Jusqu'à présent, la seule manière d'activer le MFA sur votre tenant via Office Protect était d'activer "Enable Security Defaults". L'utilisation de ce paramètre a ses limites pour les tenants bénéficiant d'Azure Active Directory Premium, car Security Defaults ne peut pas être activé s'il existe des Stratégies d'Accès Conditionnel, et inversement. 


Pour permettre la création de Stratégies d'Accès Conditionnel sur les tenants bénéficiant d'Azure AD Premium, nous avons modifié le comportement du paramètre Office Protect "Enable Security Defaults" qui devient désormais "Enable MFA".



Impacts des changements :



        1 - Tenant sans licence Azure Active Directory Premium :


Enable Security Defaults était activé sur votre tenant : pas de changement, Security Defaults reste actif.


Enable Security Defaults n'était pas activé sur votre tenant : pas de changement.



        2 - Tenant avec licence Azure Active Directory Premium :


Enable Security Defaults était activé sur votre tenant :

  • Security Defaults restera actif par défaut.
  • Vous pouvez désormais choisir la valeur "Via CA when available" :
    • Office Protect créera automatiquement deux Stratégies d'Accès Conditionnel sur votre tenant, et Security Defaults sera désactivé. Le niveau de sécurité demeure le même (voir rubrique "Comment ça marche?" ci-dessous).
    • Si Office Protect détecte que ces Stratégies d'Accès Conditionnel sont éditées ou supprimées dans Microsoft, vous recevrez un événement "Microsoft 365 setting changed outside Office Protect".
    • Avec cette nouvelle configuration, vous pouvez désormais créer de nouvelles Stratégies d'Accès Conditionnel, si vous le souhaitez.
  • Si vous souhaitez créer vos propres Stratégies d'Accès Conditionnel MFA, vous pouvez choisir la valeur "Do not modify (Ignore)".



Vous pouvez choisir d'appliquer "Via CA when available" à un profil. Pour les tenants associés à ce profil et licenciés Azure AD Premium, des Stratégies d'Accès Conditionnel seront créées. Pour les tenants associés à ce profil et non licenciés Azure AD Premium, Security Defaults sera activé.


Enable Security Defaults n'était pas activé sur votre tenant :

  • Vous n'avez pas configuré de Stratégie d'Accès Conditionnel MFA sur votre tenant : pas de changements.
  • Vous avez déjà configuré des Stratégies d'Accès Conditionnel MFA sur votre tenant : 
    • Vous pouvez choisir de sélectionner la valeur "Do not modify (Ignore)" pour qu'Office Protect ne tienne pas compte de votre politique de MFA. 
    • Vous pouvez choisir "Via CA when available" pour bénéficier des politiques MFA d'Office Protect.

       

Veuillez noter qu'en activant les Stratégies d'Accès Conditionnel MFA d'Office Protect, si vous avez d'autres politiques actives, la plus restrictive s'appliquera.



Comment ça marche?


Que le paramètre soit activé via Security Defaults ou via des Stratégies d'Accès Conditionnel, votre tenant est protégé avec le même niveau de sécurité :

  • Tous les utilisateurs doivent s'enregistrer pour l'authentification multifacteurs Azure AD,
  • Tous les administrateurs doivent faire une authentification multifacteur,
  • Les utilisateurs doivent faire une authentification multifacteur lorsque c'est nécessaire,
  • Les protocoles d'authentification hérités sont bloqués,
  • Les activités privilégiées comme l'accès au portail Azure sont protégées.


Lorsque Office Protect active MFA via des Stratégies d'Accès Conditionnel, les deux stratégies suivantes sont créées sur votre tenant :

  • MFA Policy (OP) : Accorde l'accès à toutes les applications cloud après que les utilisateurs ont été invités à effectuer une authentification multifacteur.
  • Block Legacy Authentication Policy (OP) : Bloque les accès aux applications cloud utilisant un protocole d'authentification hérité


Vous pouvez accéder à ces stratégies via votre portail d'administration Microsoft Azure AD > rubrique "Protéger et Sécuriser" > "Accès conditionnel". Pour éviter tout dysfonctionnement, nous vous recommandons vivement de ne pas modifier les stratégies créées par Office Protect.