Serveur d'impression

L'authentification multifacteur pour tous au cœur des modifications d'Azure AD – Redmond Channel Partner – Bien choisir son serveur d impression

Le 12 décembre 2019 - 10 minutes de lecture

Nouvelles

L'authentification multifacteur pour tous au cœur des modifications d'Azure AD

Microsoft ouvre son service Microsoft Authenticator aux utilisateurs du plan Azure Active Directory gratuit, a annoncé la société à Ignite cette semaine parmi d'autres améliorations d'Azure AD.

La capacité étendue d'utiliser l'application Microsoft Authenticator pour les appareils mobiles Android ou iOS avec le plan Azure AD gratuit était peut-être l'amélioration la plus étendue du côté de la sécurité. Cette amélioration des licences permettra aux organisations d'appliquer plus largement la vérification de l'identité de l'authentification multifactorielle lorsque les utilisateurs tentent d'accéder aux applications. L'application Authenticator peut être utilisée pour vérifier les identités lors de l'accès aux applications Microsoft ou non Microsoft, selon ce schéma.

L'utilisation de l'application Authenticator avec le plan Azure AD gratuit a été décrite comme étant disponible maintenant.

De plus, les nouveaux locataires utilisant divers services cloud de Microsoft obtiendront une authentification multifactorielle, et elle sera activée par défaut, qui entrera en vigueur ce mois-ci.

"À partir de la fin du mois, MFA sera activé comme sécurité par défaut dans tous les nouveaux locataires Azure Active Directory pour Microsoft 365, Office 365, Dynamics et Azure", a déclaré Alex Simons, vice-président de la gestion des programmes chez Microsoft Identity Division, dans l'annonce.

Microsoft crédite l'authentification multifactorielle, où un autre moyen qu'un mot de passe est utilisé pour vérifier l'identité d'un utilisateur, comme étant la meilleure approche pour prévenir le phishing et d'autres attaques.

Solution de provisioning Azure AD Cloud
Microsoft prévoit d'ajouter une nouvelle fonctionnalité pour les organisations ayant des environnements complexes pour aider à synchroniser les utilisateurs Azure AD. Cette nouvelle fonctionnalité Azure AD Cloud Provisioning arrivera à la fin de ce mois. Voici ce qu'il fera:

Le provisionnement cloud peut synchroniser les identités des utilisateurs à partir des forêts Windows Server AD et Azure AD, quel que soit l'emplacement de la forêt AD à l'aide d'un agent léger. Ces agents sont déployés sur chaque instance de forêt et peuvent synchroniser les utilisateurs dans un seul locataire Azure AD consolidé. Et plusieurs agents peuvent être déployés par forêt pour la redondance et la haute disponibilité. Pour nos clients avec des organisations complexes, cela peut vraiment aider les employés à collaborer sans barrières.

Prise en charge des applications d'authentification héritées mobiles
Microsoft offre un aperçu de l'utilisation d'une «forêt de ressources» des services de domaine Azure Active Directory, conçue pour aider les organisations qui tentent de déplacer des applications dépendantes des méthodes d'authentification héritées vers le cloud. La forêt de ressources "élimine le besoin de synchroniser les hachages de mot de passe avec les services de domaine", a expliqué Microsoft.

Microsoft a également ajouté diverses améliorations aux services de domaine Azure AD, "notamment des zones de disponibilité supplémentaires, un équilibreur de charge amélioré, des classeurs Azure, des journaux d'audit et une nouvelle expérience de configuration."

Microsoft a également un programme «Secure Hybrid Access» pour Azure AD qui a sa propre page de destination. Il est conçu pour fournir une prise en charge de l'identité et de l'accès aux applications qui dépendent d'anciennes méthodes d'authentification «héritées», notamment «Kerberos, NTLM, Remote Desktop Protocol (RDP), LDAP, SSH et l'authentification basée sur l'en-tête et le formulaire», selon Microsoft. la description. Le programme inclut désormais des partenaires "Akamai, Citrix, F5 et Zscaler" pour aider à mieux sécuriser l'accès à ces applications héritées.

Groupes Admin Role GA
Microsoft a annoncé lundi que le rôle d'administrateur de groupes pour les utilisateurs d'Azure AD est désormais au stade de la «disponibilité générale» (GA). Il permet aux professionnels de l'informatique d'effectuer des tâches de gestion pour les groupes sans avoir les privilèges d'administrateur global.

"Ce nouveau rôle Azure Active Directory [Groups Admin] vous permet d'effectuer des tâches de gestion de groupe pour les groupes de sécurité Azure AD sans nécessiter d'autorisations d'administrateur global ", a expliqué l'annonce.

Le nouveau rôle a actuellement quelques limitations connues, telles que l'application principalement aux groupes Office 365, le manque d'accès à Exchange PowerShell et l'impossibilité de gérer les "journaux d'audit, les rapports d'accès ou les paramètres d'invité".

Simons a également noté qu'un nouveau "rôle Global Reader avec 15 autres rôles" a été publié en tant qu'aperçus le mois dernier. "Le rôle Global Reader permet d'afficher les paramètres d'administration, sans autoriser les modifications.

Azure AD Entitlement Management GA
Microsoft a annoncé qu'Azure AD Entitlement Management est désormais au stade GA. La gestion des droits permet aux professionnels de l'informatique de configurer des scénarios d'accès aux ressources et même de déléguer les contrôles d'accès dans certains cas.

La gestion des droits implique des scénarios dans lesquels des «packages d'accès» sont créés, qui définissent des ressources (telles que des applications et des données) auxquelles peuvent accéder les utilisateurs finaux, à la fois au sein de l'organisation et par des tiers. Les services informatiques peuvent contrôler quels utilisateurs peuvent demander l'accès à ces packages et ils peuvent définir diverses politiques. Il existe un processus d'approbation pour obtenir l'accès, et l'accès peut être attribué pour une période de temps spécifique, si vous le souhaitez.

Microsoft considère que la gestion des droits est "un ajout important à la gestion des identités privilégiées (PIM), aux conditions d'utilisation et aux révisions d'accès pour offrir des capacités de gouvernance des identités basées sur le cloud" pour les organisations qui partagent l'accès aux ressources avec des tiers. L'utilisation de Entitlement Management nécessite d'avoir une licence Azure AD Premium P2 pour chaque utilisateur.

Rapport d'accès conditionnel uniquement
Microsoft a ajouté un moyen pour les professionnels de l'informatique de détecter les effets des stratégies d'accès conditionnel sur les utilisateurs finaux, avant même d'activer les stratégies. Cette fonctionnalité est connue sous le nom de fonctionnalité "Report-Only", une nouvelle stratégie d'accès conditionnel qui est actuellement au stade de l'aperçu public.

Microsoft a également affirmé avoir ajouté des API améliorées et amélioré la collecte des signaux avec son service Azure AD ID Protection, qui détecte les risques associés à l'identité. L'utilisation de ce service nécessite d'avoir une licence Azure AD Premium P2.

Aperçu des espaces de travail pour My Apps Portal
Les informaticiens peuvent afficher uniquement les applications accessibles aux utilisateurs finaux dans le portail Mes applications, qui est à l'étape de prévisualisation. Mes applications est une extension de navigateur qui peut être utilisée dans les navigateurs Google Chrome, Microsoft Edge et Mozilla Firefox.

Cette collection d'applications dans Mes applications, qui est filtrée par les organisations, est connue comme un «espace de travail», selon la documentation de Microsoft. Les organisations peuvent configurer ces espaces de travail pour les utilisateurs finaux s'ils disposent d'une «licence Azure AD Premium P1 ou P2», selon Microsoft.

Microsoft a également annoncé que l'utilisation de Google en tant que fournisseur d'identité avec le service Azure AD Business to Business (B2B) en était désormais à l'étape GA.

FIDO2 pour environnements hybrides
Microsoft vise à éviter complètement l'utilisation de mots de passe. Les mesures à cet effet incluent la solution d'authentification biométrique Windows Hello dans Windows 10, qui peut vérifier le visage d'une personne, ainsi que des clés de sécurité physiques basées sur FIDO2 (utilisation de cartes, de dongles et de clés USB).

En juillet, Microsoft avait annoncé un aperçu des clés FIDO2 pour accéder aux applications connectées à Azure AD, mais avait mentionné à l'époque que la prise en charge de l'accès FIDO2 aux applications locales Active Directory serait également prise en charge. Mardi, Microsoft a annoncé que la prise en charge de FIDO2 pour ces environnements informatiques dits «hybrides» (locaux plus cloud) «devrait être lancée début 2020».

Autres ajouts Azure AD
Si tout cela ne suffisait pas, Microsoft a annoncé le mois dernier un aperçu de la possibilité de passer des solutions d'identité et d'accès qui utilisent la fédération pour se connecter au service Azure AD de Microsoft. Cette capacité est appelée «déploiement par étapes vers l'authentification cloud». Selon Simons, cela évite les migrations de transition de l'ensemble du domaine d'une organisation.

"Cette fonctionnalité vous permet de migrer l'authentification de vos utilisateurs depuis la fédération – via AD FS, Ping Federate, Okta ou tout autre système local de fédération – vers l'authentification cloud de manière échelonnée et contrôlée", a-t-il ajouté.

Le mois dernier également, Microsoft a déployé un aperçu d'Azure AD My Sign-Ins. Il s'agit d'une "nouvelle fonctionnalité qui permet aux utilisateurs d'entreprise de consulter leur historique de connexion pour rechercher toute activité inhabituelle", a expliqué Microsoft dans une annonce d'octobre.

Microsoft a également ajouté des avantages Azure AD pour les développeurs en publiant "Microsoft Authentication Libraries (MSAL) pour Android, iOS et macOS", qui ont atteint le stade GA, selon une annonce d'octobre.

Preuve de concept des identités décentralisées
Microsoft travaille toujours sur un effort de collaboration pour utiliser la technologie blockchain pour permettre des identités décentralisées, où les utilisateurs finaux ont le contrôle sur leurs informations d'identité. L'effort décentralisé sur les identités a été décrit en mai avec un aperçu d'un réseau de superposition d'identité.

Il existe maintenant une démonstration de preuve de concept des identités décentralisées qui est "parrainée par le National Health Service (NHS) au Royaume-Uni", a annoncé Microsoft. Il a été décrit dans cette session Ignite.

A propos de l'auteur

Kurt Mackie est producteur principal de nouvelles pour le 1105 Enterprise Computing Group.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.