Azure AD : Contrôlez les connexions des comptes à privilèges


Azure AD: Control privileged account sessions

FR/EN

Les comptes à privilèges sont des comptes d’administration Azure Active Directory possédant des rôles d’administration qui peuvent aller du simple fait, de pouvoir uniquement lire l’intégralité de la configuration Aure AD comme Global Reader à celui de pouvoir tout changer comme le rôle Global Administrator.
Ces accès sont donc à surveiller de très prêt et l’usage de l’authentification à Multi- facteurs est une quasi-obligation. Cependant l’authentification multifactorielle ne fait pas tout et il est préférable d’imposer aux administrateurs de votre tenant, une reconnexion régulière au bout d’un temps relativement court. Le but étant de ne pas laisser un périphérique connecté avec un rôle d’administration trop longtemps sans vérifier de nouveau que l’individu derrière le clavier est bien la personne qu’il prétend être.

Pour cela, il faut configurer vos règles d’accès conditionnelles pour qu’elles visent intégralement l’ensemble de vos comptes ayant des rôles d’administration dans l’Azure AD (se référer l’article suivant pour ce qui est des rôles d’administration dans Azure AD) et imposer cette reconnexion régulière.

Azure AD vous offre la possibilité de le faire grâce au contrôle de la fréquence de la connexion : La fréquence de connexion définit par conséquent la durée à l’issue de laquelle un utilisateur sera contraint de se reconnecter lorsqu’il tentera d’accéder à une ressource. Par défaut cette période est de 90 Jours. Vous avouerez que pour des comptes d’administration c’est un peu trop. Dans l’exemple suivant nous allons ramener cette option à 1 heure.

Mais avant de vous lancer, il faut savoir que le fait de forcer la reconnexion aux applications 0365 ne fonctionnent que pour les applications qui ont implémenté les protocoles OAuth2 ou OIDC . Je vous rassure la plupart des applications 0365 ont implémenté ces normes et vous devriez avoir interdit depuis longtemps toute authentification basique. Il faut néanmoins comme le précise Microsoft « que celles-ci ne suppriment pas leurs propres cookies et qu’elles soient régulièrement redirigées vers Azure AD à des fins d’authentification. » Autrement dit si vous utilisez d’autres solutions de MFA que celui d’active Directory (Okta, PingFederate etc..) pas sûr que cela fonctionne. Mais je testerai

Ah dernière chose à prendre en compte selon Microsoft : Avant d’activer la fréquence de connexion, assurez-vous que les autres paramètres de réauthentification sont désactivés dans votre Tenant. Si l’option « Se souvenir de l’authentification multi facteur sur les appareils de confiance » est activée, veillez à la désactiver avant d’utiliser la fréquence de connexion, car l’utilisation conjointe de ces deux paramètres peut entraîner des messages d’invite inattendus pour les utilisateurs.

Allez c’est parti !

Privileged accounts are Azure Active Directory administration accounts with administration roles that can range from being able to read the entire Aure AD configuration, such as Global Reader, to being able to change everything, such as the Global Administrator role.
These accesses are therefore to be closely monitored and the use of multi-factor authentication is almost compulsory. However, multi-factor authentication does not do everything and it is preferable to impose on the administrators of your tenant, a regular reconnection after a relatively short time. The goal is not to leave a device connected with an administration role for too long without verifying that the individual behind the keyboard is the person he claims to be.
To do this, you need to configure your conditional access rules so that they cover all your accounts with administrative roles in Azure AD (see the following article on administrative roles in Azure AD) and impose this regular reconnection.

Azure AD offers you the possibility to do this thanks to the control of the connection frequency: The connection frequency defines the duration after which a user will be forced to reconnect when he tries to access a resource. By default, this period is 90 days. You will admit that for administration accounts this is a bit too much. In the following example we will reduce this option to 1 hour.

But before you start, you should know that forcing reconnection to 0365 applications only works for applications that have implemented the OAuth2 or OIDC protocols. I reassure you that most 0365 applications have implemented these standards and you should have banned all basic authentication long ago. However, it is necessary as Microsoft states « that these do not delete their own cookies and that they are regularly redirected to Azure AD for authentication purposes. » In other words, if you use other MFA solutions than active Directory (Okta, PingFederate etc..) not sure if it works. But I will test it 😉

Ah last thing to consider according to Microsoft: Before enabling login frequency, make sure other re-authentication settings are disabled in your Tenant. If « Remember multi-factor authentication on trusted devices » is enabled, be sure to disable it before using login frequency, as using these two settings together can result in unexpected prompts for users.

Let’s get started!

Mise en place

Dans l’exemple ci-dessous nous allons créer une règle qui vise uniquement un simple compte TestADC ayant des rôles d’administration dans l’Azure AD à se reconnecter toutes les heures. Pour cela nous avons créer une règle d’accès conditionnelle spécifique comme le montre la figure suivante / In the example below we will create a rule that only targets a simple TestADC account with administrative roles in Azure AD to reconnect every hour. For this we have created a specific conditional access rule as shown in the following figure

Maintenant que tout est en place. Nous testons la connexion avec le compte de test et je vérifie que dans les journaux de connexion le compte en question rencontre bien la règle d’accès conditionnel créée pour l’occasion. Ce qui semble être le cas. La règle d’accès étant positionnée à ON je laisse une heure en étant connecté avec ce compte sur l’interface d’administration / Now that everything is in place. We test the connection with the test account and I check that in the connection logs the account in question meets the conditional access rule created for the occasion. This seems to be the case. The access rule being set to ON I leave an hour while connected with this account on the administration interface

Une heure après je tente d’utiliser la session connectée avec ce compte et voilà ce que j’obtiens / An hour later I try to use the session connected with this account and this is what I get

La stratégie de votre organisation exige que vous vous connectiez à nouveau après un certain temps / Your organization’s strategy requires that you log back in after a certain period of time

Parfait ça fonctionne comme ça doit fonctionner.  Il n’y a plus qu’à le positionner en production / Perfect, it works as it should 😉 Now we just have to put it in production

Cordialement / regards
Laurent TERUIN

Votre commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s