Comment renforcer la complexité des mots de passe dans O365 ?

Alors que les organisations continuent de migrer des données et des services vers le cloud, la gestion et l’application de politiques de mots de passe solides n’ont jamais été aussi importantes.

En ce qui concerne les utilisateurs d’Office 365 cloud uniquement (non synchronisés avec un compte Active Directory correspondant), les options configurables sont assez limitées :

Les utilisateurs du seul cloud Office 365 sont soumis à la stratégie de mots de passe codée en dur intégrée à Azure AD. Selon Microsoft, les exigences sont les suivantes :

Propriétés	Conditions
Caractères autorisés	• A – Z • a – z • 0 – 9 • @ # $ % ^ & * – _ ! + = [ ] { } \| \ : ‘ , . ? / ` ~ » ( ) ;
Caractères non autorisés	• Caractères Unicode • Espaces • Ne peut pas contenir de point « . » précédant immédiatement le symbole « @ »
Restrictions de mot de passe	• Un minimum de 8 caractères et un maximum de 256 caractères. *il s’agit d’un changement récent ; l’ancien maximum était de 16 caractères • Nécessite trois des quatre éléments suivants : – Caractères minuscules – Caractères majuscules – Chiffres (0-9) – Symboles
Durée d’expiration du mot de passe	Valeur par défaut : 90 jours. Paramètre global affectant tous les utilisateurs de l’organisation.
Notification d’expiration du mot de passe	Valeur par défaut : 14 jours (avant l’expiration du mot de passe). Paramètre global affectant tous les utilisateurs de l’organisation.
Expiration du mot de passe	Azure AD prend en charge la désactivation de l’expiration du mot de passe par utilisateur ou pour l’ensemble de l’organisation.
Historique des changements de mot de passe	Le dernier mot de passe ne peut plus être utilisé lorsque l’utilisateur modifie un mot de passe.
Historique de réinitialisation du mot de passe	Le dernier mot de passe peut être réutilisé lorsque l’utilisateur réinitialise un mot de passe oublié.

Microsoft a récemment lancé Azure AD Password Protection, qui ajoute des fonctionnalités de dictionnaire aux mots de passe pour les clients disposant d’un abonnement Azure AD Premium. La solution Microsoft comporte deux couches :

Liste mondiale des mots de passe interdits – une liste fournie par Microsoft de « mots de passe couramment utilisés et compromis ». Microsoft ne divulgue aucun détail sur le contenu de cette liste – il n’existe aucune information sur les sources utilisées par Microsoft pour compiler cette liste, ni aucun détail sur sa taille.
Liste de mots de passe interdits personnalisée – disponible avec un abonnement Azure AD Premium P1 ou P2. Les clients peuvent empêcher une liste personnalisée de mots d’apparaître dans les mots de passe de leurs utilisateurs.

Microsoft prend également en charge l’extension de la fonctionnalité de protection par mot de passe à votre Active Directory sur site. Voici les principales limitations :

Comme pour toutes les autres politiques Azure AD, il s’agit d’un paramètre global (il ne peut pas cibler des utilisateurs/groupes/unités d’organisation spécifiques).
Les utilisateurs ne reçoivent aucune information sur la raison pour laquelle leur mot de passe sur site a été rejeté lors des changements de mot de passe Ctrl+Alt+Suppr sur leurs ordinateurs portables.

Afin d’obtenir un meilleur contrôle sur les mots de passe Active Directory et Office 365, les administrateurs doivent se tourner vers des solutions tierces. Ces solutions devront tirer parti de l’Active Directory sur site et synchroniser ou fédérer l’authentification par mot de passe Office 365 – car Microsoft ne prend pas non plus en charge les solutions de mots de passe tierces pour les utilisateurs d’Office 365 uniquement dans le cloud.

Avec de telles solutions, vous pouvez obtenir un contrôle extrêmement précis sur la portée et les exigences de vos politiques de mots de passe pour l’authentification AD sur site et Office 365.

16/09/2019 (Dernière mise à jour le 07/04/2022)

Revenir sur le blog