🛡️ Comment activer Azure AD Security Defaults dans Microsoft 365 ?

Qu'est-ce que Azure AD Security Défauts
Azure AD Security Defaults est une fonction de sécurité dans Azure Active Directory (Azure AD) qui active automatiquement les paramètres de sécurité recommandés pour les nouveaux locataires en Azure AD. Ces paramètres sont conçus pour augmenter la sécurité de l'ordinateur. tenant d'augmenter la sécurité et de protéger les utilisateurs des menaces de sécurité connues.
Azure AD Security Les valeurs par défaut comprennent :
- Politique de mot de passe obligatoire : une politique qui exige que les mots de passe soient complexes, uniques et changés régulièrement.
- Authentification multifactorielle(MFA) : une couche de sécurité qui demande aux utilisateurs de confirmer leur identité à l'aide de plusieurs méthodes, comme un code envoyé par SMS ou un lecteur d'empreintes digitales.
- Protection contre les attaques par force brute : une mesure de sécurité qui garantit qu'après un certain nombre de tentatives de connexion infructueuses, un blocage temporaire est mis en place pour le compte.
Azure AD Security Defaults est activé par défaut pour les nouveaux locataires et ne peut pas être désactivé. En tant qu'administrateur, si tu veux ajuster les paramètres ou activer des fonctions de sécurité supplémentaires, tu peux gérer les fonctions de sécurité sur Azure AD .
Dans cet article, tu peux lire en bas de page comment activer Azure AD Security Defaults.
1. Enregistrement de l'authentification multifactorielle
Tous les utilisateurs de ton site Tenant devront s'inscrire à l'authentification multifactorielle (MFA)
Les utilisateurs ont 14 jours pour s'inscrire à l'authentification multifactorielle en utilisant l'application Microsoft Authenticator.
Après ces 14 jours, l'utilisateur ne doit se connecter avec MFA qu'une fois l'enregistrement terminé.
2. Appliquer l'authentification multifactorielle à tous les utilisateurs.
Sécuriser les administrateurs
Une fois que l'enregistrement ci-dessus avec l'authentification multifactorielle est terminé , les 9 administrateurs Azure AD suivants devront effectuer une authentification supplémentaire chaque fois qu'ils se connecteront. (comportement par défaut)
- Administrateur global
- SharePoint-manager
- Exchange-manager
- Gestionnaire d'accès conditionnel
- Administrateur de sécurité
- Administrateur du service d'assistance ou administrateur des mots de passe
- Responsable de la facturation
- Administrateur des utilisateurs
- Authentification de l'administrateur
3. Sécurisez tous les utilisateurs avec le MFA
Nous avons tendance à penser que les comptes d'administrateur sont les seuls comptes qui nécessitent des couches de sécurité supplémentaires. Les administrateurs ont un accès considérable aux informations sensibles et peuvent modifier les paramètres de l'ensemble de l'organisation.
Lorsque ces pirates obtiennent un accès, ils peuvent prétendre accéder à l'organisation au nom du titulaire du compte d'origine. Ils peuvent télécharger l'ensemble du répertoire pour mener une attaque par hameçonnage sur l'ensemble de votre organisation. (courrier de phishing)
Une méthode courante pour améliorer la sécurité de tous les utilisateurs consiste à exiger une forme plus forte de vérification du compte. MFA.
4. Blocage de l'authentification ancienne
Les clients Office plus anciens qui ne peuvent pas utiliser l'authentification moderne (par exemple, un client Office 2010).
Tout client utilisant les anciens protocoles de courrier électronique, tels que IMAP, SMTP ou POP3.
Qu'est-ce que pop3 ? POP3(Post Office Protocol) est un protocole permettant de récupérer le courrier à l'aide d'un programme de messagerie électronique tel que Microsoft Outlook. Avec POP3, vous avez toujours votre boîte aux lettres sur votre propre PC. Tous les messages électroniques entrants sont supprimés lors de leur récupération.
Qu'est-ce que IMAP ? Vous pouvez configurer IMAP sur n'importe quel ordinateur sans que les courriers électroniques soient "aspirés" dans le client de messagerie. Imap est un protocole qui est souvent utilisé dans les applications. Ordinaire Office 365 les utilisateurs n'ont pas besoin de POP3 ou IMAP.
La plupart des tentatives de connexion avec une authentification périmée. L'authentification traditionnelle ne prend pas en charge l'authentification multifactorielle.
Une fois les paramètres de sécurité par défaut activés sur votre site Tenant, toutes les demandes d'authentification effectuées par un ancien protocole sont bloquées. Les paramètres de sécurité par défaut ne bloquent pas ExchangeActiveSync. Mais peut-être utilisez-vous aussi l'application Outlook. https://365tips.be/?p=289
5. Accès conditionnel
Vous pouvez également lancer vous-même l'accès conditionnel sur les groupes et les rôles d'utilisateur. Dans ce cas, il est préférable de ne pas choisir cette configuration.
Si vous voulez le faire vous-même, vous ne pouvez pas utiliser les valeurs par défaut et vous devez le désactiver.
Accès conditionnel = Accorder l'accès à un service sous conditions. IF="Unmanaged device"
THEN="Require MFA"

6. Comment activer ce défaut de Azure AD Security ?
Activez les paramètres de sécurité par défaut dans votre répertoire :
Connectez-vous auportail Azure en tant qu'administrateur de sécurité, administrateur d'accès conditionnel ou administrateur global. -> Activer les valeurs par défaut de Security - Microsoft Azure
Naviguez vers -> Azure Active Directory -> propriétés.
Sélectionnez Gérer les paramètres de sécurité par défaut.
Définissez l'option Activer les paramètres par défaut sur Oui.
Sélectionnez Sauvegarder.
