Implémenter le verrouillage intelligent Microsoft Entra

Effectué

Le verrouillage intelligent verrouille les acteurs incorrects qui essaient de deviner les mots de passe des utilisateurs ou d’utiliser des méthodes de force brute pour y accéder. Il peut reconnaître les connexions provenant d’utilisateurs valides et les traiter différemment de ceux des attaquants et d’autres sources inconnues. Le verrouillage intelligent verrouille les attaquants, tout en permettant aux utilisateurs d’une organisation de continuer à accéder à leurs comptes et à être productifs.

Par défaut, après 10 tentatives ayant échoué, le verrouillage intelligent verrouille le compte contre les tentatives de connexion pendant une minute. Après la dixième tentative ayant échoué, le verrouillage intelligent verrouille le compte après chaque tentative consécutive ayant échoué. Le verrouillage intelligent verrouille le compte pendant une minute après la onzième tentative ayant échoué. À compter de la douzième tentative ayant échoué, le verrouillage intelligent verrouille le compte encore plus longtemps.

Le verrouillage intelligent effectue le suivi des mots de passe des trois tentatives précédentes de mot de passe ayant échoué pour éviter d’incrémenter le compteur de verrouillage pour le même mot de passe. Le verrouillage intelligent ne verrouille pas un compte d’utilisateur si quelqu’un entre plusieurs fois le même mot de passe incorrect.

Remarque

L’authentification directe se produit localement et non dans le cloud. Par conséquent, la fonctionnalité de suivi de hachage n’est pas disponible pour les clients avec PTA activé.

Le verrouillage intelligent est toujours activé pour tous les clients de Microsoft Entra ID Assistants avec ces paramètres par défaut qui offrent la combinaison appropriée de sécurité et de facilité d’utilisation. La personnalisation des paramètres de verrouillage intelligent, avec des valeurs spécifiques à une organisation, nécessite des licences Microsoft Entra payantes pour ses utilisateurs.

Le verrouillage intelligent ne garantit pas qu’il ne verrouille jamais un utilisateur authentique. Lorsque le verrouillage intelligent verrouille un compte d’utilisateur, le service tente de ne pas verrouiller l’utilisateur authentique. Le service de verrouillage tente de s’assurer que les acteurs incorrects ne peuvent pas accéder à un compte d’utilisateur authentique.

• Chaque centre de données Microsoft Entra ID Permet de suivre le verrouillage indépendamment. Si l’utilisateur atteint chaque centre de données, Smart Lockout calcule son nombre de tentatives à l’aide de l’équation suivante : threshold_limit X datacenter_count.
• Le verrouillage intelligent utilise un emplacement familier ou un emplacement inconnu pour faire la différence entre un acteur incorrect et l’utilisateur authentique. Les emplacements inconnus et familiers ont des compteurs de verrouillage distincts.

Les organisations peuvent intégrer Smart Lockout à des déploiements hybrides. Dans ce scénario, le système protège les comptes Active Directory local contre le verrouillage des attaquants à l’aide de la synchronisation de hachage de mot de passe ou de l’authentification directe. Une organisation qui définit de manière appropriée des stratégies de verrouillage intelligent dans Microsoft Entra ID Permet de filtrer les attaques avant qu’elles n’atteignent le Active Directory local de l’entreprise.

Intégration du verrouillage intelligent à l’authentification directe

Lorsqu’une organisation implémente l’authentification directe, elle doit s’assurer que :

• Le seuil de blocage de Microsoft Entra est inférieur au seuil de blocage du compte Active Directory. Définissez les valeurs de manière à ce que le seuil de blocage des comptes Active Directory soit au moins deux ou trois fois plus long que le seuil de blocage de Microsoft Entra.
• Vous devez également définir une durée de blocage de Microsoft Entra plus longue que le compteur de blocage du compte de réinitialisation d'Active Directory.

Avertissement

L'administrateur doit définir la durée du verrouillage de Microsoft Entra en secondes et celle du verrouillage du compte Active Directory en minutes. Par exemple, supposons qu'une organisation souhaite que son compteur Microsoft Entra soit supérieur à AD. L'organisation pourrait fixer le seuil de Microsoft Entra à 120 secondes (2 minutes) et celui de l'AD sur site à 1 minute (60 secondes).

Importante

Actuellement, si le verrouillage intelligent verrouille le compte cloud d’un utilisateur, un administrateur doit attendre l’expiration de la durée de verrouillage avant de pouvoir le déverrouiller. Toutefois, l’utilisateur peut déverrouiller son compte à l’aide de la réinitialisation de mot de passe en libre-service (SSPR) à partir d’un appareil ou d’un emplacement approuvé.

Vérifier la stratégie de verrouillage de compte local

Une organisation doit suivre les instructions suivantes pour vérifier sa stratégie de verrouillage de compte Active Directory local :

1. Ouvrez l’outil de gestion stratégie de groupe.
2. Modifiez la stratégie de groupe qui inclut la stratégie de verrouillage de compte de l’organisation. Par exemple, La stratégie de domaine par défaut.
3. Naviguer vers Politiques> de configuration de l'ordinateur> Paramètres Windows>Paramètres de sécurité>Politiques de compte>Politique de verrouillage de compte.
4. Vérifiez le seuil de blocage du compte et réinitialisez le compteur de blocage du compte après les valeurs.

Gérer les valeurs de verrouillage intelligent Microsoft Entra

En fonction des exigences d’une organisation, il peut être nécessaire de personnaliser les valeurs de verrouillage intelligent. La personnalisation des paramètres de Smart Lockout, avec des valeurs spécifiques à l'organisation, nécessite des licences Microsoft Entra payantes pour ses utilisateurs.

Pour vérifier ou modifier les valeurs de verrouillage intelligent d’une organisation, effectuez les étapes suivantes :

1. Connectez-vous au centre d'administration de Microsoft Entra et naviguez vers Protection>Méthodes d'authentification>Protection par mot de passe.
2. Définissez le seuil de verrouillage, en fonction du nombre d’échecs de connexions que l’organisation autorise sur un compte avant son premier verrouillage. La valeur par défaut est de 10.
3. Définissez la durée de verrouillage en secondessur la longueur en secondes de chaque verrouillage. La valeur par défaut est de 60 secondes.

Avertissement

Si la première connexion après un verrouillage échoue également, le compte se verrouille à nouveau. Lorsqu’un compte se verrouille à plusieurs reprises, le verrouillage intelligent augmente la durée du verrouillage.

Comment déterminer si le verrouillage intelligent fonctionne

Lorsqu’une connexion d’utilisateur ayant échoué déclenche le seuil de verrouillage intelligent, le système affiche le message suivant :

Votre compte est temporairement verrouillé pour empêcher toute utilisation non autorisée. Réessayez plus tard et, si vous rencontrez toujours des problèmes, contactez votre administrateur.