- Temps de lecture <5 Minutes
- Auteur : Laurent TERUIN
- Audience : Sécurité Azure
Dans l’environnement Office 365, l’authentification est basée sur l’utilisation de jeton d’accès qui est attribué à l’utilisateur lui permettant de se reconnecter sans pour autant taper ses informations de connexion. Par défaut, les jetons d’accès sont valables pendant une heure. Lorsqu’ils expirent, le client est redirigé (de façon transparente ) vers Azure AD pour les rafraîchir. Cette période de rafraîchissement est notamment l’occasion de réévaluer les politiques d’accès des utilisateurs.
Cette méthode est un avantage pour l’utilisateur, mais cela peut être un inconvénient pour la sécurité qui pour des raisons de sécurité souhaite ne pas attendre une heure pour réévaluer les politiques d’accès vis-à-vis de ses utilisateurs.
Si l’on réduit en quelque sorte la durée du Jeton, alors le risque est de dégrader l’expérience utilisateur en le forçant à se reconnecter plus souvent, si l’on augmente la durée de vie de ce jeton alors on diminue la réactivité de la sécurité.
La solution est donc de mettre en place un dialogue régulier entre l’autorité qui a fourni le jeton d’accès , en l’occurrence Azure AD, et la tierce partie (l’application) qui se fie au jeton d’accès pour accorder l’accès à ces services. La figure suivante issue de la documentation Microsoft résume a elle seule le fonctionnement du CAE.
Tableau 1 : CAE source Microsoft
Dans l’accès continue, l’application à donc la possibilité d’observer les changements comme le changement de position géographique et peut en informer l’Azure AD. A son tour l’Azure AD peut prendre des décisions pour rendre caduque le jeton d’accès de l’utilisateur comme le montre la figure suivante.
L’objectif est donc de conserver naturellement ce jeton mais d’augmenter la réactivé notamment en cas d’attaque, voire de suppression du compte. Cette réactivité pourrait être au maximum de 15 minutes comme le précise Microsoft en raison de temps nécessaire à sa propagation.
Les évènements pris en compte par l’évaluation continue des accès sont les suivants
- Le compte de l’utilisateur est supprimé ou désactivé
- Le mot de passe d’un utilisateur est modifié ou réinitialisé
- L’authentification multifactorielle est activée pour l’utilisateur.
- L’administrateur révoque explicitement tous les jetons d’actualisation pour un utilisateur.
- Risque élevé pour l’utilisateur détecté par Azure AD Identity Protection
Pour que cela fonctionne avec les applications celles-ci doivent être mise à jour et c’est notamment le cas de Microsoft Teams. Le tableau suivant précise à ce jour les applications qui supportent le CAE
|
|
Web |
Win32 |
IOS |
Android |
Mac |
|
Outlook |
Supporté |
Supporté |
Supporté |
Supporté |
Supporté |
|
Teams |
Supporté |
Supporté |
Supporté |
Supporté |
Supporté |
|
Office |
Non Supporté |
Supporté |
Supporté |
Supporté |
Supporté |
|
OneDrive |
Supporté |
Supporté |
Supporté |
Supporté |
Supporté |
Tableau 2 : Applications supportant le CAE (Source Microsoft)
Quelques points à savoir
Coauthoring : Lorsque plusieurs utilisateurs travaillent sur un même document, leur accès au document peut ne pas être immédiatement révoqué par le CAE . L’utilisateur perdra complètement l’accès après :
- La fermeture du document
- La fermeture de l’application Office
- Après une période de 10 heures
Licence : La bonne nouvelle est que cette fonctionnalité est disponible avec une simple licence Azure AD P1
Désactivation – Activation : Si vous activez un utilisateur juste après l’avoir désactivé, il y a une certaine latence avant que le compte soit reconnu comme activé
- SharePoint Online et Teams ont généralement un délai de 15 minutes.
- Exchange Online a généralement un délai de 35 à 40 minutes.
Conclusion
Il ne fait aucun doute que cette fonctionnalité devrait être massivement adoptée par les entreprises afin de renforcer leur sécurité d’accès d’autant plus qu’elle ne nécessite pas de licence complémentaire (Azure P1). Une excellente nouvelle pour un début d’année
Travailler ensemble 