Les invites de connexion d’authentification de base sont bloquées par défaut dans Microsoft 365 Apps
Remarque
Les informations contenues dans cet article sont liées aux publications du centre de messages MC454810, MC499030 et MC649046, qui ont été publiées dans le Centre d’administration Microsoft 365.
Des applications telles que Word et Excel permettent aux utilisateurs d’utiliser l’authentification de base pour se connecter à des ressources sur des serveurs web en envoyant des noms d’utilisateur et des mots de passe à chaque requête. Ces informations d’identification sont souvent stockées sur les serveurs, ce qui permet aux attaquants de les capturer plus facilement et de les réutiliser sur d’autres points de terminaison ou services.
L’authentification de base est une norme industrielle obsolète et ne prend pas en charge des fonctionnalités de sécurité plus robustes, telles que l’authentification multifacteur. Les menaces qu’il pose n’ont fait qu’augmenter et il existe des alternatives d’authentification utilisateur meilleures et plus efficaces. Par exemple, l’authentification moderne, qui prend en charge l’authentification multifacteur, les cartes à puce et l’authentification basée sur les certificats.
Par conséquent, pour améliorer la sécurité dans Microsoft 365 Apps, nous modifions son comportement par défaut pour bloquer les invites de connexion à partir de l’authentification de base.
Avec cette modification, si les utilisateurs essaient d’ouvrir des fichiers sur des serveurs qui utilisent uniquement l’authentification de base, ils ne voient aucune invite de connexion d’authentification de base. Au lieu de cela, ils voient un message indiquant que le fichier a été bloqué, car il utilise une méthode de connexion qui peut être non sécurisée. Le message inclut un lien qui dirige les utilisateurs vers un article qui contient des informations sur les risques de sécurité liés à l’authentification de base.
Remarque
- Les partages de fichiers hébergés sur Windows ne sont pas affectés par cette modification, car la méthode d’authentification utilisée est NTLM.
- SharePoint Online, OneDrive et SharePoint Server local (configuré pour l’authentification moderne) ne sont pas affectés par cette modification.
- SharePoint Server local configuré pour l’authentification de base est affecté par cette modification.
Versions de Microsoft 365 Apps affectées par cette modification
Cette modification affecte les applications suivantes uniquement sur les appareils exécutant Windows :
- Access
- Excel
- OneNote
- Outlook
- PowerPoint
- Project
- Publisher
- Visio
- Word
Remarque
- Cette modification n’affecte pas la connexion d’Outlook à des Exchange Server locales à l’aide de l’authentification de base.
- Cette modification n’affecte pas la connexion d’Outlook à Exchange Online à l’aide de l’authentification de base. Il existe un effort distinct pour déprécier l’authentification de base avec Exchange Online. Pour plus d’informations, consultez Dépréciation de l’authentification de base dans Exchange Online.
Dans le cadre du déploiement, les utilisateurs reçoivent initialement un message d’avertissement s’ils tentent d’accéder à un fichier à l’aide de l’authentification de base. Après cette période d’avertissement, l’utilisateur ne peut pas ouvrir le fichier et voit un message lui indiquant que la source utilise une méthode de connexion qui peut ne pas être sécurisée.
Le tableau suivant indique la version, pour chaque canal de mise à jour, dans laquelle les modifications d’avertissement et de blocage sont implémentées. Les informations en italique sont susceptibles d’être modifiées.
Mettre à jour le canal | Version de l’avertissement | Version bloquante |
---|---|---|
Canal actuel (préversion) | Version 2303 |
Version 2311 (Novembre 2023) |
Canal actuel | Version 2304 |
Version 2311 (Décembre 2023) |
Canal mensuel des entreprises | Version 2304 |
Version 2311 (9 janvier 2024) |
Canal Entreprise semi-annuel (préversion) | Version 2308 |
Version 2402 (12 mars 2024) |
Canal Entreprise semestriel |
Version 2308 (9 janvier 2024) |
Version 2402 (9 juillet 2024) |
Remarque
- Cette modification affecte également les versions commerciales de Office 2021, Office 2019 et Office 2016. Ils sont sur la même planification que le canal actuel.
- Cette modification n’affecte pas les versions sous licence en volume d’Office, telles que Office LTSC Professionnel Plus 2021 ou Office Standard 2019.
Comment Microsoft 365 Apps détermine s’il faut afficher les invites d’authentification de base
Le graphique d’organigramme suivant montre comment Microsoft 365 Apps détermine s’il faut ouvrir un fichier si le serveur utilise l’authentification de base.
Les étapes suivantes expliquent les informations contenues dans le graphique de flux.
Un utilisateur tente d’ouvrir un fichier stocké sur un serveur web.
Si le serveur utilise l’authentification proxy d’authentification de base, Microsoft 365 Apps évalue l’état de la stratégie Autoriser les invites d’authentification de base à partir de proxys réseau.
- Si la stratégie est définie sur Activé, l’utilisateur est invité à fournir un nom d’utilisateur et un mot de passe pour ouvrir le fichier.
- Sinon, l’utilisateur ne voit pas d’invite de connexion et l’ouverture du fichier est bloquée. Au lieu de cela, l’utilisateur voit un message indiquant que le fichier a été bloqué, car il utilise une méthode de connexion qui peut être non sécurisée.
Si le serveur n’utilise pas l’authentification de base, le fichier s’ouvre. Si le serveur utilise l’authentification de base, Microsoft 365 Apps vérifie si une stratégie existe pour autoriser les invites d’authentification de base.
Si le serveur s’authentifie directement avec l’authentification de base, Microsoft 365 Apps évalue l’état de la stratégie Autoriser les hôtes spécifiés à afficher les invites d’authentification de base aux applications Office.
- Si la stratégie est définie sur Activé et que le serveur est spécifié, l’utilisateur est invité à fournir un nom d’utilisateur et un mot de passe pour ouvrir le fichier.
- Sinon, l’utilisateur ne voit pas d’invite de connexion et l’ouverture du fichier est bloquée. Au lieu de cela, l’utilisateur voit un message indiquant que le fichier a été bloqué, car il utilise une méthode de connexion qui peut être non sécurisée.
Utiliser des stratégies pour gérer les invites d’authentification de base
Si vous devez fournir des invites d’authentification de base pour certains hôtes ou à partir de proxys réseau, vous pouvez configurer les stratégies suivantes :
- Autoriser les hôtes spécifiés à afficher les invites d’authentification de base pour les applications Office
- Autoriser les invites d’authentification de base à partir de proxys réseau
Importante
- Nous vous déconseillons d’autoriser les invites d’authentification de base pour certains hôtes ou à partir de proxys réseau, car l’utilisation de l’authentification de base n’est pas sécurisée.
- Toutefois, vous pouvez utiliser ces stratégies si vous devez fournir ces invites temporairement pendant que vous déplacez ces serveurs vers des méthodes d’authentification plus sécurisées.
Ces stratégies se trouvent dans la console de gestion stratégie de groupe sous Configuration utilisateur\Stratégies\Modèles d’administration\Microsoft Office 2016\Paramètres de sécurité.
Remarque
- Pour utiliser ces stratégies, téléchargez au moins la version 5359.1000 des fichiers de modèle d’administration stratégie de groupe (ADMX/ADML) pour Microsoft 365 Apps à partir du Centre de téléchargement Microsoft. Cette version a été publiée le 11 août 2022.
- Vous pouvez également implémenter ces stratégies à l’aide de la stratégie cloud. Pour plus d’informations, consultez Vue d’ensemble du service De stratégie cloud pour Microsoft 365.
Autoriser les hôtes spécifiés à afficher les invites d’authentification de base pour les applications Office
Cette stratégie vous permet de spécifier les hôtes qui peuvent afficher des invites de connexion d’authentification de base à des applications telles que Word et Excel.
Le tableau suivant indique le niveau de protection que vous obtenez avec chaque état de la stratégie.
Icône | Niveau de protection | État de la stratégie | Description |
---|---|---|---|
Protégé | Activé (aucun hôte spécifié) |
Les utilisateurs ne peuvent pas ouvrir des fichiers situés sur des serveurs web qui utilisent l’authentification de base. | |
Partiellement protégé | Activé (hôtes spécifiés) |
Les invites d’authentification de base sont autorisées uniquement à partir des hôtes spécifiés.
Si vous spécifiez plusieurs hôtes, séparez-les par un point-virgule. |
|
Protégé | Désactivé | Les utilisateurs ne peuvent pas ouvrir des fichiers situés sur des serveurs web qui utilisent l’authentification de base. | |
Protected [recommandé] |
Non configuré | Les utilisateurs ne peuvent pas ouvrir des fichiers situés sur des serveurs web qui utilisent l’authentification de base. |
Autoriser les invites d’authentification de base à partir de proxys réseau
Cette stratégie contrôle si les proxys réseau sont autorisés à afficher les invites d’authentification de base.
Le tableau suivant indique le niveau de protection que vous obtenez avec chaque état de la stratégie.
Icône | Niveau de protection | État de la stratégie | Description |
---|---|---|---|
Protégé | Désactivé | Les proxys réseau n’affichent pas les invites d’authentification de base. | |
Non protégé | Activé | Les proxys réseau affichent les invites d’authentification de base. | |
Protégé [recommandé] | Non configuré | Les proxys réseau n’affichent pas les invites d’authentification de base. |