TABLE DES MATIÈRES


Pourquoi l'authentification multifactorielle (MFA) est-elle importante ?


La MFA ajoute une couche de sécurité supplémentaire au-delà du simple nom d'utilisateur et mot de passe. Même si un attaquant parvient à obtenir le mot de passe, il aurait encore besoin du second facteur pour accéder au compte. Avec l'augmentation des attaques de phishing et d'autres méthodes de vol d'identifiants, la MFA aide à prévenir l'accès non autorisé. Elle réduit considérablement le risque qu'un mot de passe compromis ne mène à une brèche de sécurité.



Qu'est-ce que MFA Audit ?


Dans Office Protect, nous avons ajouté un nouvel outil vous permettant d'obtenir une vue d'ensemble de toutes vos configurations MFA et des problèmes potentiels liés à la MFA parmi vos locataires et utilisateurs.


Avec MFA Audit, vous pouvez :

  • Identifier rapidement les lacunes de configuration MFA chez vos locataires.
  • Détecter les problèmes d'enregistrement des méthodes d'authentification MFA.
  • Obtenir des informations complètes sur les protections MFA actuellement en place et générer un rapport PDF.


Note
Si votre organisation utilise une solution MFA tierce, la fonctionnalité MFA Audit ne sera pas en mesure de détecter ou de refléter le statut MFA de vos utilisateurs. Cette fonctionnalité ne vérifie que les configurations MFA gérées directement dans Microsoft 365.



Comment un utilisateur peut-il être protégé par MFA ?


Pour qu'un utilisateur soit protégé par la MFA, il doit être couvert par une politique MFA (activée sur le locataire) ET être enregistré avec une méthode d'authentification valide qui prend en charge la MFA :

  • Microsoft Authenticator
  • Fido2
  • Windows Hello for Business
  • Hardware/Software Token
  • Certificat
  • Pass d'accès temporaire
  • Téléphone (voix, SMS) - Méthode d'authentification MFA faible
  • E-mail - Méthode d'authentification MFA faible



Configurations MFA pour les locataires


Les configurations suivantes peuvent être utilisées pour activer la MFA sur un locataire :


  • Paramètres de sécurité par défaut (Security Defaults) :
    • Disponible pour tous les locataires.
    • Pas granulaire.
    • Non compatible avec les stratégies d'accès conditionnel.


  • Stratégies d'accès conditionnel (Conditional Access Policies) :
    • Disponible pour les licences Microsoft Business Premium.
    • Très granulaire : une stratégie d'accès conditionnel peut être appliquée à des utilisateurs spécifiques et/ou à des conditions spécifiques (IP, réseau, applications, risque utilisateur, risque de connexion, appareil, etc.). Dans cet outil, nous appellerons "Partial MFA CAP" les stratégies d'accès conditionnel appliquées dans des conditions spécifiques, et "MFA CAP" les stratégies d'accès conditionnel appliquées dans toutes les conditions.
    • Non compatible avec les paramètres de sécurité par défaut.


  • Per-User MFA (non recommandé) :
    • Disponible pour tous les locataires.
    • Granulaire au niveau de l'utilisateur.
    • Compatible avec les paramètres de sécurité par défaut et les stratégies d'accès conditionnel (non recommandé).
    • Cette solution est en cours de décommissionnement par Microsoft. La fin de Per-User MFA est prévue pour 2025, sans plus de détails.



Tableau Tenants Configuration


Ce tableau répertorie tous vos locataires, leurs configurations MFA et certains KPI :


Configuration :

  • Couverture complète - Politique couvrant tout le monde : dans toutes les conditions. Si l'une des deux politiques suivantes est activée, Partial MFA CAP et Per-User MFA ne seront pas reflétées.
    • Security Defaults
    • MFA CAP : Politique d'accès conditionnel MFA couvrant tout le monde dans toutes les conditions
  • Couverture partielle - Politique couvrant partiellement vos utilisateurs ou Per-User MFA :
    • Partial MFA CAP
    • Per-User MFA
  • Pas de couverture - No Configuration


KPIs : chaque KPI est cliquable et filtrera le tableau de configuration des utilisateurs. 

  • Total Users : nombre d'utilisateurs actifs dans le locataire
  • Not Covered by Policy : nombre d'utilisateurs actifs non couverts par une politique MFA
  • Not registered : nombre d'utilisateurs actifs non enregistrés sur une méthode d'authentification MFA valide
  • Partially covered by policy : nombre d'utilisateurs actifs couverts par une politique MFA partielle (MFA CAP les couvrant dans des conditions spécifiques)



Tableau Users Configuration


This table reflects the list of active users in the tenant, MFA configuration(s) covering them and valid MFA authentication methods registered.


Admin Role :

  • Privileged Admin
  • Admin

Liste des rôles d'administrateur privilégié et d'administrateur


MFA Conclusion :

  • Protected - L'utilisateur est à la fois enregistré sur une méthode d'authentification MFA valide et couvert par une politique MFA à couverture complète.
  • Not protected - L'utilisateur n'est pas enregistré sur une méthode d'authentification MFA valide et/ou n'est pas couvert par une politique MFA.
  • Partially protected - L'utilisateur est enregistré sur une méthode d'authentification MFA valide mais est couvert par une politique d'accès conditionnel MFA partielle (s'appliquant dans des conditions spécifiques).


MFA Configuration : liste des politiques MFA couvrant l'utilisateur. Les politiques d'accès conditionnel MFA partielles sont signalées par un pictogramme orange qui vous fournit les détails des politiques d'accès conditionnel.


MFA Authentication methods : liste des méthodes d'authentification MFA valides enregistrées sur le compte de l'utilisateur.


Last sign-in 

  • Last Sign-in Date : date de la dernière connexion de l'utilisateur. Ces données sont plus précises avec les licences M365 Business Premium. Avec d'autres licences.
  • Last Sign-In Requirement : uniquement avec les licences M365 Business Premium. Reflète le type d'authentification requis lors de la dernière connexion de l'utilisateur.
  • Last Sign-In Details : uniquement avec les licences M365 Business Premium. Plus de détails sur la dernière authentification.
  • Last Sign-In Interpretation : uniquement avec les licences M365 Business Premium. Reflète si la dernière connexion a été réussie.



Que faire lorsqu'un utilisateur n'est pas protégé ?


Si un utilisateur n'est pas protégé en raison de sa configuration MFA :

  • Allez dans la rubrique Set du locataire et active le paramètre Enable Multifactor Authentication (MFA):
    • Via Security Defaults
    • Via Conditional Access Policy when available 
  • Ou allez dans votre portail d'administration Entra ID et activez Security Defaults, créez une politiques d'accès conditionnel personnalisée, ou activez Per-User MFA sur l'utilisateur (non recommandé).


Si un utilisateur n'est pas protégé car il n'a pas enregistré de méthode d'authentification MFA valide :

  1. Révisez les méthodes d'authentification MFA activées sur le locataire depuis le portail d'administration Entra ID (rubrique Protection)
  2. Sensibilisez vos utilisateurs à l'importance de MFA et demandez-leur d'enregistrer une méthode d'authentification MFA. Ils peuvent le faire à partir de leur compte utilisateur Microsoft



Notes
- Les paramètres de sécurité par défaut prévoient un délai de grâce de 14 jours pendant lequel les utilisateurs peuvent repousser à plus tard leur inscription.
- Microsoft fournit des templates de courriers électroniques que vous pouvez utiliser pour envoyer des rappels d'enregistrement à vos utilisateurs.
- L'équipe d'Office Protect travaille activement sur une fonctionnalité qui vous permettra d'envoyer des campagnes de rappel d'inscription par courrier électronique.




Notes


  • Les données figurant dans ce tableau de bord sont actualisées tous les 7 jours et lorsque vous accédez à la rubrique MFA Audit. L'actualisation peut prendre jusqu'à quelques heures pour les grands locataires. Vous pouvez actualiser manuellement les données d'un utilisateur à partir du tableau de configuration des utilisateurs.
  • Si, pour une raison quelconque, Office Protect ne peut pas récupérer les données d'un de vos locataires ou utilisateurs, une bannière d'erreur s'affichera.