Non, Active Directory exige d’autres outils comme la MFA Azure, une extension NPS ou des solutions tierces.
Solution MFA Active Directory
Renforcez les connexions Active Directory avec l’authentification multifacteur.
Pourquoi a-t-on besoin d’une fonctionnalité MFA/2FA pour Active Directory ?
Active Directory reste au cœur de la gestion des identités dans nombre d’entreprises et les cyberattaques gagnent en sophistication. Il ne suffit donc plus de se fier à l’authentification classique par nom d’utilisateur et mot de passe pour l’accès Active Directory. 80 % des violations impliquant des identifiants volés ou faibles, l’authentification à deux facteurs (2FA), variante de l’authentification multifacteur (MFA), peut parer les attaques liées aux identifiants dans l’environnement Active Directory. Après tout, un seul mot de passe compromis permet à un attaquant d’accéder à tout le réseau. Que le système soit hybride ou sur site, l’authentification à deux facteurs Active Directory ne se résume plus à une bonne pratique : il s’agit d’un impératif premier.
Comment fonctionne l’authentification multifacteur Active Directory sur site ?
Lorsqu’un utilisateur tente de se connecter à sa machine Windows, macOS ou Linux, voici comment se déroule le processus 2FA ou MFA pour Active Directory :
- L’utilisateur tape son nom d’utilisateur et mot de passe Active Directory, qui sont vérifiés avec le contrôleur de domaine ou les identifiants en cache.
- Si les identifiants sont valables, l’utilisateur suit les étapes MFA configurées par l’administrateur.
- ADSelfService Plus vérifie l’inscription de l’utilisateur et la stratégie applicable, puis demande les authentificateurs MFA requis dans une liste offrant plus de 20 options.
- Une fois l’authentification MFA réussie, l’utilisateur a accès à sa machine.
Système complet d’authentification multifacteur Active Directory
ManageEngine ADSelfService Plus offre un module MFA sur site fiable et global pour Active Directory étayé par des méthodes d’authentification modernes, une configuration et un déploiement faciles et une sécurité des identités complète.
MFA pour accès machine
Protégez les connexions d’accès à des machines (Windows, macOS et Linux OS) avec la MFA pour les utilisateurs Active Directory.
MFA pour VPN
Autorisez des utilisateurs à accéder en toute sécurité à des ressources informatiques via un VPN après un processus d’authentification strict avec des méthodes d’authentification d’entreprise avancées.
MFA pour OWA
Sécurisez l’accès à des comptes OWA en déployant la MFA pour les comptes Active Directory avec des facteurs d’authentification forte à la connexion OWA.
MFA hors ligne
Protégez les utilisateurs distants hors ligne en activant la MFA Active Directory pour la connexion hors ligne à des machines Windows ou macOS.
MFA pour les applications d’entreprise
Régulez l’accès aux applications d’entreprise via la SSO avec des authentificateurs forts comme les clés FIDO, YubiKey, et la biométrie pour les utilisateurs Active Directory.
MFA pour réinitialisation de mot de passe en libre-service
Permettez aux utilisateurs d’effectuer une réinitialisation de mot de passe en libre-service et un déverrouillage de compte en libre-service dans Active Directory seulement après une vérification d’identité avec les types d’authentification MFA disponibles.
Principaux avantages de déployer la MFA Active Directory
L’adoption de la MFA AD sur site avec ADSelfService Plus offre de nombreux avantages à l’entreprise, répondant directement à des défis de sécurité informatique courants :
- Sécurité inégalée : réduit nettement le risque d’attaques liées aux mots de passe (phishing, force brute, bourrage d’identifiants, etc.) en rendant inutiles les identifiants compromis sans le second facteur.
- Prévention des menaces internes : offre un dispositif de sécurité essentiel contre les comptes internes compromis, les erreurs de configuration ou les employés malveillants cherchant à élever des privilèges.
- Protection des ressources sensibles : protège les données sensibles, les applications stratégiques et les systèmes intégrés à ou dépendant de l’infrastructure AD.
- Méthodes d’authentification flexibles : propose une large gamme de facteurs comme la biométrie, la notification directe, les mots de passe à usage unique et durée définie (TOTP), les clés de sécurité (par exemple, YubiKey), etc.
- Stratégies de sécurité adaptatives : établit des stratégies de sécurité adaptatives selon la localisation de l’utilisateur, la fiabilité de l’appareil ou l’heure d’accès, ajoutant un moyen de protection intelligent.
Bonnes pratiques de déploiement de la MFA Active Directory
- Appliquer la MFA à tous les comptes d’administrateur : protégez l’environnement Active Directory contre les attaques par élévation de privilèges en imposant une authentification multifacteur aux administrateurs de domaine ou d’entreprise et d’autres utilisateurs privilégiés.
- Configurer plusieurs méthodes d’authentification : assurez l’accessibilité pour l’utilisateur et offrez des options de secours avec une série de moyens (notification directe, code par SMS, jeton matériel, authentification biométrique ou clé de sécurité FIDO2) pour satisfaire des préférences et des scénarios variables.
- Utiliser des stratégies d’accès conditionnel : améliorez la commodité pour l’utilisateur en automatisant des processus 2FA Active Directory selon l’évaluation des risques et des facteurs contextuels.
- Surveiller les journaux de connexion : suivez et analysez en permanence les événements MFA de l’infrastructure Active Directory, comme les authentifications réussies, les échecs, les modèles d’accès inhabituels ou les tentatives de contournement.
- Informer les utilisateurs : informez de façon proactive les utilisateurs sur les avantages clés de l’authentification multifacteur et dispensez une formation complète sur une bonne utilisation.
Pourquoi choisir ADSelfService Plus comme solution MFA AD sur site
Configuration 2FA Active Directory granulaire
Les administrateurs peuvent appliquer différents authentificateurs à diverses séries d’utilisateurs, selon leurs OU, domaines et appartenances à un groupe.
Appliquez précisément la MFA selon les domaines, les OU ou les groupes.
Activez la MFA Active Directory pour plusieurs domaines dans une seule console.
Inscription MFA facile
Invitez automatiquement les utilisateurs à s’inscrire à la MFA Active Directory à la connexion ou appliquez des stratégies d’inscription obligatoire pour garantir une couverture complète sans intervention manuelle ou retard.
Rédigez un message convaincant pour le script de connexion à afficher chaque fois qu’un utilisateur non inscrit se connecte à sa machine.
Personnalisez le script de connexion pour permettre à l’utilisateur de s’inscrire à la MFA plus tard ou imposer une inscription immédiate.
Meilleure expérience utilisateur et sécurité
Conciliez sécurité et commodité avec 20 méthodes d’authentification différentes (dont la biométrie et les mots de passe à usage unique et durée définie), permettant à l’utilisateur de choisir parmi des options familières, pratiques et sures.
Appliquez certaines méthodes d’authentification à différentes stratégies utilisateur.
Suivi et audit complets
Surveillez l’état d’inscription MFA, les tentatives d’authentification et les échecs avec plus de 14 rapports détaillés, prêts à l’audit, pour suivre l’activité des utilisateurs et la conformité dans l’environnement Active Directory.
Planifiez la génération régulière de rapports sur la MFA Active Directory et le stockage dans le serveur ou l’envoi à certaines adresses électroniques.
Filtrez des entrées de journal précises dans tout le rapport.
Authentification multifacteur Active Directory et conformité
La MFA Active Directory répond directement aux exigences de conformité qu’imposent des normes réglementaires sectorielles. Diverses normes (NIST, PCI DSS, RGPD et HIPAA) exigent explicitement l’authentification multifacteur.
| Secteur | Conformité | Exigence |
|---|---|---|
| Secteur public | NIST | NIST SP 800-171 rév. 2 - Protection des données non classifiées contrôlées Le contrôle 3.5.3 (identification et authentification) impose expressément la MFA pour les comptes privilégiés et les autres. Le contrôle 3.5.3 de NIST 800-171 exige expressément la MFA pour les comptes privilégiés et les autres. Tous les utilisateurs doivent donc, quel que soit leur niveau d’accès, suivre le processus MFA pour accéder au système ou aux données. |
| Santé | HIPAA | Section § 164.308(a)(3)(i) : Norme : sécurité du personnel. Il faut mettre en œuvre des stratégies et des procédures pour garantir que tous les membres du personnel aient un accès approprié à des données de santé numériques protégées et éviter que ceux non autorisés puissent obtenir un accès à ces données. |
| Secteur financier | PCI DSS | Section 8.4.2 : il faut déployer la MFA pour sécuriser l’accès à l’environnement de stockage des données de titulaire. |
| IT | RGPD | Le RGPD n’exige pas la MFA. Toutefois, les entreprises cherchant une conformité globale au RGPD sont invitées à adopter la MFA en bonne pratique de sécurité des données. |
Questions fréquentes
Oui, ADSelfService Plus permet d’activer la fonction 2FA Active Directory pour la connexion sur site et à distance.
Oui, ADSelfService Plus s’intègre à Active Directory sur site pour la MFA.
Il s’agit d’une mesure de sécurité qui oblige les utilisateurs à valider leur identité via plusieurs facteurs avant de se connecter à des systèmes liés à AD.
Oui. Les deux termes désignent l’ajout d’autres niveaux d’authentification aux connexions Active Directory. L’authentification à deux facteurs AD est une variante de la MFA exigeant un autre niveau d’authentification outre le nom d’utilisateur et le mot de passe, la MFA impliquant quant à elle plusieurs de ces niveaux.
Oui, ADSelfService Plus permet l’authentification multifacteur à la connexion locale et à distance.
Outil de réinitialisation de mot de passe en libre-service pour Windows AD, G Suite, etc.
Obtenez votre essai gratuitLes points forts de ADSelfService Plus
Mot de passe en libre-service
Éliminez les longs appels au service d’assistance pour les utilisateurs de Windows Active Directory en leur permettant de réinitialiser leur mot de passe et de déverrouiller leur compte en libre-service.
Une identité unique grâce à l'authentification unique
Accédez en un clic à plus de 100 applications cloud. Grâce à l'authentification unique d’entreprise, les utilisateurs peuvent accéder à toutes leurs applications cloud avec leurs identifiants Windows Active Directory.
Synchronisation des mots de passe
Synchronisez automatiquement les mots de passe et les modifications de comptes des utilisateurs Windows Active Directory sur plusieurs systèmes, tels que Microsoft 365, Google Workspace, IBM iSeries, etc.
MFA
Activez l’authentification multifacteur (MFA) contextuelle avec 20 méthodes d’authentification différentes pour les connexions aux terminaux, aux applications, aux VPN, à OWA et à RDP.
Notifications d'expiration de mot de passe et de compte
Informez les utilisateurs Windows Active Directory de l’expiration prochaine de leur mot de passe ou de leur compte par e-mail et SMS.
Application de la politique de mots de passe
Les mots de passe robustes résistent à diverses menaces de piratage. Obligez les utilisateurs Windows Active Directory à utiliser des mots de passe conformes en affichant les exigences de complexité.
