Réaliser une authentification sans mot de passe dans Azure AD

Réaliser une authentification sans mot de passe dans Azure AD

L’authentification sans mot de passe réduit le risque de phishing et d’attaques par Brute-force de mots de passe. Les utilisateurs peuvent s’authentifier jusqu’à 3 fois plus vite. Ainsi les services d’assistance devraient recevoir moins de demandes de réinitialisation de mot de passe.

L’authentification sans mot de passe pour Azure AD est désormais disponible dans le monde entier. Vous pouvez déployer trois méthodes d’authentification sans mot de passe différentes pour vos utilisateurs Azure AD :

  • Windows Hello for Business (Platform Authenticator, matériel)
  • Connexion par clé de sécurité avec des clés de sécurité FIDO2 (Roaming Authenticator, matériel)
  • Connexion par téléphone avec l’application Microsoft Authenticator (Roaming Authenticator, logiciel)

Planifiez votre déploiement sans mot de passe

Au début, il peut sembler contre-intuitif de dire aux utilisateurs qu’ils pourront se connecter à leurs ordinateurs et aux services Microsoft 365 sans mot de passe. Rassurez-vous, la norme FIDO2 résiste aux menaces les plus courantes pesant sur les méthodes d’authentification. Pour tâter le terrain, vous devriez inclure l’utilisation de jetons USB dans les projets de validation de concept. Cela permettra de comprendre si l’authentification sans mot de passe est réalisable. Parfois, les entreprises ne peuvent pas utiliser de matériel USB, ou les ports USB doivent être désactivés.

Tout d’abord, vous voudrez avoir une idée de ce à quoi ressemblera votre déploiement à des fins de planification et de mise à l’échelle. Heureusement, Microsoft inclut l’assistant d’authentification sans mot de passe dans le centre d’administration de Microsoft 365. Cela permet d’aider les organisations à déterminer les méthodes d’authentification sans mot de passe les mieux adaptés à leurs besoins :

Par exemple, si vos utilisateurs ont des PC avec du matériel biométrique, ils peuvent utiliser Windows Hello for Business. Ainsi, ils tirent parti des capacités d’authentification unique pour leurs ressources locales et dans le cloud. L’assistant couvre tous les types de vos identités comme :

  • les travailleurs de première ligne qui ont leurs propres appareils
  • les identités qui partagent le même matériel au travail.

Vous pouvez choisir la méthode qui convient le mieux à vos besoins organisationnels. Et vous recevrez également des recommandations sur la façon de lancer avec succès cette fonctionnalité au sein de votre organisation.

Activer l’authentification sans mot de passe pour les identités Azure AD

Vous êtes maintenant prêt à commencer le processus pour les identités Azure AD. Azure AD peut utiliser tous les périphériques FIDO2 certifiés et activer l’authentification sans mot de passe sur tous les services et applications connectés.

Remarque : FIDO2 est rétro compatible avec U2F. Cela signifie qu’en général, un dispositif d’authentification FIDO2 peut également être utilisé comme un dispositif MFA pur. Malheureusement, Microsoft ne propose pas cette option dans Azure. Par ailleurs, l’application Microsoft Authenticator peut effectuer à la fois une authentification MFA et une authentification sans mot de passe.

Lorsque vous déployez l’authentification sans mot de passe, vous devez d’abord activer un ou plusieurs groupes pilotes. Vous pouvez activer FIDO2 pour un seul utilisateur ou un groupe d’utilisateurs. Vous trouverez ci-dessous un exemple de la manière d’activer FIDO2 pour un seul utilisateur :

*D’abord, un administrateur doit activer l’option d’authentification sans mot de passe. Cela peut être fait pour des utilisateurs individuels, un groupe d’utilisateurs ou pour tous les utilisateurs.

Comment activer FIDO2 dans Azure AD

  1. Connectez-vous au centre d’administration d’Azure AD.
  2. Accédez à Azure Active Directory > Security > Authentication methods > Authentication method policy.
  3. Sous la méthode Clé de sécurité FIDO2, choisissez les options suivantes :
    1. Activer – Oui ou Non
    2. Cible – Tous les utilisateurs ou Sélectionner les utilisateurs
  4. Enregistrez la configuration.

Une fois que vos utilisateurs sont activés, ils peuvent configurer leur dispositif FIDO2 en accédant à l’URL https://myprofile.microsoft.com. L’enregistrement du dispositif FIDO2 est simple, et le processus est similaire à la configuration de l’AMF. Si le dispositif FIDO2 dispose d’une sécurité biométrique supplémentaire, celle-ci est également configurée. Si l’appareil ne dispose pas d’une fonction biométrique, un simple geste sur l’appareil FIDO2 prouve la présence humaine.

Remarque : pour le moment, il n’existe aucun moyen de fournir au préalable des clés de sécurité FIDO2 aux utilisateurs.

Comment configurer un dispositif FIDO2

  1. Naviguez jusqu’à https://myprofile.microsoft.com.
  2. Cliquez sur Security Info.
    1. Si l’utilisateur a déjà enregistré une méthode MFA Azure AD, il peut immédiatement enregistrer une clé de sécurité FIDO2.
    2. S’il n’a pas au moins une méthode Azure AD MFA enregistrée, il doit en ajouter une.
  3. Ajoutez une clé de sécurité FIDO2 en cliquant sur Ajouter une méthode et en choisissant Clé de sécurité.
  4. Choisissez le périphérique USB ou le périphérique NFC.
  5. Préparez votre clé et choisissez Suivant.
  6. Une boîte apparaît pour demander à l’utilisateur de créer/saisir un code PIN pour votre clé de sécurité. Puis il doit effectuer le geste requis pour la clé, soit biométrique, soit tactile.
  7. L’utilisateur est renvoyé à l’expérience d’enregistrement combinée. Il est alors invité à fournir un nom significatif pour la clé afin de l’identifier précisément. Cliquez sur Suivant.
  8. Cliquez sur Terminé pour terminer le processus.

Suivi et audit

Maintenant que vos utilisateurs ont terminé avec succès le processus, un administrateur peut vérifier et contrôler toutes les méthodes d’authentification enregistrées de vos utilisateurs dans le centre d’administration Azure AD :

Azure AD comprend des rapports qui fournissent des informations techniques et commerciales solides. Vous devez surveiller vos utilisateurs pilotes pour voir s’ils ont rencontré des problèmes lors de l’inscription ou de l’authentification. Et également déterminez si la connexion fonctionne correctement. La version d’aperçu du rapport d’activité des méthodes d’authentification vous offre un diagramme moderne. Vous pouvez obtenir des aperçus de tous les rapports pertinents. Par exemple, la figure ci-dessous montre la méthode d’authentification utilisée dans mon tenant :

Réaliser une authentification

Les événements d’enregistrement et de réinitialisation vous permettront de vérifier le processus d’enregistrement. Ils vous permettent aussi de voir si l’enregistrement d’une clé de sécurité FIDO2 a réussi ou non :

Réaliser une authentification

Gérer les méthodes à l’aide de PowerShell

Le Microsoft Graph PowerShell SDK comprend des cmdlets qui permettent aux administrateurs de gérer les méthodes d’authentification des utilisateurs. Actuellement, vous pouvez obtenir et supprimer les méthodes d’authentification FIDO2 pour les utilisateurs :

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes UserAuthenticationMethod.ReadWrite.All
Select-MgProfile -Name beta
 
Get-MgUserAuthenticationFido2Method -UserId Dominik.Hoefling@m365x209913.onmicrosoft.com | fl
AaGuid                  : 77010bd7-212a-4fc9-b236-d2ca5e9d4084
AttestationCertificates : {4d17fccb09836c8442794e85771caaf49862dac9, e11af8f76545301721b806b0f4884a85d28e5172}
AttestationLevel        : attested
CreatedDateTime         : 4/18/2021 5:11:03 PM
CreationDateTime        : 4/18/2021 5:11:03 PM
DisplayName             : Feitan BioPass
Id                      : dwRxJLz4y5mmHEXuZ4zyOh_Bra2Yx0XPWWOc83NZWP81
Model                   : Feitian BioPass FIDO2 authenticator
AdditionalProperties    : {}

En outre, vous pouvez également utiliser Microsoft Graph pour gérer les méthodes d’authentification des utilisateurs.

Traitement des authentificateurs FIDO2 perdus ou volés

Les dispositifs FIDO2 perdus ou volés sont en principe protégés contre toute utilisation non autorisée. Selon le dispositif, la protection comporte soit :

  • un code PIN à 6 chiffres (obligatoire pour Azure AD),
  • une fonction biométrique.

Par ailleurs, ce paramètre peut se définir individuellement pour chaque Relying Party. Les différents fournisseurs peuvent donc le gérer différemment. L’appareil doit être signalé comme perdu ou volé dès que possible afin que l’administrateur puisse le supprimer d’Azure AD.

Le W3C recommande d’enregistrer un authentificateur de secours pour chaque service ou application. Cela entraîne des coûts supplémentaires et nécessite un réenregistrement auprès du service. Si de nombreux services sont utilisés, le réenregistrement peut prendre beaucoup de temps. Toutefois, une extension de l’API WebAuth décrit un nouveau prototype d’approche de la récupération des comptes. Essentiellement, l’approche consiste à appliquer un schéma d’accord de clé. Cela permet à un authentificateur principal et de secours de se mettre d’accord sur une paire de clés EC commune. Seul l’authentificateur de secours peut dériver les clés privées. Et aucun enregistrement supplémentaire auprès de l’authentificateur de secours ne doit être effectué. L’authentificateur de secours doit toujours se trouver dans un endroit sûr.

Aperçu : Pass temporaire

L’une des questions les plus fréquemment posées à ce sujet est la suivante :

« comment les organisations peuvent-elles être véritablement sans mot de passe et intégrer de nouveaux utilisateurs ? »

Le Pass d’accès temporaire permet aux utilisateurs d’enregistrer une méthode d’authentification sans mot de passe. Ils récupèrent l’accès à leur compte sans mot de passe en s’authentifiant d’abord avec un code d’accès temporaire. Au lieu de donner un mot de passe temporaire à vos utilisateurs, le passcode sert de mot de passe temporaire :

Réaliser une authentification

Une fois qu’un utilisateur dispose d’un code d’accès valide, il peut l’utiliser pour se connecter et enregistrer un dispositif FIDO2 à partir de la page « Mes informations de sécurité ». Ou bien il peut s’inscrire pour une authentification sans mot de passe à partir de l’application Authenticator.

Conclusion

L’utilisation de mots de passe pour l’authentification aux services est une méthode courante et établie depuis des décennies. Les utilisateurs ont tendance à utiliser des mots de passe simples et faciles à mémoriser. Ils reprennent souvent des mots de l’environnement d’autres personnes ou recourent à des dictionnaires. L’utilisation de brute-force de mots de passe n’a que peu d’impact sur la sécurité des mots de passe. En effet la cause la plus courante de vol de mots de passe est l’hameçonnage.

La norme FIDO2 de l’Alliance FIDO et du W3C est intéressante pour de nombreuses raisons. La plus importante étant qu’elle augmente considérablement la sécurité de l’authentification aux services. Aussi elle la rend aussi pratique que possible pour les utilisateurs. La gestion automatisée des clés par l’Authenticator élimine le besoin d’une administration fastidieuse qui peut devenir coûteuse pour les organisations. En outre, des recherches ont montré que la norme FIDO2 résiste aux menaces les plus courantes. Cela dit, les méthodes d’authentification traditionnelles – en premier lieu le mot de passe – resteront très probablement en place pendant longtemps.

Comment FIDO rend possible l’authentification sans mot de passe ?

Comment FIDO rend possible l’authentification sans mot de passe

Retour en haut