Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)

Beaucoup de clients se posent la question d’activer l’authentification à facteurs multiples (MFA) et la question se pose avec Microsoft Intune. L’accès conditionnel offre l’accès à deux applications Cloud :

  • Microsoft Intune est utilisée pour toutes les connexions (portail d’entreprise, portail web d’entreprise, etc.) exception faite du workflow lié à l’enregistrement d’un périphérique
  • Microsoft Intune Enrollment est l’application Cloud qui identifie uniquement l’action d’enregistrement d’un périphérique.

Quand il s’agit de penser à la sécurité, il est surement plus important de vérifier que l’utilisateur qui se présente pour enregistrer un périphérique est bien l’utilisateur que l’on attend plutôt que simplement de vérifier ceci quand il ouvre le portail d’entreprise. En effet, l’enregistrement du téléphone une fois effectuée par un attaquant ayant volé les identifiants, peut donner accès aux applications métiers, à des profils de connexion VPN, des profils de connexion WiFi et donc potentiellement ouvre les portes du système d’information.

Mais quels sont les scénarios où des considérations doivent être pris en compte lors de l’activation du MFA pour l’enregistrement d’un périphérique ?

La première correspond à l’enregistrement d’un périphérique via Samsung KME ou quand le périphérique est enregistré dans le mode Android Enterprise Fully Managed. Lors de l’enregistrement, l'utilisateur n'aura pas accès à l'application Microsoft Authenticator ni la possibilité de recevoir un appel ou un SMS sur l'appareil. Deux solutions :

  • L'utilisateur doit donc être en mesure de procéder à l'authentification à facteurs multiples par une méthode différente (via un autre périphérique, etc.).
  • Vous désactivez l’authentification à facteurs multiples (MFA) pour l’enregistrement dans Microsoft Intune

Le second est lors de l’utilisation d’Apple Device Enrollment Program (ou Apple Business Manager) avec un profil forçant l’utilisant du Single App Mode. Tant que l’authentification sur le portail d’entreprise n’a pas été réalisé, le périphérique est bloqué sur ce dernier. Dans le même temps, l’utilisateur ne peut pas basculer sur les SMS ou les appels. Dans ce cas, vous avez deux solutions :

  • Permettre à l’utilisateur de procéder à l'authentification à facteurs multiples par une méthode différente (via un autre périphérique, etc.).
  • Désactiver le mode Single App Mode sur le profile DEP tout en sachant que l’utilisateur peut donc choisir d’outre passer la procédure d’enregistrement.
  • Désactiver le MFA pour l’enregistrement Microsoft Intune

 

Facebook Like
Anonymous