Bloquer l’authentification héritée avec l’accès conditionnel Microsoft Entra

Pour permettre à vos utilisateurs d’accéder facilement à vos applications cloud, Microsoft Entra ID prend en charge un large éventail de protocoles d’authentification, dont l’authentification héritée. Toutefois, l’authentification héritée ne prend pas en charge des éléments tels que l’authentification multifacteur. L’authentification multifacteur est une exigence courante pour améliorer la sécurité des organisations.

Selon l’analyse de Microsoft, plus de 97 % des attaques par bourrage d’informations d’identification utilisent l’authentification héritée, tandis que plus de 99 % des attaques par pulvérisation de mots de passe utilisent des protocoles d’authentification héritée. Ces attaques cesseraient si l’authentification de base était désactivée ou bloquée.

Remarque

À compter du 1er octobre 2022, nous commençons la désactivation définitive de l’authentification de base pour Exchange Online dans tous les locataires Microsoft 365, indépendamment de l’utilisation, sauf pour l’authentification SMTP. Pour plus d’informations, consultez l’articleMise hors service de l’authentification de base dans Exchange Online.

Alex Weinert, directeur de la sécurité des identités chez Microsoft, dans son billet de blog du 12 mars 2020, Nouveaux outils pour bloquer l’authentification héritée dans votre organisation, met l’accent sur la raison pour laquelle les organisations doivent bloquer l’authentification héritée et sur les autres outils que Microsoft fournit pour accomplir cette tâche :

Cet article explique comment configurer des stratégies d’accès conditionnel afin de bloquer l’authentification héritée pour l’ensemble des charges de travail au sein de votre locataire.

Lors du déploiement de la protection de blocage des authentifications héritées, nous vous recommandons une approche progressive, plutôt que de désactiver la fonctionnalité pour tous les utilisateurs simultanément. Les clients peuvent commencer par désactiver l’authentification de base pour chaque protocole en appliquant des stratégies d’authentification Exchange Online, puis en bloquant également l’authentification héritée (facultatif) par le biais de stratégies d’accès conditionnel quand elles sont prêtes.

Les clients sans licence incluant l’accès conditionnel peuvent utiliser les paramètres de sécurité par défaut pour bloquer l’authentification héritée.

Prérequis

Cet article présume que vous connaissez bien les concepts de base de l’accès conditionnel Microsoft Entra.

Remarque

Des stratégies d'accès conditionnel sont appliquées au terme de l'authentification premier facteur. L'accès conditionnel n'est pas destiné à être la première ligne de défense d'une organisation pour des scénarios comme les attaques par déni de service (DoS), mais il peut utiliser les signaux de ces événements pour déterminer l'accès.

Description du scénario

Microsoft Entra ID prend en charge les protocoles d’authentification et d’autorisation les plus couramment utilisés, y compris l’authentification héritée. L’authentification héritée ne peut pas inviter les utilisateurs à fournir une authentification de second facteur ou d’autres exigences d’authentification nécessaires pour répondre directement aux stratégies d’accès conditionnel. Ce modèle d’authentification inclut l’authentification de base, une méthode standard largement utilisée pour collecter les informations de nom d’utilisateur et de mot de passe. Voici des exemples d’applications qui utilisent fréquemment ou uniquement l’authentification héritée :

  • Microsoft Office 2013 ou version antérieure.
  • Les applications utilisant des protocoles de messagerie comme POP, IMAP et SMTP AUTH.

Pour plus d’informations sur la prise en charge de l’authentification moderne dans Office, consultez Fonctionnement de l’authentification moderne pour les applications clientes Office.

L’authentification à un seul facteur (par exemple le nom d’utilisateur et le mot de passe) ne suffit pas de nos jours. Les mots de passe sont insuffisants, car ils sont faciles à deviner et nous (les humains) ne savons pas choisir de bons mots de passe. Les mots de passe sont également vulnérables à diverses attaques comme le hameçonnage et la pulvérisation de mots de passe. L’un des moyens les plus simples pour vous protéger contre les menaces liées aux mots de passe consiste à implémenter l’authentification multifacteur (MFA). Avec l’authentification multifacteur, même si une personne malveillante obtient le mot de passe d’un utilisateur, ce seul mot de passe n’est pas suffisant pour s’authentifier et accéder aux données.

Comment pouvez-vous empêcher les applications utilisant l’authentification héritée d’accéder aux ressources de votre locataire ? Il est recommandé de les bloquer à l’aide d’une stratégie d’accès conditionnel, tout simplement. Si nécessaire, vous pouvez autoriser uniquement certains utilisateurs et des emplacements réseau spécifiques à utiliser les applications s’appuyant sur l’authentification héritée.

Implémentation

Cette section explique comment configurer une stratégie d’accès conditionnel afin de bloquer l’authentification héritée.

Protocoles de messagerie qui prennent en charge l’authentification héritée

Les protocoles de messagerie suivants prennent en charge l’authentification héritée :

  • SMTP authentifié : utilisé pour envoyer des e-mails authentifiés.
  • Découverte automatique : utilisé par les clients Outlook et EAS pour rechercher des boîtes aux lettres dans Exchange Online et s’y connecter.
  • Exchange ActiveSync (EAS) : utilisé pour la connexion aux boîtes aux lettres dans Exchange Online.
  • Exchange Online PowerShell : utilisé pour se connecter à Exchange Online à l’aide de PowerShell à distance. Si vous bloquez l’authentification de base pour Exchange Online PowerShell, vous devez utiliser le module Exchange Online PowerShell pour vous connecter. Pour obtenir des instructions, consultez Se connecter à Exchange Online PowerShell à l’aide de l’authentification multifacteur.
  • Exchange Web Services (EWS) : interface de programmation utilisée par Outlook, Outlook pour Mac et des applications tierces.
  • IMAP4 : utilisé par les clients de messagerie IMAP.
  • MAPI sur HTTP (MAPI/HTTP) : protocole principal d’accès aux boîtes aux lettres Outlook 2010 SP2 et versions ultérieures.
  • Carnet d’adresses hors connexion (OAB) : copie des collections de listes d’adresses qui sont téléchargées et utilisées par Outlook.
  • Outlook Anywhere (RPC sur HTTP) : protocole hérité d’accès aux boîtes aux lettres pris en charge par toutes les versions de Outlook actuelles.
  • POP3 : utilisé par les clients de messagerie POP.
  • Reporting Web Services : utilisé pour récupérer des données de rapports dans Exchange Online.
  • Outlook Universel : utilisé par l’application Courrier et Calendrier pour Windows 10.
  • Autres clients : autres protocoles identifiés comme utilisant l’authentification héritée.

Pour plus d’informations sur ces protocoles et services d’authentification, consultez Détails de l’activité du journal de connexion.

Identifier l’utilisation de l’authentification héritée

Avant de pouvoir bloquer l’authentification héritée dans votre annuaire, vous devez savoir si vos utilisateurs disposent d’applications clientes qui utilisent ce type d’authentification.

Indicateurs des journaux de connexion

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
  2. Accédez à Identité>Surveillance et intégrité>Journaux d’activité de connexion.
  3. Si elle n’est pas affichée, ajoutez la colonne Application cliente en cliquant sur Colonnes>Application cliente.
  4. Sélectionnez Ajouter des filtres>Application cliente>, choisissez tous les protocoles d’authentification hérités, puis sélectionnez Appliquer.
  5. Si vous avez activé les rapports d’activité de nouvelle connexion (préversion), répétez les étapes ci-dessus sous l’onglet Connexions utilisateur (non interactives).

Grâce au filtrage, vous affichez uniquement les tentatives de connexion effectuées via des protocoles d’authentification hérité. Cliquez sur chaque tentative de connexion pour afficher des détails supplémentaires. Le champ Application cliente affiché sous l’onglet Informations de base indique quel protocole d’authentification héritée a été utilisé.

Ces journaux indiquent où les utilisateurs utilisent des clients qui dépendent toujours de l’authentification héritée. Implémentez une stratégie d’accès conditionnel réservée aux utilisateurs non affichés dans ces journaux et dont vous êtes certain qu’ils n’utilisent pas l’authentification héritée.

En outre, pour faciliter le triage de l’authentification héritée au sein de votre locataire, utilisez les connexions à l’aide du classeur d’authentification hérité.

Indicateurs du client

Pour déterminer si un client utilise l’authentification héritée ou moderne en fonction de la boîte de dialogue présentée lors de la connexion, consultez l’article Dépréciation de l’authentification de base dans Exchange Online.

Considérations importantes

De nombreux clients qui prenaient auparavant uniquement en charge l’authentification héritée prennent à présent en charge l’authentification moderne. Les clients qui prennent en charge l’authentification héritée et moderne peuvent nécessiter une mise à jour de configuration pour passer de l’authentification héritée à l’authentification moderne. Si vous voyez mobile moderne, client de bureau ou navigateur pour un client dans les journaux de connexion, cela indique une authentification moderne. Si vous voyez un nom de client ou de protocole spécifique, comme Exchange ActiveSync, l’authentification traditionnelle est utilisée. Les types de clients dans l’accès conditionnel, les journaux de connexion et le classeur d’authentification héritée font la distinction entre les clients d’authentification modernes et hérités.

  • Les clients qui prennent en charge l’authentification moderne, mais qui ne sont pas configurés pour utiliser l’authentification moderne, doivent être mis à jour ou reconfigurés pour utiliser l’authentification moderne.
  • Tous les clients qui ne prennent pas en charge l’authentification moderne doivent être remplacés.

Important

Exchange Active Sync avec l’authentification par certificat (CBA)

Lors de l’implémentation d’Exchange Active Sync (EAS) avec l’authentification par certificat, configurez les clients pour qu’ils utilisent l’authentification moderne. Les clients qui n’utilisent pas l’authentification moderne pour EAS avec l’authentification par certificat ne sont pas bloqués avec la dépréciation de l’authentification de base dans Exchange Online. Toutefois, ces clients sont bloqués par des stratégies d’accès conditionnel configurées pour bloquer l’authentification héritée.

Pour plus d’informations sur l’implémentation de la prise en charge de l’authentification par certificat avec Microsoft Entra ID et l’authentification moderne, consultez Comment configurer l’authentification Microsoft Entra basée sur certificat (préversion). En guise d’autre option, l’authentification par certificat effectuée sur un serveur de fédération peut être utilisée avec l’authentification moderne.

Si vous utilisez Microsoft Intune, vous pouvez modifier le type d’authentification à l’aide du profil de messagerie que vous envoyez ou déployez sur vos appareils. Si vous utilisez des appareils iOS (iPhone et iPad), vous devez consulter Ajout de paramètres de messagerie pour les appareils iOS et iPadOS dans Microsoft Intune.

Bloquer l’authentification héritée

Il existe deux façon d’utiliser des stratégies d’accès conditionnel pour bloquer l’authentification héritée.

Blocage direct de l’authentification héritée

Le moyen le plus simple de bloquer l’authentification héritée dans toute votre organisation consiste à configurer une stratégie d’accès conditionnel qui s’applique spécifiquement aux clients d’authentification héritée et bloque l’accès. Lorsque vous affectez des utilisateurs et des applications à la stratégie, veillez à exclure les utilisateurs et les comptes de service qui doivent encore se connecter à l’aide de l’authentification héritée. Quand vous choisissez les applications cloud dans lesquelles appliquer cette stratégie, sélectionnez Toutes les applications cloud, applications ciblées comme Office 365 (recommandé) ou Office 365 Exchange Online (minimum). Les organisations peuvent utiliser la stratégie disponible dans les modèles d’accès conditionnel ou la stratégie commune Accès conditionnel : Bloquer l’authentification héritée comme référence.

Blocage indirect de l’authentification héritée

Si votre organisation n’est pas prête à bloquer complètement l’authentification héritée, vous devez vous assurer que les connexions utilisant ce type d’authentification ne contournent pas les stratégies qui requièrent des contrôles d’octroi, comme l’authentification multifacteur. Pendant l’authentification, les clients d’authentification héritée ne prennent pas en charge l’envoi d’informations d’état d’authentification multifacteur, de conformité des appareils ou de jointure à Microsoft Entra ID. Par conséquent, appliquez des stratégies avec des contrôles d’octroi à toutes les applications clientes afin que les connexions basées sur l’authentification héritée qui ne répondent pas aux contrôles d’octroi soient bloquées. Avec la disponibilité générale de la condition des applications clientes en août 2020, les stratégies d’accès conditionnel nouvellement créées s’appliquent à toutes les applications clientes par défaut.

Ce que vous devez savoir

L’activation de la stratégie d’accès conditionnel peut prendre jusqu’à 24 heures.

En bloquant l’accès avec Autres clients, vous empêchez également Exchange Online PowerShell et Dynamics 365 d’utiliser l’authentification de base.

La configuration d’une stratégie pour d’autres clients bloque l’organisation entière à partir de certains clients tels que SPConnect. Ce blocage se produit, car les clients plus anciens s’authentifient de manière inattendue. Ce problème ne concerne pas aux principales applications Office, telles que les anciens clients Office.

Vous pouvez sélectionner tous les contrôles d’octroi disponibles pour la condition Autre clients. Toutefois, l’expérience de l’utilisateur final est toujours la même : un accès bloqué.

Étapes suivantes