L'activation de l'authentification multifacteur (MFA) est la mesure de sécurité la plus efficace pour contrer les compromissions de comptes (elle bloque la plupart des attaques automatisées selon Microsoft). Cependant, activer le MFA pour l'intégralité d'une entreprise du jour au lendemain, sans phase de test, est la garantie absolue de saturer votre centre de support informatique (Helpdesk).
La méthode moderne et sécurisée consiste à utiliser l'Accès Conditionnel (Conditional Access) pour déployer le MFA de manière granulaire, par exemple sur un groupe pilote ou sur un département spécifique (VIP, IT, Finance).
Prérequis : L'Accès Conditionnel nécessite une licence Microsoft Entra ID Premium P1 ou P2 (incluse dans Microsoft 365 Business Premium, E3 ou E5).
1. La logique de l'Accès Conditionnel et le piège du "Lockout"
Contrairement à l'ancienne méthode de MFA "par utilisateur" (Per-User MFA, désormais obsolète), l'Accès Conditionnel fonctionne comme un pare-feu d'identité. Il évalue des signaux (Qui ?, Quoi ?, Où ?) pour prendre une décision (Autoriser, Bloquer, ou Exiger le MFA).
La règle d'or de l'infrastructure d'identité : Le compte "Break-Glass" L'erreur la plus catastrophique lors de la création d'une stratégie d'Accès Conditionnel est de cibler "Tous les utilisateurs" sans configurer d'exclusion. Si le service MFA de Microsoft tombe en panne, ou si une règle est mal configurée, plus aucun administrateur ne pourra se connecter. Vous serez littéralement verrouillé hors de votre tenant cloud.
Avant de créer votre stratégie, vous devez impérativement créer un (ou deux) comptes d'urgence (Break-Glass Accounts) :
-
Ce compte doit avoir le rôle Global Administrator.
-
Il doit utiliser un domaine
.onmicrosoft.com(non fédéré). -
Son mot de passe doit faire plus de 30 caractères, généré aléatoirement, et stocké physiquement dans un coffre-fort.
-
Ce compte doit être explicitement exclu de TOUTES vos stratégies d'Accès Conditionnel.
2. Configuration : Créer la stratégie de MFA ciblée
Une fois votre groupe cible identifié (ex: GRP_Pilote_MFA) et votre compte d'urgence créé (ex: admin.urgence@votretenant.onmicrosoft.com), voici comment configurer la stratégie depuis le portail Entra ID :
-
Nom de la stratégie :
SEC-Exiger MFA pour le groupe Pilote -
Utilisateurs (Users) : * Inclure (Include) : Sélectionnez "Sélectionner des utilisateurs et des groupes" et cochez uniquement votre groupe
GRP_Pilote_MFA.-
Exclure (Exclude) : Étape critique. Cochez "Utilisateurs" et sélectionnez votre compte Break-Glass. Vous pouvez aussi exclure le compte de synchronisation Entra Connect (Sync Account).
-
-
Ressources cibles (Target resources) :
-
Inclure : "Toutes les applications cloud" (All cloud apps). Il est recommandé de protéger l'accès global plutôt que de cibler application par application.
-
-
Conditions : (Optionnel) Vous pouvez laisser vide pour cibler toutes les localisations, ou exclure vos adresses IP publiques de confiance (siège social) si vous ne souhaitez pas de MFA au bureau (bien que le Zero Trust recommande le MFA partout).
-
Contrôles d'accès (Grant) :
-
Sélectionnez "Accorder l'accès" (Grant access).
-
Cochez "Exiger l'authentification multifacteur" (Require multifactor authentication).
-
-
État de la stratégie :
-
Ne la mettez jamais sur "Activé" (On) directement.
-
Choisissez Rapport uniquement (Report-only) pendant 48 heures. Cela permet de vérifier dans les logs d'authentification si la stratégie s'applique correctement sans bloquer les utilisateurs. Une fois validée, passez-la sur Activé (On).
-
3. Déployer la stratégie via PowerShell
L'interface graphique est très bien, mais si vous gérez plusieurs tenants (MSP) ou si vous appliquez le principe d'Infrastructure-as-Code (IaC), vous devez automatiser cela via Microsoft Graph PowerShell.
Voici le script permettant de créer cette stratégie d'Accès Conditionnel avec les inclusions et exclusions correctes.
# Prérequis : Install-Module Microsoft.Graph.Identity.SignIns
# Scopes requis : Policy.ReadWrite.ConditionalAccess
Connect-MgGraph -Scopes "Policy.ReadWrite.ConditionalAccess"
Write-Host "Création de la stratégie d'Accès Conditionnel pour le MFA ciblé..." -ForegroundColor Cyan
# Remplacez par les Object IDs réels de votre tenant
$GroupIdToInclude = "11111111-2222-3333-4444-555555555555" # ID du groupe Pilote
$BreakGlassUserId = "99999999-8888-7777-6666-555555555555" # ID du compte d'urgence
# Définition des conditions (Qui et Quoi)
$conditions = @{
Users = @{
IncludeGroups = @($GroupIdToInclude)
ExcludeUsers = @($BreakGlassUserId)
}
Applications = @{
IncludeApplications = @("All")
}
ClientAppTypes = @("all")
}
# Définition de l'action (Exiger le MFA)
$grantControls = @{
Operator = "OR"
BuiltInControls = @("mfa")
}
# Paramètres de la nouvelle stratégie
$policyParams = @{
DisplayName = "SEC-01-Require MFA for Pilot Group"
State = "enabledForReportingButNotEnforced" # Mode Report-Only
Conditions = $conditions
GrantControls = $grantControls
}
# Création de la stratégie via l'API Graph
try {
$newPolicy = New-MgIdentityConditionalAccessPolicy -BodyParameter $policyParams
Write-Host "Stratégie créée avec succès en mode Report-Only ! (ID: $($newPolicy.Id))" -ForegroundColor Green
} catch {
Write-Error "Erreur lors de la création de la stratégie : $_"
}
Note : Le paramètre State = "enabledForReportingButNotEnforced" vous garantit que la stratégie est créée en mode "Rapport Uniquement", sécurisant ainsi votre mise en production.
Conclusion
Cibler l'activation du MFA via un groupe Entra ID et l'Accès Conditionnel est la méthodologie de déploiement la plus sûre. Elle vous permet de valider vos communications de conduite du changement et vos procédures de support (réinitialisation de jetons MFA) sur un périmètre restreint avant d'étendre la sécurité à toute l'entreprise. Surtout, n'oubliez jamais votre compte d'urgence, c'est votre seule assurance-vie face à un incident de configuration.
