Comment ne pas imposer l'authentification multifacteur au bureau

Situation

L’authentification multifacteur est activée pour les utilisateurs chez votre client, mais maintenant on vous pose la question suivante :

Est-ce qu’il n’y a pas un moyen que les utilisateurs ne soient pas obligés d’entrer les multiples données d’identification qui sont exigées à chaque fois qu’ils veulent accéder aux applications cloud de Microsoft?

Vous pouvez leur répondre que oui il y a un moyen de résoudre cette situation. La solution est d’utiliser les stratégies d’accès conditionnels.

Contexte

De nos jours les utilisateurs se font bombarder par toutes sortes de demandes qui essaient de leur faire croire qu’ils doivent dévoiler leur nom d’utilisateur et leur mot de passe pour avoir accès à du contenu qui est non légitime. Ces demandes ont un seul but, que l’utilisateur tombe dans le panneau et donne les informations demandées.

Sachant que le compte de l’utilisateur est la porte d’entrée vers les données de l’organisation, il en va de soi que d’activer l’authentification multifacteur pour réduire la possibilité que les comptes soient compromis est une bonne décision.

“Grâce à l’authentification multifacteur (MFA) renforcée dans Azure Active Directory (Azure AD), protégez votre organisation contre les violations liées à la perte ou au vol d’informations d’identification.”¹

Solution

Il est par contre possible de créer une exception à l’exigence de l’authentification multifacteur pour des utilisateurs lorsqu’ils s’authentifient, en se servant de “L’utilisation de la condition d’emplacement dans une stratégie d’accès conditionnel”² disponible dans Azure Active Directory maintenant appelée Microsoft Entra ID³.

Pour en arriver à combler le besoin du client, il suffit, dans la stratégie d’accès conditionnel additionnelle, de cibler les utilisateurs en question et de ne pas leur exiger d’utiliser l’authentification multifacteur quand ils s’authentifient à partir d’un emplacement nommé.

Un emplacement nommé peut se définir comme suit dans les scénarios suivants:

• Les utilisateurs s’authentifient aux applications cloud de Microsoft à partir de postes de travail de l’organisation qui sont dans les bureaux de l’organisation. Ces postes de travail sont réputés comme étant sécures
• Les utilisateurs s’authentifient aux applications cloud de Microsoft à partir d’un réseau sans-fil non public, tel qu’à la maison, avec des portables de l’organisation. Ces portables sont réputés comme étant sécures
• Un pays à partir duquel les demandes d’authentification sont acceptées

Voici les conditions nécessaires pour être en mesure de réaliser la solution proposée :

• Les paramètres de sécurité par défaut ne sont pas activés⁴
• L’authentification multifacteur n’est pas activée utilisateur par utilisateur⁵
• L’authentification multifacteur pour les utilisateurs est activée en utilisant une stratégie d’accès conditionnel
• Un ou des emplacements nommés ont été définis
• Une stratégie d’accès conditionnel additionnelle ciblant les utilisateurs en question en leur imposant l’authentification multifacteur sauf pour le(s) emplacement(s) nommé(s) a été créée
• La stratégie d’accès conditionnel existante qui impose l’authentification multifacteur aux utilisateurs a été modifiée pour venir exclure les utilisateurs qui sont ciblés par la stratégie d’accès conditionnel additionnelle

Application

Accéder au Centre d’administration Microsoft 365 du locataire du client.
Par la suite, accéder au Centre d’administration Identité