Déploiement d’authentification sans mot de passe résistant à l’hameçonnage dans Microsoft Entra ID
Les mots de passe sont le vecteur d’attaque principal pour les adversaires modernes et une source de friction pour les utilisateurs et les administrateurs. Dans le cadre d’une stratégie globale de sécurité Confiance Zéro, Microsoft recommande de passer à l’authentification sans mot de passe résistante à l’hameçonnage dans votre solution d’authentification. Ce guide vous aide à sélectionner, préparer et déployer les identifiants sans mot de passe résistants à l’hameçonnage appropriés pour votre organisation. Utilisez ce guide pour planifier et exécuter votre projet sans mot de passe résistant à l’hameçonnage.
Des fonctionnalités telles que l’authentification multifacteur (MFA) sont un excellent moyen de sécuriser votre organisation. Cependant, certains utilisateurs peuvent être frustrés face à la couche de sécurité supplémentaire, qui vient s’ajouter à la mémorisation de leurs mots de passe. Les méthodes d’authentification sans mot de passe résistantes à l’hameçonnage sont plus pratiques. Par exemple, une analyse des comptes de consommateurs Microsoft montre que la connexion avec un mot de passe peut prendre jusqu’à 9 secondes en moyenne, mais les clés d’accès ne prennent que 3 secondes dans la plupart des cas. La vitesse et la facilité de connexion à la clé sont encore plus importantes par rapport au mot de passe traditionnel et à la connexion MFA. Les utilisateurs de mot de passe n’ont pas besoin de mémoriser leur mot de passe ou d’attendre autour des SMS.
Remarque
Ces données sont basées sur l’analyse des connexions de compte consommateur Microsoft.
Les méthodes sans mot de passe résistantes à l’hameçonnage disposent également d’une sécurité supplémentaire. Ils comptent automatiquement en tant qu’authentification multifacteur en utilisant quelque chose que l’utilisateur possède (un appareil physique ou une clé de sécurité) et quelque chose que l’utilisateur sait ou est, comme une biométrie ou un PIN. Et contrairement à l’authentification multifacteur traditionnelle, les méthodes sans mot de passe résistantes à l’hameçonnage détournent les attaques d'hameçonnage contre vos utilisateurs en utilisant des identifiants sauvegardés par le matériel qui ne peuvent pas être facilement compromis.
Microsoft Entra ID offre les options d’authentification sans mot de passe résistantes à l’hameçonnage suivantes :
- Clés d'accès (FIDO2)
- Windows Hello Entreprise
- Identifiant de la plateforme pour macOS (préversion)
- Activer les clés d’accès dans Microsoft Authenticator (préversion)
- Clés de sécurité FIDO2
- Autres clés d'accès et fournisseurs, tels que le trousseau iCloud, sur la feuille de route
- Cartes intelligentes et authentification basée sur les certificats
Prérequis
Avant de commencer votre projet de déploiement sans mot de passe résistant à l’hameçonnage Microsoft Entra, remplissez les conditions préalables suivantes :
- Examiner les conditions requises pour les licences
- Passez en revue les rôles nécessaires pour effectuer des actions privilégiées
- Identifier les équipes des parties prenantes qui doivent collaborer
Conditions de licence
L’inscription et la connexion sans mot de passe avec Microsoft Entra ne nécessitent pas de licence, mais nous vous recommandons au moins une licence Microsoft Entra ID P1 pour l’ensemble complet de fonctionnalités associées à un déploiement sans mot de passe. Par exemple, une licence Microsoft Entra ID P1 vous permet d’appliquer la connexion sans mot de passe via l’accès conditionnel et de suivre le déploiement avec un rapport d’activité de méthode d’authentification. Reportez-vous aux instructions relatives aux exigences de licence pour les fonctionnalités référencées dans ce guide pour connaître les exigences de licence spécifiques.
Intégrer des applications à Microsoft Entra ID
Microsoft Entra ID est un service IAM (Identity and Access Management) basé sur le cloud qui s’intègre à de nombreux types d’applications, notamment les applications SaaS (Software-as-a-Service), les applications métier (LOB), les applications sur site, etc. Vous devez intégrer vos applications à Microsoft Entra ID pour tirer le meilleur parti de votre investissement dans l’authentification sans mot de passe et résistant à l’hameçonnage. Lorsque vous intégrez davantage d’applications à Microsoft Entra ID, vous pouvez protéger davantage votre environnement avec des stratégies d’accès conditionnel qui appliquent l’utilisation de méthodes d’authentification résistantes à l’hameçonnage. Pour en savoir plus sur l’intégration d’applications à Microsoft Entra ID, consultez Cinq étapes pour intégrer vos applications à Microsoft Entra ID.
Lorsque vous développez vos propres applications, suivez les instructions du développeur pour prendre en charge l’authentification sans mot de passe et résistante à l’hameçonnage. Pour plus d’informations, consultez Prendre en charge l’authentification sans mot de passe avec des clés FIDO2 dans les applications que vous développez.
Rôles nécessaires
Le tableau suivant répertorie les exigences de rôle privilégié minimum pour le déploiement sans mot de passe résistant à l’hameçonnage. Nous vous recommandons d’activer l’authentification sans mot de passe résistant à l’hameçonnage pour tous les comptes privilégiés.
| Rôle Microsoft Entra | Description |
|---|---|
| Administrateur d’utilisateurs | Pour implémenter une expérience d’inscription combinée |
| Administrateur d’authentification | Pour implémenter et gérer les méthodes d’authentification |
| Administrateur de la stratégie d’authentification | Pour implémenter et gérer la stratégie des méthodes d’authentification |
| Utilisateur | Pour configurer l’application Authenticator sur un appareil ou inscrire une clé de sécurité basée sur un appareil pour une connexion web ou Windows 10/11 |
Équipes des parties prenantes du client
Pour garantir la réussite, assurez-vous que vous collaborez avec les bonnes parties prenantes et qu’elles comprennent leurs rôles avant de commencer votre planification et votre déploiement. Le tableau suivant répertorie les équipes des parties prenantes couramment recommandées.
| Équipe des parties prenantes | Description |
|---|---|
| Gestion des identités et des accès (IAM) | Gère les opérations quotidiennes du système IAM |
| Architecture de sécurité des informations | Planifie et conçoit les pratiques de sécurité de l’information de l’organisation |
| Opérations de sécurité de l’information | Exécute et supervise les pratiques de sécurité de l’information pour l’architecture de sécurité de l’information |
| Assurance et audit de sécurité | Permet de s’assurer que les processus informatiques sont sécurisés et conformes. Ils effectuent des audits réguliers, évaluent les risques et recommandent des mesures de sécurité pour atténuer les vulnérabilités identifiées et améliorer l’état global de la sécurité. |
| Support du service d’assistance | Aide les utilisateurs finaux qui rencontrent des problèmes pendant les déploiements de nouvelles technologies et stratégies, ou lorsque des problèmes se produisent |
| Communications pour les utilisateurs finaux | Modifications apportées aux messages aux utilisateurs finaux en vue de faciliter le déploiement des technologies orientées utilisateur |