépare Microsoft

Clément Bohic,
Linkedin
Okta bataille com cybercriminels

À partir de juillet 2024, Microsoft imposera progressivement le MFA pour certains utilisateurs d’Azure. Aperçu de la feuille de route.

Qu’en est-il des comptes de service ? des utilisateurs invités ? de ceux qui n’ont pas de smartphone ?… Autant de questions adressées à Microsoft la semaine dernière après qu’il eut annoncé son intention d’« exiger le MFA pour tous les utilisateurs d’Azure ».

Le groupe américain expliquait qu’il allait amorcer, en juillet 2024, un déploiement « progressif et méthodique pour [en] minimiser l’impact ». Il ne disait pas grand-chose de plus, sinon que des communications par e-mail et sur le portail Azure suivraient.

Face aux interrogations des admins, un responsable produit a fini par clarifier la situation. Dans les grandes lignes :

Concernés : les utilisateurs qui se connectent au portail et au CLI Azure, à PowerShell ou à Terraform pour administrer des ressources Azure.

Non concernés : les principaux de service, les identités managées, les identités de workloads et plus globalement les comptes « basés sur des tokens et utilisés pour l’automatisation ».

En cours d’évaluation : les comptes de secours (dits break-glass) et autres « processus spéciaux de récupération ». Idem pour le mécanisme d’exception que Microsoft entend proposer « dans les cas où aucune méthode de contournement n’est disponible ».

Le déploiement commencera bien en juillet, mais uniquement pour le portail Azure. Il s’étendra ensuite – toujours de manière progressive – au CLI, à PowerShell et à Terraform.

Pas de surcoût pour le MFA… basique

La version gratuite d’Entra ID, incluse avec tout abonnement Azure, donne accès à du MFA basique. Cela requiert d’activer les paramètres de sécurité par défaut. À ce niveau de service, pas de possibilité d’exclure des utilisateurs ou des scénarios. On ne peut par ailleurs utiliser, comme facteur d’authentfication, que l’application Microsoft Authenticator. Sauf pour le rôle d’administrateur général : celui-ci peut aussi recevoir un texto (et peut accéder au MFA sans activer les paramètres de sécurité par défaut).

L’accès conditionnel est une fonctionnalité premium, intégrée à partir d’Entra ID P1 (intégré à certains produits, dont EMS E3, Microsoft 365 E3 et Microsoft 365 Business Premium). Le forfait P2 y ajoute notamment une analyse de risque. On le retrouve dans les licences EMS E5 et Microsoft 365 E5.

À consulter en complément :

Quand le MFA fait le jeu des cyberattaquants
Pour un MFA conforme au RGPD : ce que recommande la CNIL
Les axes d’amélioration des solutions MFA et SSO
La synchronisation cloud des codes MFA pointée du doigt

Illustration © Eugene Sergeev – Shutterstock