Authentification de base vs authentification moderne et comment l’activer dans Office 365
Selon un rapport de Verizon, la majorité des violations de données sont rendues possibles par des identifiants de connexion compromis, en particulier sur les serveurs d’adresse e-mail. L’ingénierie sociale, l’hameçonnage d’identifiants de connexion et les attaques par force brute sont quelques-unes des méthodes utilisées par les acteurs malveillants pour voler des identifiants de connexion. Afin d’améliorer la sécurité des connexions à Office et de contribuer à prévenir les violations de données, Microsoft a introduit la méthode d’authentification moderne. Cette méthode nécessite une authentification et une autorisation supplémentaires de l’utilisateur lors de la connexion aux ressources Office 365 en ligne. En raison de ses avantages significatifs, l’authentification moderne a été activée par défaut dans tous les tenants Office 365 créés depuis 2017. Il s’agit de la seule méthode de connexion disponible pour les applications et services Office 365. Cependant, dans les déploiements hybrides Office sur site et dans le cloud, vous devez activer manuellement l’authentification moderne pour les anciennes versions du client Office et désactiver l’authentification de base dans la mesure du possible. Ce blog offre un bref aperçu des méthodes d’authentification de base et moderne pour les déploiements Office hybrides et fournit les étapes à suivre pour activer l’authentification moderne dans Office 365. 
Authentification moderne vs authentification de base
Jusqu’à ce que la prise en charge de l’authentification de base planifiée pour la fin 2022 soit annulée, Microsoft proposera deux types d’authentification pour les déploiements hybrides d’Exchange et de Skype Entreprise : l’authentification de base et l’authentification moderne. Notez que pour vous connecter à SharePoint Online à l’aide d’un client, seules l’authentification moderne et l’Assistant de connexion Microsoft Online sont disponibles.
Ces deux méthodes d’authentification diffèrent considérablement en termes de capacités de protection. Même si l’authentification de base sera abandonnée plus tard cette année, il est important de comprendre les différences entre les deux options.
Qu’est-ce que l’authentification de base ?
L’authentification de base est le processus qui consiste à se connecter aux applications Office 365 à l’aide d’un nom d’utilisateur et d’un mot de passe uniquement. Lorsque vous saisissez votre nom d’utilisateur et votre mot de passe dans un client de messagerie, ceux-ci sont transmis à Exchange Online pour vérification et authentification avant de vous connecter au service cloud. Il s’agit d’une méthode obsolète qui ne peut plus offrir une protection adéquate contre les menaces liées aux identifiants de connexion. L’une des principales vulnérabilités de l’authentification de base réside dans le fait que les applications stockent les identifiants de connexion sur l’appliance, ce qui multiplie les occasions pour les pirates informatiques de tenter de voler les mots de passe. De plus, de nombreuses fonctionnalités de gestion des identités et des accès de Microsoft, telles que l’accès conditionnel et l’authentification multifacteur (MFA), ne sont pas disponibles avec cette authentification héritée d’Office 365.
Qu’est-ce que l’authentification moderne ?
L’authentification moderne est une combinaison de différentes méthodes d’authentification et d’autorisation permettant d’accéder aux ressources cloud de Microsoft Office. L’authentification moderne repose sur la bibliothèque d’authentification Active Directory (ADAL) et OAuth 2.0.
- La bibliothèque d’authentification Active Directory est un outil d’authentification permettant aux applications d’accéder à des ressources sécurisées via des jetons de sécurité. Avec ADAL, les utilisateurs bénéficient également d’une authentification unique (SSO) pour un accès transparent aux ressources Office 365 mises à leur disposition.
- OAuth 2.0 est un protocole d’autorisation qui permet aux utilisateurs d’accéder à des ressources via une application cliente à l’aide de jetons d’accès. Ce cadre implique une délégation d’accès et, à ce titre, les identifiants de connexion ne sont pas partagés avec le serveur de ressources.
Le cadre d’authentification moderne ajoute une couche de sécurité supplémentaire pour les utilisateurs qui se connectent à leurs ressources Microsoft 365 from applications clientes. De plus, ce cadre permet l’activation de l’authentification multifactorielle (MFA) et l’utilisation de politiques d’accès conditionnel.
Comment activer l’authentification moderne dans Office 365
Pour les tenants Microsoft créés avant août 2017, il existe différentes méthodes pour activer l’authentification moderne dans Office 365 :
Utilisation du centre d’administration Microsoft 365
Pour activer l’authentification moderne dans Office 365 via le centre d’administration :
- Connectez-vous au centre d’administration Microsoft 365.
- Dans le volet de navigation gauche, développez Paramètres, puis cliquez sur Paramètres de l’organisation.
- Sous Services, choisissez Authentification moderne.
- Cochez la case Activer l’authentification moderne pour Outlook 2013 pour Windows et versions ultérieures (recommandé).
- Cliquez sur Enregistrer.
Utilisation d’Exchange Online PowerShell
Suivez les étapes ci-dessous pour activer l’authentification moderne à l’aide d’Exchange Online PowerShell :
- Connectez-vous à Exchange Online PowerShell.
- Exécutez la commande suivante pour les clients Outlook 2013 ou versions ultérieures :
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true - Überprüfen, dass die Änderung erfolgreich durchgeführt wurde und dass die Authentifizierung moderne mit dieser commande activé ist :
Get-OrganizationConfig | Format-Table Nom,OAuth* -Auto
Il est important de noter que cela ne vous empêche pas d’utiliser la méthode d’authentification de base. Cependant, vous pouvez forcer l’utilisation de l’authentification héritée O365 dans Outlook 2013 ou version ultérieure en exécutant la commande :Set-OrganizationConfig -OAuth2ClientProfileEnabled $false
Désactivation de l’authentification de base Office 365
Après avoir activé l’authentification moderne dans Office 365, vous pouvez désormais désactiver les protocoles d’authentification de base. Cependant, vous devez vous assurer qu’aucun utilisateur n’en tire profit. Suivez ces étapes pour vérifier si quelqu’un utilise l’authentification de base :
- Ouvrez votre compte Microsoft Azure.
- Accédez à Azure Active Directory.
- Sélectionnez Journaux de connexion dans le volet de navigation gauche.
- Modifiez la plage de dates pour aff icher les 7 derniers jours ou plus.
- Cliquez sur Ajouter des filtres.
- Sélectionnez l’application Client, puis cliquez sur Appliquer.
- Cliquez sur le filtre nouvellement créé Application client.
- Cochez toutes les cases sous Clients d’authentification hérités.
- Cliquez sur Appliquer.
Cette liste comprend tous les événements de connexion avec les utilisateurs et les applications correspondants. Avant de désactiver l’authentification de base, vous pouvez migrer toutes ces applications vers les protocoles d’authentification modernes afin de ne pas les perdre. Pour désactiver l’authentification héritée O365 :
- Accédez au centre d’administration Microsoft 365.
- Dans le volet de navigation gauche, développez Paramètres et cliquez sur Paramètres de l’organisation.
- Sélectionnez Authentification moderne sous Services.
- Désélectionner tout les cases à cocher sous Autoriser l’accès aux protocoles d’authentification de base.
- Cliquez sur Enregistrer.
Authentification Outlook Modern
Bien que les dernières éditions d’Outlook prennent en charge l’authentification moderne par défaut, son ajout à des clients plus anciens nécessite une configuration manuelle. Les différentes versions d’Outlook ont des conditions à remplir variables en ce qui concerne l’activation de l’authentification moderne :
- Outlook 2010 ou versions antérieures : l’authentification moderne n’est pas prise en charge et vous devez mettre à niveau Outlook pour bénéficier de cette fonctionnalité.
- Outlook 2013 : l’authentification moderne est disponible mais n’est pas activée par défaut. Vous devez forcer Outlook à l’utiliser une fois qu’elle est activée.
- Outlook 2016 ou version ultérieure + Outlook 365 : l’authentification moderne est disponible et activée par défaut.
Le tableau ci-dessous résume les conditions à remplir de chaque version :
| Version Outlook | Authentification moderne | Activer la clé de registre ADAL | Forcer l’authentification moderne |
| Outlook 2010 | Non pris en charge | Non disponible | Non disponible |
| Perspectives 2013 | Prise en charge | Obligatoire | Obligatoire |
| Perspectives 2016 | Prise en charge | Non requis | Non requis |
| Perspectives 2019 | Prise en charge | Non requis | Non requis |
| Outlook 365 | Prise en charge | Non requis | Non requis |
Authentification moderne dans Outlook 2013
Comme mentionné précédemment, Outlook 2013 prend en charge l’authentification moderne, mais utilise l’authentification de base par défaut. Vous pouvez activer manuellement l’authentification moderne. Pour ce faire, vous devez ajouter les clés suivantes dans le registre Windows :
| Clé de registre | Type | Valeur |
| HKCUSOFTWAREMicrosoftOffice15.0CommonIdentityEnableADAL | REG_DWORD | 1 |
| HKCUSOFTWAREMicrosoftOffice15.0CommonIdentityVersion | REG_DWORD | 1 |
Après avoir défini ces clés, Microsoft recommande d’ajouter une clé de registre supplémentaire pour forcer Outlook 2013 à utiliser l’authentification moderne afin qu’il ne revienne pas à l’authentification de base. La clé que vous devez utiliser est :
| Clé de registre | Type | Valeur |
| HKEY_CURRENT_USERSoftwareMicrosoftExchangeAlwaysUseMSOAuthForAutoDiscover | REG_DWORD | 1 |
Authentification moderne dans Outlook 2016 ou version ultérieure
Bien que l’authentification moderne soit activée par défaut dans Outlook 2016, il est conseillé de forcer l’authentification moderne à l’aide de la clé de registre ci-dessous :
| Clé de registre | Type | Valeur |
| HKEY_CURRENT_USERSoftwareMicrosoftExchangeAlwaysUseMSOAuthForAutoDiscover | REG_DWORD | 1 |
Authentification moderne Skype Entreprise
L’authentification moderne étant désactivée par défaut pour tous les tenants Microsoft créés avant le 1er août 2017, vous devez l’activer manuellement. Tout comme dans Outlook, vous pouvez activer l’authentification moderne dans Skype Entreprise à l’aide des clés de registre suivantes :
| Clé de registre | Type | Valeur |
| HKEY_CURRENT_USERSoftwarePoliciesMicrosoftOffice15.0Lync AllowAdalForNonLyncIndependentOfLync | REG_DWORD | 1 |
| HKEY_CURRENT_USERSoftwarePoliciesMicrosoftOffice16.0Lync AllowAdalForNonLyncIndependentOfLync | REG_DWORD | 1 |
Conclusion
Microsoft supprime progressivement l’authentification héritée O365, car un simple ensemble d’identifiants de connexion ne peut plus garantir la protection de sécurité nécessaire. Heureusement, d’autres mesures de sécurité sont disponibles, et il est recommandé d’activer l’authentification moderne dans Office 365. Une fois activé, vous pouvez activer l’authentification multifacteur (MFA), définir des autorisations et restreindre l’accès à des applications spécifiques pour les utilisateurs. Cela dit, disposer d’une solution de sauvegarde complète tierce garantit une protection optimale pour les environnements Office 365. Une solution complète de protection des données telle que NAKIVO Backup & Replication comprend tous les outils dont vous avez besoin pour protéger les données Microsoft 365 de votre organisation.
