Active Directory : Microsoft propose une couche de protection additionnelle pour les comptes

Microsoft vient d’ouvrir les vannes d’Azure AD Password Protection, un mécanisme visant à réduire les chances des attaques par pulvérisation de mots de passe – password spraying – et à pousser les utilisateurs à choisir des mots de passe robustes. L’annonce n’a pas manqué d’être accueillie avec enthousiasme, d’autant plus que les listes de mots de passe issus de brèches se sont multipliées ces dernières années. Et qu’elles ne manquent pas d’être mises à profit par des acteurs mal intentionnés.

Surtout, Azure AD Password Protection ne se limite pas à Azure AD : les environnements hybrides sont supportés, et donc les annuaires Active Directory déployés en local.

Dans un billet de blog, Microsoft explique ainsi qu’Azure AD Password Protection se configure dans Azure AD Portal. Cela fait, un agent doit être déployé sur les serveurs locaux. Ce sont eux qui se chargeront de faire appliquer la politique définie dans Azure AD. L’éditeur précise qu’ils peuvent être déployés silencieusement, notamment via SCCM (System Center Configuration Manager).

I'd like this feature a LOT MORE if there wasn't a financial roadblock.

Requiring AzureAD premium just means most SMBs won't use it.

— Raj (@RajGoel_NY) April 3, 2019

Mais il y a un bémol, que certains ne manquent pas de souligner : pour profiter de ce nouveau mécanisme de protection des comptes gérés dans Active Directory, une souscription Azure Premium (P1 ou P2) est nécessaire, ce qui risque de rebuter certaines entreprises, avec un coût à partir de 5,06 € HT par utilisateur et par mois.