Office 365 & Identités – Partie 1 – Solutions de MFA

  • Article

Office 365 permet plusieurs gestions de l’identité pour les utilisateurs. Les évolutions étant régulières, il est intéressant de faire un point sur ces méthodes et leurs mécanismes. Cet article a pour objectif de décrire brièvement les trois méthodes disponibles, de rappeler les concepts de l’authentification multi-facteurs et présenter les deux solutions de Microsoft : Windows Azure MFA et MFA for Office 365.

1° Quelles sont les méthodes de gestion des identités avec Office 365 ?

Il existe plusieurs moyens de gérer les identités dans Office 365 :

Les trois modèles de gestion de l’identité dans Office 365 peuvent être décris comme suit :

  • Identité Cloud : Compte dédié et spécifique avec mot de passe géré dans Windows Azure Active Directory (WAAD). Note : le service WAAD est inclus avec les licences Office 365 mais son utilisation reste dans ce cas limitée à Office 365.
  • Identité Cloud + Synchronisation d’annuaire : Utilisation de DirSync pour synchroniser les identités. La fonctionnalité de PasswordSync permet de synchroniser les mots de passe des comptes depuis l’Active Directory on-premises vers le WAAD.
  • Identité Fédérée : utilisation d’un système de fédération et de la synchronisation de l’annuaire : les comptes sont synchronisés dans le cloud et l’authentification est réalisée par le système de fédération on-premises (à demeure)

2° L’authentification multi-facteurs, kézako ?

Une description très académique de l’authentification multi-facteurs (MFA en anglais) peut être faite par : l’utilisation d’au-moins deux des éléments suivants :

  • Quelque chose que l’on connait : un mot de passe ou un code PIN
  • Quelque chose qui nous appartient : un téléphone, une carte de crédit ou un token
  • Quelque chose que l’on “est” : empreinte digitale, rétinienne …

La MFA est dite renforcée quand on utilise deux modes différents :

3° L’offre MFA de Microsoft

Microsoft fournit un service d’authentification multi-facteurs à travers deux offres différentes :

  • MFA for Office 365
  • Windows Azure multi-factor Authentication

Les deux services utilisent PhoneFactor, société acquise par Microsoft en 2012

MFA for Office 365:

  • Authentification d’entreprise à l’aide de tout téléphone/smartphone
  • Disponible gratuitement pour les administrateurs Office 365 et pour tous les utilisateurs Office 365 depuis février
  • Fonctionne avec tous les services Office 365 de type Web
    • Outlook Web App, SharePoint Online
  • Requiert des mots de passe applicatifs pour les clients riches
    • Non disponibles pour les administrateurs
    • 16 caractères générés

Il faut noter que MFA for Office 365 est disponible dans tous les plans de licences Office 365 et ne permet de sécuriser que les ressources Office 365.

Windows Azure MFA:

  • Utilisé par des milliers d’entreprises pour authentifier les employés, clients et les partenaires
  • Utilisé pour sécuriser les applications et les identités dans le Cloud et On Premise

4° Eléments de comparaison entre Windows Azure MFA et MFA pour Office 365

Globalement on peut noter que MFA for Office 365 est fourni gratuitement dans le cadre d’un plan de licence Office 365 et Windows Azure MFA est un service payant offrant un panel plus étendu de fonctionnalités. Voici un tableau comparatif des deux services :

La différence majeure entre les deux solutions est que Windows Azure MFA permet de fournir un service de multi-authentification pour les applications on-premises, qu’elles soient développées en interne ou commerciale (sous réserve de compatibilité bien-sûr). Alors que MFA for Office 365 est cantonné au cadre d’Office 365.

Voici quelques éléments de décision quant à la solution à adopter :

Cet article vous a présenté les méthodes de gestion de l’identité dans Office 365 et les solutions possibles pour implémenter une authentification multi-facteurs. Pour aller plus loin, je vous encourage à monter votre plateforme de tests et consulter la documentation disponible en ligne :

Windows Azure MFA :

https://technet.microsoft.com/en-us/library/dn249471.aspx

MFA for Office 365 :

https://technet.microsoft.com/en-us/library/7a9c56cf-72f1-4797-8e86-a9a2d9569ef6#whatareapp

Dans ce second article, je vous présente la mise en place et l'utilisation de "MFA for Office 365" :

Office 365 & Identités – Partie 2 – MFA pour Office 365

  Jérôme BRUNELET, Consultant Communication Universelles, Microsoft Consulting Service France

Un début de carrière dans l’écosystème des partenaires Microsoft m’a naturellement conduit à intégrer MCS en 2012. Depuis j’interviens en tant que Consultant Communications Universelles, plus spécifiquement sur les solutions de messagerie on-premises et Cloud de Microsoft.