Selon un rapport Verizon, la majorité des violations de données sont rendues possibles par des informations d’identification compromises, en particulier sur les serveurs de messagerie. Le social engineering, la pêche aux informations d’identification et les attaques de force brute sont quelques-unes des méthodes utilisées par les acteurs malveillants pour voler des informations d’identification.
Pour améliorer la sécurité des connexions Office et aider à prévenir les violations de données, Microsoft a introduit la méthode d’authentification moderne. Cette méthode nécessite une authentification et une autorisation supplémentaires de l’utilisateur lors de la connexion aux ressources en ligne Office 365.
En raison de ses avantages significatifs, l’authentification moderne est activée par défaut dans tous les locataires Office 365 créés depuis 2017. Il s’agit de la seule méthode de connexion disponible pour les applications et services Office 365. Toutefois, dans les déploiements Office hybrides sur site-cloud, vous devez activer manuellement l’authentification moderne pour les anciennes versions des clients Office et désactiver l’authentification de base chaque fois que possible.
Ce blog propose un bref aperçu des méthodes d’authentification de base et modernes pour les déploiements Office hybrides et fournit les étapes pour activer l’authentification moderne dans Office 365.
Authentification moderne vs. Authentification de base
Jusqu’à la désuétude de l’authentification de base prévue pour la fin de 2022, Microsoft fournira deux types d’authentification pour les déploiements hybrides d’Exchange et de Skype Entreprise : l’authentification de base et l’authentification moderne. Notez que pour se connecter à SharePoint Online à l’aide d’un client, seule l’authentification moderne et l’Assistant de connexion en ligne de Microsoft sont disponibles.
Ces deux méthodes d’authentification diffèrent largement en termes de capacités de protection. Même si l’authentification de base sera obsolète plus tard cette année, il est important de comprendre les différences entre les deux options.
Qu’est-ce que l’authentification de base?
L’authentification de base est le processus de connexion aux applications Office 365 en utilisant uniquement un nom d’utilisateur et un mot de passe. Lorsque vous saisissez votre nom d’utilisateur et votre mot de passe dans un client de messagerie, ceux-ci sont transmis à Exchange Online pour vérification et authentification avant de vous connecter au service cloud.
Il s’agit d’une méthode obsolète qui ne peut plus offrir une protection adéquate contre les menaces sur les identifiants. Une des principales vulnérabilités de l’authentification de base est que les applications stockent les informations d’identification de l’utilisateur sur l’appareil, ce qui crée davantage d’opportunités pour les pirates tentant de voler des mots de passe. De plus, bon nombre des fonctionnalités de gestion des identités et des accès de Microsoft, comme l’Accès conditionnel et l’authentification multifacteur (MFA), ne sont pas disponibles avec cette authentification héritée d’Office 365.
Qu’est-ce que l’authentification moderne?
L’authentification moderne est une combinaison de différentes méthodes d’authentification et d’autorisation pour accéder aux ressources cloud de Microsoft Office. L’authentification moderne est basée sur la bibliothèque d’authentification Active Directory (ADAL) et OAuth 2.0.
- La bibliothèque d’authentification Active Directory est un outil d’authentification permettant aux applications d’accéder à des ressources sécurisées via des jetons de sécurité. Avec ADAL, les utilisateurs bénéficient également d’une connexion unique (SSO) pour un accès transparent aux ressources Office 365 qui leur sont disponibles.
- OAuth 2.0 est un protocole d’autorisation qui permet aux utilisateurs d’accéder à des ressources via une application cliente à l’aide de jetons d’accès. Ce cadre implique une délégation d’accès et, par conséquent, les informations d’identification de l’utilisateur ne sont pas partagées avec le serveur de ressources.
Le cadre d’authentification moderne ajoute une couche supplémentaire de sécurité pour les utilisateurs se connectant à leurs ressources Microsoft 365 à partir d’applications clientes. De plus, ce cadre permet l’activation de l’authentification multi-facteurs (MFA) et l’utilisation de stratégies d’accès conditionnel.
Comment activer l’authentification moderne dans Office 365
Pour les locataires Microsoft créés avant août 2017, il existe différentes méthodes pour activer l’authentification moderne dans Office 365:
Utilisation du centre d’administration Microsoft 365
Pour activer l’authentification moderne dans Office 365 via le centre d’administration:
- Connectez-vous au centre d’administration Microsoft 365.
Dans le volet de navigation gauche, développez Paramètres , puis cliquez surParamètres d’organisation . - Dans le volet de navigation de gauche, développez Paramètres puis cliquez sur Paramètres de l’organisation.
- Sous Services, choisissez Authentification moderne.
- Sélectionnez la case à cocher Activer l’authentification moderne pour Outlook 2013 pour Windows et versions ultérieures (recommandé).
- Cliquez sur Enregistrer.
Utilisation de PowerShell Exchange Online
Suivez les étapes ci-dessous pour activer l’authentification moderne à l’aide de PowerShell Exchange Online :
- Se connecter à PowerShell Exchange Online.
- Exécutez la commande suivante pour les clients Outlook 2013 ou ultérieurs :
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true - Vérifiez que le changement a été réussi et que l’authentification moderne a été activée avec cette commande :
Get-OrganizationConfig | Format-Table Name,OAuth* -Auto
Il est important de noter que cela ne vous empêche pas d’utiliser la méthode d’authentification de base. Cependant, vous pouvez forcer l’utilisation de l’authentification héritée O365 dans Outlook 2013 ou ultérieur en exécutant la commande :
Set-OrganizationConfig -OAuth2ClientProfileEnabled $false
Désactivation de l’authentification de base Office 365
Après avoir activé l’authentification moderne dans Office 365, vous pouvez désormais désactiver les protocoles d’authentification de base. Cependant, vous devez vous assurer qu’aucun utilisateur ne bénéficie de cela. Suivez ces étapes pour vérifier si quelqu’un utilise l’authentification de base :
- Ouvrez votre compte Microsoft Azure.
- Accédez à l’Azure Active Directory.
- Choisissez Sign-in logs dans la barre de navigation de gauche.
- Changez Date range pour Last 7 days ou plus.
- Cliquez sur Add filters.
- Sélectionnez Client app puis cliquez sur Apply.
- Cliquez sur le filtre nouvellement créé Client app.
- Cochez toutes les cases sous Legacy Authentication Clients
- Cliquez sur Apply.
Cette liste inclut tous les événements de connexion avec leurs utilisateurs et applications correspondants. Avant de désactiver l’authentification basique, vous pouvez migrer toutes ces applications vers les protocoles d’authentification modernes afin de ne pas les perdre.
Pour désactiver l’authentification legacy O365 :
- Accédez au Microsoft 365 admin center.
- Dans la barre de navigation de gauche, développez Settings et cliquez sur Org settings.
- Choisissez Modern authentication sous Services.
- Désélectionnez toutes les cases à cocher sous Allow access to basic authentication protocols.
- Cliquez sur Save.
Authentification moderne Outlook
Bien que les dernières éditions d’Outlook prennent en charge l’authentification moderne par défaut, l’ajout de celle-ci à des clients plus anciens nécessite une configuration manuelle. Les différentes versions d’Outlook ont des exigences variables en ce qui concerne l’activation de l’authentification moderne :
- Outlook 2010 ou antérieur: L’authentification moderne n’est pas prise en charge et vous devez mettre à niveau Outlook pour en bénéficier.
- Outlook 2013: L’authentification moderne est disponible mais n’est pas activée par défaut, et vous devriez forcer Outlook à l’utiliser une fois qu’elle est activée.
- Outlook 2016 ou ultérieur + Outlook 365: L’authentification moderne est disponible et activée par défaut.
Le tableau ci-dessous résume les exigences de chaque version :
| Version Outlook | Authentification moderne | Clé EnableADAL | Forcer l’authentification moderne |
| Outlook 2010 | Non pris en charge | Non disponible | Non disponible |
| Outlook 2013 | Pris en charge | Requis | Requis |
| Outlook 2016 | Pris en charge | Non requis | Non requis |
| Outlook 2019 | Pris en charge | Non requis | Non requis |
| Outlook 365 | Pris en charge | Non requis | Non requis |
L’authentification moderne dans Outlook 2013
Comme mentionné précédemment, Outlook 2013 prend en charge l’authentification moderne mais utilise par défaut l’authentification basique. Vous pouvez activer manuellement l’authentification moderne.
Pour ce faire, vous devez ajouter les clés suivantes dans la base de registre Windows :
| Clé de Registre | Type | Valeur |
| HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL | REG_DWORD | 1 |
| HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\Version | REG_DWORD | 1 |
Après avoir défini ces clés, Microsoft recommande d’ajouter une clé de registre supplémentaire pour forcer Outlook 2013 à utiliser l’authentification moderne afin qu’il ne revienne pas à l’authentification de base. La clé que vous devriez utiliser est :
| Clé de Registre | Type | Valeur |
| HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover | REG_DWORD | 1 |
Authentification moderne dans Outlook 2016 ou version ultérieure
Bien que l’authentification moderne soit activée par défaut dans Outlook 2016, il est conseillé de forcer l’authentification moderne avec la clé de registre ci-dessous :
| Clé de Registre | Type | Valeur |
| HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover | REG_DWORD | 1 |
Authentification moderne Skype for Business
Puisque l’authentification moderne est désactivée par défaut pour tous les clients Microsoft créés avant le 1er août 2017, vous devez la désactiver manuellement. Comme dans Outlook, vous pouvez activer l’authentification moderne dans Skype for Business avec les clés de registre suivantes :
| Clé du registre | Type | Valeur |
| HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Lync\ AllowAdalForNonLyncIndependentOfLync | REG_DWORD | 1 |
| HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Lync\ AllowAdalForNonLyncIndependentOfLync | REG_DWORD | 1 |
Conclusion
Microsoft élimine progressivement l’authentification héritée d’O365 car un simple ensemble d’identifiants ne peut plus garantir la protection de sécurité nécessaire. Heureusement, d’autres mesures de sécurité sont disponibles et il est recommandé d’activer l’authentification moderne dans Office 365. Une fois activée, vous pouvez activer l’authentification multi-facteurs (MFA), définir des autorisations et restreindre l’accès à des applications spécifiques pour les utilisateurs.
Cela dit, avoir une solution de sauvegarde complète tierce assure une protection optimale des environnements Office 365. Une solution de protection des données complète comme NAKIVO Backup & Replication inclut tous les outils dont vous avez besoin pour protéger les données Microsoft 365 dans votre organisation.
Source:
https://www.nakivo.com/blog/enable-modern-authentication-office-365/