Cet article a pour objectif de fournir les informations nécessaires pour mettre en place une authentification forte sur les boîtes mail hébergées sur un serveur Microsoft Exchange. Il est important de noter que de nombreux éditeurs tels que Duo ou Okta proposent des solutions de gestion d’identité permettant la mise en place du MFA (multifactor authentication). Cependant, leur modèle de tarification basé sur un montant mensuel par utilisateur peut être prohibitif pour certaines entreprises. La solution présentée ci-dessous n'offre pas la même exhaustivité que ces solutions commerciales, mais a l’avantage d’être entièrement gratuite.
Étapes de mise en place
La solution proposée s’appuie sur les 5 étapes suivantes :
- Création, si nécessaire, d’un abonnement Azure gratuit et d’un tenant Entra ID/Azure associé ;
- Installation de Microsoft Entra Connect, pour synchroniser votre Active Directory avec votre nouvel environnement Cloud ;
- Mise en place de l’hybridation du serveur Exchange ;
- Mise en place du mécanisme HMA permettant la délégation des authentifications à Azure ;
- Activation des Security Defaults, imposant l’utilisation du MFA chez vos collaborateurs.
Étape 1 : mise en place d’un tenant Entra/Azure
Cette étape peut être facultative si vous disposez déjà d’un environnement Azure à associer à vos utilisateurs. Dans le cas contraire, veuillez créer un abonnement Azure et un tenant associé en suivant cette documentation.
Étape 2 : installation de Microsoft Entra Connect
Vous pouvez ignorer cette étape si vous disposez déjà d’un mécanisme synchronisant vos identités entre votre Active Directory local et votre Azure AD. Sinon, déployez Microsoft Entra Connect en suivant la documentation officielle de Microsoft ou en vous rapprochant de notre équipe d’ingénieurs. Assurez-vous de laisser activée l’option « Password Hash Synchronization ».
Vous pouvez ignorer cette étape si vous disposez déjà d’un mécanisme synchronisant vos identités au sein de votre Active Directory local et votre Azure AD.
Étape 3 : mise en place de l’hybridation
Procédez à la mise en place de l’hybridation du serveur Exchange en suivant les prérequis et étapes décrits dans cet article.
Étape 4 : mise en place du mécanisme HMA
Cet article décrit la procédure de mise en place de l’Hybrid Modern Authentication (HMA). Une fois cette étape réalisée, l’authentification des collaborateurs sur votre serveur Exchange se réalisera au travers de votre tenant Azure, tel qu’illustré dans ce schéma :
Étape 5 : activation des Security Defaults
Cet article décrit l’activation des Security Defaults au sein d’un tenant Azure. Bien que cette solution soit entièrement gratuite, elle nécessite l'installation d'une application permettant la génération de jetons à usage unique (TOTP).
Cette application peut être installée :
- Sur les smartphones des collaborateurs (Microsoft Authenticator, Google Authenticator etc.) ;
- Sur les postes de travail des collaborateurs (WinAuth, Keepassxc, etc.). Lors du premier accès à leur boîte mail, ils devront renseigner leur mot de passe, puis copier le jeton à 6 chiffres (généré depuis leur téléphone ou ordinateur) et le coller dans la mire d'authentification. Une documentation spécifique est disponible dans cet article.
Il est à noter que cette étape supplémentaire ne sera nécessaire qu’à la première connexion depuis leur client lourd. Une fois le client lourd connecté, tous les accès consécutifs seront parfaitement transparents.