Comment simplifier la gestion sur site pour Microsoft 365 MFA

Posted On 11 Déc 2024

Il y a de nombreuses raisons pour lesquelles les organisations basées sur site cherchent à gérer une solution d’authentification multifacteur (MFA) sur site unique à travers Windows MFA et Microsoft 365 MFA.

L’arrivée des plateformes cloud il y a 15 ans a créé une énorme perturbation technologique avec laquelle les organisations se débattent encore aujourd’hui. Avant le cloud, les entreprises géraient leur infrastructure dans un modèle de centre de données que nous appelons aujourd’hui « sur site ». L’informatique en nuage leur offrait la possibilité d’héberger tout ou partie de cette infrastructure sur le réseau d’un fournisseur de services.

Le défi de la gestion de Microsoft 365 MFA dans un réseau sur site

Aujourd’hui, de nombreuses organisations sont coincées dans un état hybride entre deux pôles : sur site ou sur le cloud. Cette situation peut engendrer une grande complexité.

Et nulle part cela n’est plus vrai que lors de la mise en œuvre de la MFA Active Directory et des contrôles d’accès à travers l’accès à la fois à l’Active Directory sur site et aux ressources du cloud.

À un extrême, on trouve les organisations qui adoptent l’accès hybride. Elles veulent migrer vers le cloud en bloc et abandonner leur infrastructure sur site au fil du temps.

À l’autre extrême, on trouve les organisations attachées aux réseaux sur site. Ces organisations doivent continuer à gérer leurs propres centres de données pour des raisons réglementaires ou pour prendre en charge des applications héritées qui ne peuvent pas être migrées.

Le défi ?

Peu d’organisations peuvent (ou veulent) aujourd’hui éviter complètement le cloud. L’utilisation de plateformes de logiciels en nuage (SaaS) telles que Microsoft 365 oblige les équipes informatiques à trouver un moyen d’intégrer ces services dans une configuration sur site.

Cette tâche n’est pas aussi facile qu’elle devrait l’être. Les environnements Microsoft sur site sont conçus pour fonctionner avec le service d’annuaire local Active Directory (AD).

Il s’ensuit que les MFA et les contrôles d’accès sur site sont appliqués à l’aide de l’identité Active Directory sur site.

Microsoft 365, en revanche, est orienté vers l’annuaire en nuage, Entra ID (anciennement Azure AD). Dans le nuage, la MFA et les contrôles d’accès sont appliqués à l’aide de l’identité Microsoft Entra ID.

Toute organisation souhaitant préserver ses systèmes sur site tout en utilisant des applications SaaS doit trouver le moyen d’intégrer deux environnements différents.

Le plus grand défi est de gérer et de sécuriser les deux.

Quelles sont les solutions offertes par les outils natifs de Microsoft ?

Conscient de ce problème, Microsoft propose quelques outils pour intégrer AD sur site à sa plateforme cloud. Active Directory Federated Services (AD FS) est un ancien outil sur site, et Microsoft Entra Connect (anciennement Azure AD Connect) est une suite d’outils plus récente orientée vers l’intégration cloud et SaaS avec Microsoft Entra ID.

Du point de vue de l’utilisation sur site, le choix de la meilleure option peut être déroutant.

Problèmes liés aux paramètres de sécurité par défaut d’Office 365

Cette confusion est aggravée par le fait que, par défaut, Microsoft 365 (hébergé dans le nuage) utilise Microsoft Entra ID comme système de gestion des identités et des accès (IAM). Pour les environnements sur site construits sur AD, cela crée davantage de problèmes.

Ces organisations doivent accepter de :

Abandonner le contrôle de l’IAM : l’utilisation d’Entra ID est un non-sens pour toute organisation qui souhaite conserver le contrôle de l’IAM.

Dépendre d’une connexion Internet : L’adoption d’Entra ID comme système IAM exige (ou plutôt suppose) que tous les ordinateurs s’authentifiant via Entra ID disposent toujours d’une connexion Internet, ce qui est difficile à garantir dans certains environnements.

Mettre en œuvre une sécurité basée sur le cloud pour l’accès aux applications patrimoniales : La plupart des applications patrimoniales ont été conçues pour fonctionner avec AD sur place et ne sont pas compatibles avec Entra ID.

L’intérêt de la mise en réseau sur site est de garder le contrôle sur les fonctions essentielles, en particulier la sécurité, l’identité, l’authentification et le contrôle d’accès.

Pour de nombreuses organisations dont l’infrastructure est construite autour d’Active Directory sur place, confier la priorité de ces fonctions essentielles à une plateforme externe telle qu’Entra ID va à l’encontre de cet objectif.

Les avantages et les inconvénients des outils natifs de Microsoft

Si les outils de Microsoft peuvent faciliter l’intégration entre les services sur site et les services SaaS, ils présentent des avantages et des inconvénients en termes d’infrastructure et de dépenses supplémentaires.

Services fédérés Active Directory (AD FS)

AD FS est conçu pour les réseaux sur site, mais sa gestion peut s’avérer complexe et coûteuse. Il existe également des limitations techniques, notamment lorsqu’il s’agit de mettre en œuvre Microsoft 365 MFA.

Avantages

AD FS permet aux organisations de continuer à utiliser leur identité AD sur site tout en se fédérant et en se synchronisant avec Entra ID et Microsoft 365 par le biais d’un seul identifiant SSO. L’avantage d’AD FS est qu’il s’agit d’un outil sur site, ce qui signifie qu’il s’intègre bien à l’AD sur site existant d’une organisation.

Inconvénients

Malheureusement, ce n’est pas pour rien qu’AD FS a la réputation d’être complexe et lourd à gérer. Il est difficile de le dépanner en cas de problème. En termes d’authentification, il est également limité parce que son service préféré, Azure MFA Server, a été récemment déprécié.

Microsoft Entra Connect (anciennement Azure AD Connect)

Microsoft Entra Connect est conçu pour répondre aux besoins des applications basées sur le cloud, ce qui entraîne des complexités propres.

Avantages

Microsoft Entra Connect associe AD FS à des outils plus avancés, notamment Entra Connect Sync pour la synchronisation des utilisateurs, des mots de passe et des groupes avec Entra ID.

Inconvénients

Bien qu’inclus dans les abonnements Entra ID, Microsoft Entra Connect peut également être complexe à administrer. Il n’est pas simple de mettre en place et de gérer la synchronisation entre l’AD sur site et les annuaires Entra ID dans le nuage.

Pour s’assurer que l’accès au réseau reste aussi transparent et sécurisé que possible, les administrateurs peuvent déployer un simple identifiant de mot de passe d’authentification unique (SSO) sécurisé par MFA.

Pour que cela fonctionne, la synchronisation et la gestion des identités entre les deux domaines (utilisateurs, groupes, mots de passe et surveillance conditionnelle) doivent fonctionner parfaitement.

Au quotidien, cela peut engendrer des frais généraux de gestion importants. Si l’on n’y parvient pas à chaque fois, les utilisateurs sur site ou à distance risquent d’être exclus de Microsoft 365.

Pourquoi le contrôle sur site de l’identité et de l’authentification reste-t-il important pour certaines organisations ?

Au fil du temps, les plateformes en nuage et SaaS continuent de remplacer de nombreuses fonctions des réseaux sur site. Malgré cela, de nombreuses organisations continuent d’utiliser l’infrastructure Microsoft sur site pour prendre en charge un large éventail de cas d’utilisation :

Prendre en charge d’importantes applications patrimoniales qui ne peuvent pas être migrées vers le nuage.

Se conformer aux réglementations qui exigent que les organisations conservent un contrôle total sur les données sensibles sans dépendre de fournisseurs externes.

Maximiser les économies, car les plateformes SaaS peuvent être coûteuses et de nombreuses entreprises préfèrent tirer parti de leur infrastructure existante sur site.

Beaucoup d’entreprises ne veulent pas être complètement exclues du nuage et adoptent donc une approche hybride qui combine les meilleurs éléments des deux mondes.

La difficulté réside dans le fait que cela exige des services informatiques qu’ils mettent en place un environnement plus complexe englobant des applications internes et externes, synchronisées les unes avec les autres.

Qu’est-ce qui rend les réseaux hybrides sur site si difficiles ?

Un réseau hybride qui donne la priorité au contrôle sur site se traduit souvent par un compromis difficile entre les anciens systèmes sur site et les nouveaux systèmes orientés vers le nuage.

Les organisations doivent résoudre plusieurs problèmes :

L’intégration : L’intégration des systèmes sur site avec les systèmes en nuage et SaaS peut s’avérer complexe et coûteuse, car elle nécessite une infrastructure supplémentaire.

Surface d’attaque : Deux réseaux augmentent la surface d’attaque, en particulier lorsque des utilisateurs distants entrent en jeu, comme c’est souvent le cas dans les déploiements SaaS. À l’ère de la confiance zéro, la mise en œuvre d’une sécurité multicouche sur l’accès est primordiale, en particulier des protections telles que la MFA.

La prolifération des justificatifs : Inévitablement, SaaS signifie plus de connexions. Plus de connexions signifie plus d’informations d’identification, ce qui a un impact négatif sur l’expérience de l’utilisateur. Pour éviter cela, l’intégration doit prendre en compte la manière de mettre en œuvre l’authentification unique (SSO).

Pourquoi la MFA n’est pas facile à gérer dans les environnements hybrides

Si le cloud présente des avantages pour de nombreuses organisations, il peut rendre la vie plus difficile aux équipes informatiques des organisations qui souhaitent d’abord rester sur site. Tout d’abord, il n’est pas facile de mettre en place la MFA et les contrôles d’accès pour les SaaS. L’ensemble du processus est truffé de pièges cachés.

Les équipes informatiques cherchent à résoudre un problème concret : la nécessité de simplifier les choses au maximum.

Le plus souvent, cela signifie que les services informatiques veulent (ou doivent) gérer le plus de choses possibles au sein de leur réseau.

Mais la complexité supplémentaire du SaaS semble aller à l’encontre de cet objectif.

Trop souvent, l’ajout d’une sécurité d’accès hybride aux réseaux sur site implique une complexité et des dépenses supplémentaires.

En effet, l’industrie des solutions IAM s’est tournée vers le cloud, laissant les réseaux sur site et hybrides résoudre seuls le problème de l’intégration et de la sécurité.

Existe-t-il une meilleure solution ?

Il existe une poignée de solutions qui tentent de résoudre ce problème précis. Il n’y en a qu’une seule qui aide les organisations sur site cherchant à gérer une solution d’authentification multifacteur unique via l’accès local à Windows et Microsoft 365 MFA. UserLock, une solution MFA fière d’être Made in France, apporte un avantage certain aux environnements sur site et hybrides : la possibilité de garder les choses simples.

En effet, UserLock est conçu autour du principe selon lequel les réseaux sur site doivent conserver autant de contrôle que possible. Cela permet au service informatique de conserver la centralisation et le contrôle qui sont si importants dans les environnements sur site.

Grâce à UserLock, les organisations peuvent continuer à utiliser l’identité AD existante sur site tout en intégrant en toute sécurité l’accès à Microsoft 365 et à d’autres applications SaaS.

UserLock combine l’authentification unique (SSO) basée sur SAML avec la MFA et les contrôles d’accès pour couvrir les principaux cas d’utilisation dans les réseaux sur site et hybrides. Il n’est donc pas nécessaire d’utiliser un logiciel intermédiaire complexe qui présente des risques cachés.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.