[Office 365] Gérer la politique des mots de passe

Les mots de passe sont devenus un point crucial dans les systèmes d’information aujourd’hui, quel que soit le SI. Office 365 vous permet de gérer quelques paramètres pour vos utilisateurs.

/! Rappel !\

Il est primordial d’avoir une bonne hygiène concernant les mots de passe. L’ANSSI a par ailleurs saisi un document pour vous aider dans cette démarche de conception de mot de passe, disponible à cette adresse – ANSSI.

Ce que je préconise pour mes clients est la chose suivante :

  • longueur minimale de 10 caractères
  • mélanger chiffre, majuscules, minuscules et caractères spéciaux (points, slash, espace, apostrophes, guillemets, trait d’union)
  • changer tous les deux mois ses mots de passe
  • ne pas créer un mot de passe ayant un rapport avec ce que l’on est, ce que l’on a, ce que l’on veut
  • éviter de saisir les mots de passe sur des post-it (c) ou dans des fichiers Excel

Quelques exemples de mot de passe :

uSzk2/sq4@sq - Aks1eo.Kdq42^ - 45ékndS3;zapKI9

Le mot de passe de ce style : « AzertyuioP^$ » est totalement à proscrire, les ordinateurs actuels peuvent trouver ce mot de passe en un tour de RAM…

[su_divider top= »no » divider_color= »#009688″ size= »1″][/su_divider]

Mots de passe Office 365 via l’interface Web

Dans Office 365, vous pouvez gérer la politique de mot de passe de deux façons possible. Le paramètre peut être modifié en général (pour tout le tenant Office 365) directement dans l’interface web, portail d’administration Office 365.
Voici les deux solutions :

  • Faire expirer les mots de passe
    Tous les mots de passe des utilisateurs et des administrateurs va expirer au bout du nombre de jours indiqués – par défaut, 90 jours. Toutefois, un email est envoyé (par défaut) 14 jours avant l’expiration du mot de passe pour prévenir l’utilisateur du changement à opérer.

    • Nombre de jours avant expiration – de 14 à 730 jours
    • Nombre de jours pour envoyer un avertissement avant expiration – de 1 à 30 jours avant expiration du mot de passe
  • Ne pas faire expirer les mots de passe
    • Désactiver l’expiration des mots de passe dans l’interface web ou via PowerShell

Il n’est pas possible de changer la politique de sécurité des mots de passe d’Office 365. Cette configuration est initiée dans l’Azure Active Directory de Microsoft dont vous n’avez pas l’accès.

Un « Administrateur Global » ou un « Administrateur de mot de passe » peut supprimer le mot de passe d’un utilisateur. Pour que l’utilisateur puisse se reconnecter par la suite, un mot de passe dit « temporaire » composé de 8 caractères (4 chiffres, 4 lettres et une majuscule) sera alors envoyé à une ou plusieurs adresses e-mails selon la configuration. Par défaut, l’e-mail contenant le mot de passe temporaire est envoyé à l’adresse « technique », que vous avez saisie lors de la création de votre tenant Office 365.

[su_divider top= »no » divider_color= »#009688″ size= »1″][/su_divider]

Les mots de passe de vos comptes utilisateurs Office 365 doivent respecter certaines règles imposées par Microsoft dans l’utilisation de son service Office 365 dont voici les directives :

  • 8 caractères minimum – 16 caractères maximum
  • Majuscules et minuscules de A-Z, a-z, chiffres de 0-9, quelques caractères spéciaux comme @ # $ ^ & – _ + = [ ] { } | \ / : ‘ , . ? !  » ( ) ; ~
  • Ne peut pas y avoir de caractères « unicode » (les lettres/caractères des langues étrangères, type arabe, mandarin etc)
  • Ne peut pas y avoir d’espaces (l’espace/l’échappement n’est pas autorisé dans le mot de passe)
  • Ne peut pas y avoir un point après un @
    « @. » = impossible

[su_divider top= »no » divider_color= »#009688″ size= »1″][/su_divider]

Les mots de passe via PowerShell Office 365

Vous pouvez aussi utiliser les commandes PowerShell pour gérer non seulement l’expiration des mots de passe mais aussi les mots de passe de vos utilisateurs. Il y a 3 commandes :

  • Set-MsolPasswordPolicy : pour gérer les jours d’expiration mot de passe et avertissement (Azure Active Directory module)
  • Set-MsolUser : pour enlever l’expiration du mot de passe (MsolOnline module)
  • Set-MsolUserPassword : pour ajouter / modifier un mot de passe sur un compte utilisateur

Via PowerShell, vous pourrez aussi modifier la politique de complexité du mot de passe par utilisateur – de façon « nominative ». Ainsi, un utilisateur pourra avoir une politique de mot de passe différente des autres si vous lui modifiez cette politique.
Par précaution, il ne vaut mieux pas modifier ces règles – Microsoft ne pourra être tenu pour responsable et ne pourra effectuer un support si vous modifiez cette politique.

Après 10 tentatives infructueuses, le compte utilisateur est bloqué pendant 90 secondes. Il n’existe pas de verrouillage de compte au bout d’un certain nombre  d’essais erronnés. Toutefois, le temps d’attente entre les blocages sera de plus en plus long.

[su_divider top= »no » divider_color= »#009688″ size= »1″][/su_divider]

Les bonnes pratiques

  • Créer un mot de passe « fort » et unique pour l’Administrateur global et les autres Administrateurs
  • Avoir une politique et une éthique de mot de passe forte – instruire et sensibiliser les utilisateurs à ces pratiques aussi bien sur le plan professionnel que personnel
  • Mettre en place des procédures pour les réinitialisations de mot de passe (qui peut le faire, comment, via quel(s) outil(s), a qui doit-il rendre compte)
  • Garder une expiration de mot de passe à 90 jours (plus ou moins selon les cas) et mettre un avertissement d’expiration 7 jours avant.

Julien H

Passionné depuis toujours par l'informatique, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux. L'infosec m'ouvre les yeux sur les enjeux actuels et futurs de l'IT.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Share This
Fermer
Fermer