Oubliez les comptes utilisateurs : Place aux identités managées 

Dans un monde numérique en constante évolution, la sécurité des comptes utilisateurs est devenue un impératif. Microsoft a récemment réitéré sa position sur l’utilisation des identités managées. En effet, il est crucial d’éviter d’exploiter des comptes utilisateurs comme comptes de service. Pourquoi ? La réponse réside dans la sécurité accrue que ces identités managées apportent à l’entreprise.

Les recommandations ne sont pas nouvelles, mais il est essentiel de les rappeler, surtout à l’approche de la deuxième phase du programme MFA (Multi-Factor Authentication) sur Azure, qui imposera des changements significatifs.

Vers une sécurisation renforcée : La deuxième phase du MFA

Le programme MFA a débuté en octobre 2024 et se terminera le 30 septembre 2025. À compter de cette date, le MFA sera obligatoire pour tous les comptes qui se connecteront au portail Azure, au centre d’admin Entra, et au centre d’admin Intune, pour toutes les opérations CRUD (Create, Read, Update, Delete). De plus, cette obligation s’étendra également au centre d’admin Microsoft 365, dont le déploiement a commencé en décalé en février 2025.

Les clients ayant des environnements complexes ou faisant face à des barrières techniques pouvaient demander un report, mais attention : le délai final est toujours fixé au 30 septembre prochain.

MFA : Un nouvel élan à partir d’octobre 2025

La deuxième phase du MFA devrait démarrer le 1er octobre 2025. À ce moment-là, le MFA sera exigé pour les connexions à Azure via CLI, PowerShell, l’application mobile, les outils IaC, les SDK ou les points de terminaison API. Cela inclut encore une fois les opérations CRUD.

Les administrateurs auront la possibilité de reporter cette obligation, par intervalles de trois mois, jusqu’à juillet 2026. Toutefois, il est crucial de veiller à utiliser des versions compatibles actuelles, notamment CLI (minimum 2.76) et PowerShell (minimum 14.3).

Une obligation MFA étendue

L’obligation d’utiliser le MFA s’appliquera également aux automatisations qui exploitent des comptes utilisateurs. C’est pourquoi il est recommandé de migrer vers des identités de workloads, qui ne sont pas soumises aux mêmes contraintes.

De plus, les comptes de secours doivent également se conformer à cette exigence MFA. Microsoft recommande l’utilisation d’authentifications par passkeys ou certificats pour renforcer la sécurité.

Pas d’exemption pour les utilisateurs invités B2B

Il est également important de noter qu’il n’y a pas d’exemption pour les utilisateurs invités en B2B. Chaque compte devra donc respecter les nouvelles normes de sécurité mises en avant.

Se préparer au changement

Pour faire face à cette transition, il est conseillé de configurer une politique de contrôle d’accès qui exige donc l’utilisation du MFA. Cependant, cette fonctionnalité est uniquement réservée aux licences Entra ID P1 et P2. Dans le cas où ces licences ne sont pas disponibles, il est recommandé d’activer les paramètres de sécurité par défaut pour assurer une protection minimale.

Quid des offres souveraines ?

Ces recommandations et obligations s’appliquent exclusivement au cloud public Azure. Les offres « souveraines », telles que Govcloud, ne sont pas concernées par ces changements.

Avec ces nouvelles directives, Microsoft continue de montrer son engagement envers une sécurité renforcée pour tous les utilisateurs. Adopter ces mesures peut grandement diminuer les risques et renforcer la confiance dans l’infrastructure numérique.