Désactiver l’authentification de base dans Exchange Online


Source : Microsoft Technet

L’authentification de base dans Exchange Online utilise un nom d’utilisateur et un mot de passe pour les demandes d’accès des clients. Le blocage de l’authentification de base peut aider à protéger votre organisation Exchange Online contre les attaques par force brute ou par mot de passe. Lorsque vous désactivez l’authentification de base pour les utilisateurs dans Exchange Online, leurs clients de messagerie et applications doivent prendre en charge l’authentification moderne. Ces clients le sont :

  • Outlook 2013 ou ultérieur (Outlook 2013 nécessite un changement de clé de registre)
  • Outlook 2016 pour Mac ou ultérieur
  • Perspectives pour iOS et Android
  • Mail pour iOS 11.3.1 ou ultérieur

Si votre entreprise n’a pas d’anciens clients de messagerie, vous pouvez utiliser des stratégies d’authentification dans Exchange Online pour désactiver les demandes d’authentification de base, ce qui oblige toutes les demandes d’accès client à utiliser une authentification moderne. Cette rubrique explique comment l’authentification de base est utilisée et bloquée dans Exchange Online, et les procédures correspondantes pour les politiques d’authentification.

Comment fonctionne l’authentification de base dans Exchange Online

L’authentification de base est également connue sous le nom d’authentification par proxy parce que le client de messagerie transmet le nom d’utilisateur et le mot de passe à Exchange Online, et Exchange Online transmet ou transmet par procuration les informations d’identification à un fournisseur d’identité faisant autorité (IdP) au nom du client ou de l’application. L’IdP dépend du modèle d’authentification de votre organisation :

  • Authentification cloud : L’IdP est Azure Active Directory.
  • Authentification fédérée : L’IdP est une solution sur site comme Active Directory Federation Services (AD FS).

Authentification Cloud

Les étapes de l’authentification dans les nuages sont décrites dans le diagramme suivant :


  • Le client de messagerie envoie le nom d’utilisateur et le mot de passe à Exchange Online. Remarque : Lorsque l’authentification de base est bloquée, elle est bloquée à cette étape.
  • Exchange Online envoie le nom d’utilisateur et le mot de passe à Azure Active Directory.
  • Azure Active Directory renvoie un ticket utilisateur à Exchange Online et l’utilisateur est authentifié.

Authentification fédérée

Les étapes de l’authentification fédérée sont décrites dans le schéma suivant :


  1. Le client de messagerie envoie le nom d’utilisateur et le mot de passe à Exchange Online.Remarque : Lorsque l’authentification de base est bloquée, elle est bloquée à cette étape.
  2. Exchange Online envoie le nom d’utilisateur et le mot de passe à l’IdP sur place.
  3. Exchange Online reçoit un jeton SAML (Security Assertion Markup Language) de la part de l’IdP sur site.
  4. Exchange Online envoie le jeton SAML à Azure Active Directory.
  5. Azure Active Directory renvoie un ticket utilisateur à Exchange Online et l’utilisateur est authentifié.

 

Comment l’authentification de base est bloquée dans Exchange Online

Vous pouvez bloquer l’authentification de base dans Exchange Online en créant et en attribuant des stratégies d’authentification à des utilisateurs individuels. Les stratégies définissent les protocoles client dans lesquels l’authentification de base est bloquée, et l’affectation de la stratégie à un ou plusieurs utilisateurs bloque leurs demandes d’authentification de base pour les protocoles spécifiés.

Lorsqu’elle est bloquée, l’authentification de base dans Exchange Online est bloquée à la première étape de pré-authentification (étape 1 dans les diagrammes précédents) avant que la demande n’atteigne Azure Active Directory ou l’IdP sur site. L’avantage de cette approche est que les attaques par force brute ou par pulvérisation de mots de passe n’atteindront pas l’IdP (ce qui pourrait déclencher des verrouillages de compte en raison de tentatives de connexion incorrectes).

Comme les politiques d’authentification fonctionnent au niveau de l’utilisateur, Exchange Online ne peut bloquer que les demandes d’authentification de base pour les utilisateurs qui existent dans l’organisation cloud. Pour l’authentification fédérée, si un utilisateur n’existe pas dans Exchange Online, le nom d’utilisateur et le mot de passe sont transmis à l’IdP sur site. Par exemple, considérons le scénario suivant :

Exemple : Une organisation possède le domaine fédéré contoso.com et utilise AD FS sur site pour l’authentification.

L’utilisateur ian@contoso.com existe dans l’organisation sur site, mais pas dans Office 365 (il n’y a pas de compte utilisateur dans Azure Active Directory et pas d’objet destinataire dans la liste d’adresses globale Exchange Online).

Un client de messagerie envoie une demande de connexion à Exchange Online avec le nom d’utilisateur ian@contoso.com. Une politique d’authentification ne peut pas être appliquée à l’utilisateur, et la demande d’authentification pour ian@contoso.com est envoyée à l’AD FS sur site.

L’AD FS sur site peut accepter ou rejeter la demande d’authentification pour ian@contoso.com. Si la demande est acceptée, un jeton SAML est renvoyé à Exchange Online. Tant que la valeur ImmutableId du jeton SAML correspond à un utilisateur d’Azure Active Directory, Azure AD émettra un ticket utilisateur pour Exchange Online (la valeur ImmutableId est définie pendant la configuration d’Azure Active Directory Connect).

Dans ce scénario, si contoso.com utilise un serveur AD FS sur site pour l’authentification, le serveur AD FS sur site recevra toujours des demandes d’authentification pour des noms d’utilisateur inexistants de la part d’Exchange Online pendant une attaque par mot de passe.

En règle générale, lorsque vous pouvez bloquez l’authentification de base pour un utilisateur, nous vous recommandons de bloquer l’authentification de base pour tous les protocoles ci dessous. Toutefois, vous pouvez utiliser les paramètres AllowBasicAuth* (commutateurs) sur les cmdlets New-AuthPolicy et Set-AuthPolicyPolicy pour autoriser ou bloquer sélectivement l’authentification de base pour certains protocoles.

Protocol or service

Description

Parameter name

Exchange Active Sync (EAS)

Used by some email clients on mobile devices.

AllowBasicAuthActiveSync

Autodiscover

Used by Outlook and EAS clients to find and connect to mailboxes in Exchange Online

AllowBasicAuthAutodiscover

IMAP4

Used by IMAP email clients.

AllowBasicAuthImap

MAPI over HTTP (MAPI/HTTP)

Used by Outlook 2013 and later.

AllowBasicAuthMapi

Offline Address Book (OAB)

A copy of address list collections that are downloaded and used by Outlook.

AllowBasicAuthOfflineAddressBook

Outlook Service

Used by the Mail and Calendar app for Windows 10.

AllowBasicAuthOutlookService

POP3

Used by POP email clients.

AllowBasicAuthPop

Reporting Web Services

Used to retrieve report data in Exchange Online.

AllowBasicAuthReportingWebServices

Outlook Anywhere (RPC over HTTP)

Used by Outlook 2016 and earlier.

AllowBasicAuthRpc

Authenticated SMTP

Used by POP and IMAP client’s to send email messages.

AllowBasicAuthSmtp

Exchange Web Services (EWS)

A programming interface that’s used by Outlook, Outlook for Mac, and third-party apps.

AllowBasicAuthWebServices

PowerShell

Used to connect to Exchange Online with remote PowerShell. If you block Basic authentication for Exchange Online PowerShell, you need to use the Exchange Online PowerShell Module to connect. For instructions, see Connect to Exchange Online PowerShell using multi-factor authentication.

AllowBasicAuthPowerShell

 

Dans le cas ou vous voulez bloquer les accès basiques pour les mobiles notamment prenez en compte que les applications mail fourni par le téléphone ne fonctionneront plus. Sauf pour IOS. Du coup vous devrez installer obligatoirement le client Mobile Microsoft Officiel.

 

Votre commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s