Lors de la planification de l’accès à distance à n’importe quelle application de votre organisation, la sécurité autour de l’authentification doit être conçue et mise en œuvre. Le travail à distance devenant un élément permanent, il est devenu plus important que jamais. Cet article vous montre comment appliquer l’authentification multifacteur pour tous les utilisateurs distants à l’aide de Microsoft Teams. Le même principe peut être appliqué à toute autre application basée sur Azure Active Directory.
Activation d’Azure AD Premium
La première étape de la mise en œuvre de l’authentification multifacteur pour les employés distants à l’aide de Microsoft Teams consiste à activer Active Azure AD Premium. Un moyen simple d’activer l’offre consiste à accéder à Azure Active Directory. Dans la nouvelle lame, cliquez sur Sécurité puis cliquez sur accès conditionnel. Une bannière apparaîtra sur la droite, informant l’utilisateur d’activer l’offre Azure Premium pour accéder à toutes les ressources. C’est ce que nous recherchons. Cliquez dessus (Item 1) puis Activer situé en dessous Azure AD Premium P2 (Élément 2), comme indiqué dans l’image ci-dessous.
La première étape consiste à créer au moins deux groupes pour rassembler les utilisateurs et utiliser ces groupes pour développer des services et des fonctionnalités pour les utilisateurs. Nous allons créer deux groupes: un pour contrôler les utilisateurs MFA et un second pour tous les utilisateurs de Microsoft Teams et contrôler l’adoption des produits.
Ces nouveaux groupes peuvent être créés dans Active Directory en interne (si vous effectuez une synchronisation) ou dans Azure Active Directory. Il se peut que nous ayons besoin de nouveaux groupes pour prendre en charge vos futures solutions activées par l’utilisateur. Votre conception et vos exigences commerciales peuvent différer. Par conséquent, il est difficile de dire quand utiliser un ou plusieurs groupes.
Dans l’image ci-dessous, nous créons un groupe appelé Utilisateurs AP6-MSTeams et ajouter deux utilisateurs: Adrian Veidt et Daniel Draiberg. Pour créer le groupe Azure AD, cliquez sur Azure Active Directory, Groupes, et après Nouvelle équipe. Remplissez les informations requises et sélectionnez les utilisateurs souhaités et cliquez sur Créer pour terminer le processus.
Nous allons créer des utilisateurs AP6-MFA et ajouter Adrian Veidt, Daniel Dreiberg et Laurie Juspeczyk. Les noms, comme vous l’avez peut-être remarqué, proviennent de The Watchmen!
Gestion d’Azure AD Premium
L’utilisation d’Azure Premium offre de nombreuses possibilités pour protéger votre environnement. Nous nous concentrerons sur certaines de ces fonctionnalités pour atteindre l’objectif de cet article, qui est d’activer l’authentification multifacteur pour tous les utilisateurs de Microsoft Teams.
La première étape est de le gérer Politique d’inscription MFA. Nous déterminerons comment rendre le MFA disponible pour les utilisateurs finaux en leur demandant de s’inscrire et ce processus peut être effectué avant la sortie d’un service tel que Microsoft Teams.
Ouvert Azure Active Directory sur le portail Azure. Dans la nouvelle lame, cliquez sur Sécurité, Protection d’identitéet cliquez sur Politique d’inscription MFA. Une lame avec tous les paramètres apparaîtra Utilisateurs. Sélectionnez un groupe (ou même tous les utilisateurs selon la taille de l’entreprise). Dans cet article, nous sélectionnerons l’équipe que nous avons créée pour prendre en charge Microsoft Teams.
Quel est l’impact de cet arrangement? Tous les utilisateurs couverts par la configuration recevront la boîte de dialogue illustrée dans l’image ci-dessous, qui les aidera à configurer leur MFA. Bien que cela ne soit pas obligatoire, nous pouvons demander à certains utilisateurs experts en technologie de faire le travail avant d’appliquer l’utilisation de MFA sur n’importe quelle application / service.
Appliquer l’authentification multifacteur sur Microsoft Teams uniquement
Temps de configuration accès conditionnel, ce qui permet une flexibilité dans la définition de règles d’accès à vos applications. Par défaut, les nouveaux abonnements (après octobre 2019) ont activé les paramètres de sécurité par défaut.
Si vous avez l’intention de profiter de l’accès conditionnel, nous devons désactiver ces fonctionnalités et commencer à contrôler l’accès via la lame d’accès conditionnel. Malheureusement, les deux fonctions ne peuvent pas coexister.
Vous êtes connecté au portail Azure, cliquez sur Azure Active Directory, Cliquer sur Propriétés (Position 1). Dans le nouveau panneau, cliquez sur la dernière balise de lien comme Gérer les paramètres de sécurité par défaut (Élément 2) et sélectionnez Non (Encadré 3). Cliquer sur Sauvegarder.
Il est temps de la vider et de passer à la première stratégie qui nécessitera une authentification multifacteur pour les utilisateurs distants utilisant Microsoft Teams.
Notre premier arrêt est de définir la plage IP utilisée par vos bureaux. Nous exigerons l’authentification multifacteur pour les utilisateurs distants ne résidant pas dans un siège social.
Cliquer sur Azure Active Directory, dans les propriétés de la lame, cliquez sur Sécurité. Cliquer sur accès conditionnel, et cela amène toutes les politiques existantes à droite. Avant d’accéder aux politiques, cliquez sur Nom de la localisationet cliquez sur Nouvel emplacement. Remplissez les informations avec l’emplacement de votre bureau et nous pouvons même spécifier un pays au lieu d’une adresse IP, au cas où vous auriez besoin d’un accès plus tolérable.
Retour à l’attraction principale: Politiques! Cliquer sur Stratégies. Aucune politique ne doit être mentionnée. Cliquer sur Jeune.
Au début, le processus peut sembler compliqué, mais ce n’est qu’une question de temps avant de vous y habituer. Tout d’abord, mettez en évidence la politique (Groupes dans notre article) et examinez chacun des deux domaines politiques clés, à savoir: affectations et contrôles d’accès.
Considérez un emploi comme une clause «si». Lorsqu’un utilisateur particulier tente de s’authentifier, il doit se conformer à toutes les attributions de stratégie et, si tel est le cas, une action sera effectuée, que nous définissons dans la zone de contrôle d’accès. Remarque: si nous avons plus d’une tâche, elles sont considérées comme une clause logique “et” une fois évaluées.
Dans le Tâches section, nous allons configurer les paramètres suivants:
- Utilisateurs et groupes (Problème 1): Nous n’inclurons que Utilisateurs AP6-MSTeam (Encadré 2).
- Applications ou actions cloud: Nous choisirons Groupes Microsoft de la liste.
- Conditions: Nous définirons Emplacements, nous allons configurer Inclure: Quelconque et Exception: tous les sites de confiance.
Dans le Contrôle d’entrée de sécurité section, nous cliquons sur Accorder, sélectionnez Attribuer l’accèset vérifiez la sélection Une authentification multifacteur est requise.
La dernière étape consiste à activer la politique en sélectionnant Au dans le dernier paramètre. Cliquer sur Créer.
Et après?
À ce stade de notre article, tous les utilisateurs se réfèrent à Utilisateurs AP6-MFA ils doivent être avertis pour configurer leur MFA (dans notre exemple, il y a un total de trois utilisateurs). Après avoir créé l’accès conditionnel ci-dessus, tous ses membres Utilisateurs AP6-MSTeam L’authentification à l’aide de MFA est requise lors de l’utilisation de Microsoft Teams et à partir d’une adresse IP qui ne correspond pas au siège social (tout utilisateur du bureau distant).
Effectuez certains tests dans le scénario actuel pour valider l’efficacité de la nouvelle stratégie d’accès conditionnel. Essayez d’utiliser un nouveau profil ou même une nouvelle machine et effacez le cache après chaque test pour vous assurer que vous effectuez l’analyse correcte.
- Essayez l’authentification à Site Web de Microsoft Teams dans une nouvelle session de vos navigateurs par un utilisateur n’appartenant qu’à l’équipe MFA. Le résultat doit fournir des informations sur la configuration du MFA.
- Essayez de vous authentifier au même endroit ci-dessus en utilisant un membre de l’équipe MSTeams-Users, et le résultat devrait appliquer MFA.
- Attribuez une licence Outlook à un membre de l’équipe MSTeams-Users (s’il n’en possède pas déjà une) et essayez d’authentifier l’utilisateur. Il doit pouvoir effectuer une authentification sans MFA (s’applique uniquement aux groupes).
- Répétez ces tests à partir de l’adresse IP d’entreprise et publique (bureau distant).
Si vous avez développé les fonctionnalités que nous avons mentionnées dans cet article, vous avez augmenté votre attitude de sécurité en ajoutant un niveau de sécurité supplémentaire à vos utilisateurs finaux. Nous avons couvert les aspects techniques de l’authentification multifacteur pour Microsoft Teams. Assurez-vous maintenant de documenter et de mettre à jour l’utilisateur final dans le cadre du programme de distribution.
Image en vedette: Shutterstock
Affichage des messages:
1 696
Suite Travail à distance des articles
Post Views:
110
