Dans le cadre de son projet Secure Future Initiative initié en novembre 2023, Microsoft a pris la décision de durcir encore un peu plus sa politique associée à l’activation de l’authentification multifacteurs. Voici le prochain changement prévu pour Microsoft Entra.
Depuis le 15 octobre 2024, le MFA est obligatoire pour les comptes admins lors d’un accès sur les portails d’administration Azure, Entra ID (Azure AD) et Intune. Ce changement, qui s’inscrit dans le cadre de la Secure Future Initiative de Microsoft, est désormais en effectif (sauf pour ceux qui ont demandé un délai supplémentaire).
L’entreprise américaine n’en a pas fini pour autant avec le MFA et elle s’apprête à apporter un nouveau changement. En effet, sur les tenants Microsoft où la stratégie de sécurité par défaut est activée, les utilisateurs disposent d’un délai de 14 jours pour effectuer la configuration du MFA sur leur compte. Désormais, ce délai de 14 jours n’existera plus et l’utilisateur devra accomplir cette tâche dès la première connexion.
« Nous supprimons l’option permettant d’ignorer l’enregistrement de l’authentification multifactorielle (MFA) pendant 14 jours lorsque les paramètres de sécurité par défaut sont activés. Cela signifie que tous les utilisateurs devront compléter l’inscription MFA lors de leur première connexion après l’activation des paramètres de sécurité par défaut.« , peut-on lire dans un nouvel article publié par l’équipe de Microsoft. Une décision qui va dans le bon sens.
L’activation du MFA « peut bloquer plus de 99,2 % des attaques basées sur l’identité« , d’après la firme de Redmond, qui mise beaucoup sur l’authentification multifacteurs pour réduire les attaques.
Quand ce changement sera-t-il appliqué ?
Ce changement affectera tous les nouveaux tenants à compter du 2 décembre 2024. Pour les tenants déjà existants, Microsoft a prévu de commencer à déployer ce changement dès le mois de janvier 2025. Ce paramètre s’applique aux utilisateurs de Microsoft Entra, ce qui a également un impact pour les utilisateurs de Microsoft 365, car c’est ce service de gestion des identités qui est utilisé.
Sans oublier que cela est lié à l’état de la stratégie de sécurité par défaut, qui, comme son nom l’indique, est activée automatiquement sur les tenants. « Nous vous recommandons d’activer les paramètres de sécurité par défaut pour votre organisation si vous n’utilisez pas l’accès conditionnel, car les paramètres de sécurité par défaut constituent un moyen simple et efficace de protéger vos utilisateurs et vos ressources contre les menaces les plus courantes.« , précise Microsoft.