Office 365 & Identités – Partie 2 – MFA pour Office 365

  • Article

Dans un précédent article nous avons illustré les méthodes de gestion des identités dans Office 365 et introduit le concept de MFA. Les deux services proposés par Microsoft ont été présentés, Windows Azure MFA et MFA for Office 365.

Office 365 & Identités – Partie 1 – Solutions de MFA

Cet article présente l’utilisation de" MFA for Office 365", un rapide tutorial vous permettra de tester et comprendre cette fonctionnalité.

1° Mise en oeuvre de "MFA for Office 365"  

Du point de vue administrateur Office 365, il est nécessaire d’activer le service "MFA for Office 365" pour les utilisateurs concernés.

 Cliquer sur « Installer » face à « Définir une authentification à l’aide de plusieurs facteurs » :

Nous activons ici le service pour l’utilisateur "Robert Krakinovitch".

Note : il est bien évidement possible d’activer le service MFA en bloc, en utilisant un fichier ".csv" listant les utilisateurs et le statut désiré pour MFA.
Cette opération est également réalisable en PowerShell, voir :

 https://msdn.microsoft.com/en-us/library/7a9c56cf-72f1-4797-8e86-a9a2d9569ef6#enableuser

 

 Du point de vue de l’utilisateur concerné , lors de sa première connexion il sera informé de la mise en place du MFA par son administrateur et des informations lui sont demandées. Le processus se déroule en trois étapes et uniquement lors de la première connexion consécutive à l’activation de MFA par l’administrateur :

 

L’utilisateur doit maintenant configurer le service pour se connecter. Il est important de noter qu’en cas d’activation généralisée de MFA pour Office 365, la gestion du changement sera un facteur déterminant dans l’adoption des utilisateurs. L’administrateur du Tenant Office 365 ne peut pas effectuer ces opérations en amont à la place des utilisateurs, il est donc nécessaire de prévoir un accompagnement des utilisateurs sous le format correspondant le mieux aux usages : guide de connexion, helpdesk, formation en séance, etc.

La première étape consiste à choisir le moyen utilisé pour l’authentification MFA : "SMS" ou "appel d’une messagerie vocale".

 Note : Il est possible ici de spécifier par l’utilisateur un numéro de téléphone différent de celui renseigné dans Active Directory.

Note : Le numéro de téléphone professionnel inscrit dans Active Directory n’est ici pas éditable.

 La seconde étape consiste à valider le numéro de téléphone renseigné (dans notre exemple cela se fait par l’envoi d’un SMS comportant un code de vérification à entrer) :

 La troisième étape est ensuite relative aux mots de passe d’application. Il est demandé à l’utilisateur s’il se connecte à des applications sans navigateurs (typiquement les clients Outlook et Lync). Si oui, il lui faut générer un mot de passe d’application qui sera renseigné lors sa première connexion via ces applications :

Le mot de passe d’application est communiqué à l’utilisateur :

 Cette étape conclut la configuration du service "MFA for Office 365" par l’utilisateur. Il est bien-sûr donné possibilité à l’utilisateur de modifier ces paramètres ainsi que d’autres par la suite, il lui suffit pour cela d’accéder aux options un fois connecté sur le portail Office 365.

Note : il est recommandé de créer un "app password" (mots de passe applicatifs) par périphérique et non par application. Par exemple un "app password" créé pour l’ordinateur portable d’un utilisateur permettra de renforcer l’authentification de ce dernier pour les applications concernées sur ce même ordinateur. Un autre "app password" pourra être utilisé sur le poste fixe du même utilisateur. L’idée est de ne pas avoir un "app password" par application, cela complexifierai le déploiement de "MFA for Office 365" et rendrai l’utilisation du service moins intuitive pour les utilisateurs. Les "app password"  ne sont pas conçu pour être retenus par les utilisateurs mais renseignés dans les applications puis oubliés.

  Les options de configuration possibles au niveau de l’utilisateur sont les suivantes :

  --> Onglet Vérification de sécurité supplémentaire

 Note : les options "Me notifier via l’application" et "Afficher un code unique dans l’application" nécessitent l’activation de l’option "Application Mobile". Dans ce cas, l’installation d’une application dédiée est nécessaire sur le smartphone de l’utilisateur :

 Si l’utilisateur choisit cette option de vérification, lorsqu’il se connectera sur Office 365, au lieu de recevoir un SMS ou un appel, il validera son identité grâce à l’application mobile, soit par l’utilisation d’un code affiché dans l’application, soit en étant notifié dans cette dernière.

  --> Onglet mot de passe d’application

 L’utilisateur peut ici gérer lui-même ses mots de passe d’application en les créant ou en les supprimant. Il faut noter les points suivants qui sont importants :

    - Le nom donné au mot de passe d’application ne sert que pour le tri, cela ne l’associe pas à proprement parler à l’application.

    - Le mot de passe applicatif est ensuite affiché à l’écran mais il ne sera plus possible de le réafficher par la suite, l’option est donnée de le copier dans le presse-papier.

    - "L’association" du mot de passe d’application avec l’application concernée se fait lors de son utilisation.

    - Les mots de passe applicatifs n’expirent pas, lorsque le mot de passe Office 365 de l’utilisateur expire, les mots de passe d’application qu’il possède restent actifs et valides.

    - Les mots de passe d’application sont à créer avant leur utilisation au travers des applications concernées.

    - Le même mot de passe d’application peut être utilisé pour des applications différentes.

    - Il est possible pour l’administrateur Office 365 du tenant concerné de forcer une suppression de tous les mots de passe d’application d’un compte utilisateur donné.

    - Il est nécessaire de cocher la case « mémoriser ces informations » sur l’application lorsque l’on utilise les mots de passe applicatifs. L’idée est que l’utilisateur ne le renseigne qu’une fois et l’oublie ensuite.

 Le mécanisme de double-authentification se fait par le principe que pour pouvoir créer un mot de passe d’application, l’utilisateur doit, au-préalable, s’être connecté à Office 365 avec son mot de passe utilisateur.

 Une fois connecté, il créera les différents mots de passe applicatifs nécessaires qui seront utilisés pour se connecter aux applications connectées aux services Office 365 (Outlook, Lync, etc.).

 

2° Expérience utilisateur avec "MFA for Office 365" sur le client web

Une fois "MFA for Office 365" configuré par l’administrateur et par l’utilisateur, l’expérience sera la suivante.

 L’utilisateur se connecte sur le portail Office 365 avec son mot de passe :

--> En cas d’option de vérification par SMS 

Le menu suivant est affiché sur le navigateur et en même temps l’utilisateur reçoit par SMS (sur le numéro de téléphone qu’il a configuré) le code de vérification :

 

--> En cas d’option de vérification par code affiché sur l’application mobile

L’utilisateur ouvre l’application Multi-Factor Auth sur son téléphone et un code à 6 chiffres lui est présenté. Il doit le renseigner dans le navigateur :

 

3° Expérience utilisateur avec "MFA for Office 365" sur applications (Outlook & Lync)

Le mode de vérification est toujours le même, à savoir l’utilisation de mot de passe d’application. L’utilisateur a la possibilité de générer son mot de passe d’application et de le supprimer. Typiquement, le mot de passe à renseigner pour se connecter à Lync et Outlook n’est pas celui de l’utilisateur (de l’Active Directory local en cas d’utilisation de PasswordSync ou du Cloud) mais le mot de passe applicatif.

Note : dans le cas d’un nouveau déploiement où les profils Outlook ne sont pas encore configurés sur les boites aux lettres Office 365, une fois que Autodiscover aura trouvé les informations de configuration de la boite, l’utilisateur devra se connecter. Il faut garder à l’esprit que le mot de passe applicatif sera celui à renseigner et non pas celui du compte utilisateur.

Voici les écrans présentés lors de la configuration d’un profil Outlook pour un utilisateur qui a activé ses mots de passe d’application :

Le mot de passe que l’utilisateur doit renseigner ici est le mot de passe applicatif de son choix (il doit avoir été préalablement créé dans les options Office 365 du compte utilisateur). Il est nécessaire de cocher la case « Mémoriser ces informations », le mot de passe applicatif n’a pas vocation à être mémorisé par l’utilisateur.

 Pour Lync, par exemple, le comportement est le même :

 Un mot de passe applicatif doit être ici renseigné (il peut être le même que celui renseigné pour Outlook). Comme pour Outlook, il est nécessaire de cocher la case « Enregistrer mon mot de passe ». L’utilisateur se connecte ensuite à Lync :

Pour aller plus loin, je vous encourage à monter votre plateforme de tests et consulter la documentation disponible en ligne :

Windows Azure MFA : 

https://technet.microsoft.com/en-us/library/dn249471.aspx 

MFA for Office 365 :

https://technet.microsoft.com/en-us/library/7a9c56cf-72f1-4797-8e86-a9a2d9569ef6#whatareapp

  Jérôme BRUNELET, Consultant Communication Universelles, Microsoft Consulting Service France

Un début de carrière dans l’écosystème des partenaires Microsoft m’a naturellement conduit à intégrer MCS en 2012. Depuis j’interviens en tant que Consultant Communications Universelles, plus spécifiquement sur les solutions de messagerie on-premises et Cloud de Microsoft.