{"id":879,"date":"2019-11-23T17:41:45","date_gmt":"2019-11-23T16:41:45","guid":{"rendered":"http:\/\/remivernier.com\/?p=879"},"modified":"2019-12-12T14:14:28","modified_gmt":"2019-12-12T13:14:28","slug":"azure-ad-office-365-password-hash-sync-et-seamless-sso-en-profondeur","status":"publish","type":"post","link":"https:\/\/remivernier.com\/index.php\/2019\/11\/23\/azure-ad-office-365-password-hash-sync-et-seamless-sso-en-profondeur\/","title":{"rendered":"AZURE AD \/ Office 365: Password Hash Sync et Seamless SSO en profondeur"},"content":{"rendered":"\n

L’objectif de cet article n’est absolument pas d’expliquer comment installer et mettre en service ces 2 fonctionnalit\u00e9s d’Azure AD. Philippe Beraud, Daniel Pasquier, Jean-Yves Grasset et Philippe Maurent de Microsoft l’ont tr\u00e8s bien fait dans ce document \u00e0 t\u00e9l\u00e9charger ici<\/a> ou alors en suivant un autre lien ici.<\/a><\/p>\n\n\n\n

Nous verrons donc plut\u00f4t en d\u00e9tail comment ces technologies fonctionnent et quelles sont les consid\u00e9rations \u00e0 prendre en compte en termes de s\u00e9curit\u00e9 si vous souhaitez d\u00e9ployer ces fonctionnalit\u00e9s.<\/p>\n\n\n\n

<\/div>\n\n\n\n

Password Hash Sync (PHS)<\/p>\n\n\n\n

Microsoft recommande syst\u00e9matiquement d\u2019activer Password Hash Sync dans n\u2019importe quel sc\u00e9nario d\u2019authentification Azure AD \/ O365 (f\u00e9d\u00e9r\u00e9 ou manag\u00e9).
Ce m\u00e9canisme consiste \u00e0 synchroniser, toujours via l’outil Azure AD Connect<\/strong>, les hashs des mots de passe (hashs de hashs exactement, on le verra plus tard) de l\u2019Active Directory local vers Azure AD. Au-del\u00e0 de permettre une authentification directe aux services Azure pour un utilisateur dans le cadre d\u2019une authentification manag\u00e9e, ceci permet de b\u00e9n\u00e9ficier de fonctionnalit\u00e9s avanc\u00e9es en termes de s\u00e9curit\u00e9 : Par exemple la possibilit\u00e9 pour un administrateur de recevoir par mail une alerte quand un compte et un mot de passe de son organisation ont \u00e9t\u00e9 compromis et sont pr\u00e9sents sur le Dark Net. \u00c9galement en cas d\u2019un probl\u00e8me bien plus grave de cyber attaque sur le r\u00e9seau ou les services O365 pourraient toujours etre accessible alors que le syst\u00e8me d\u2019information est d\u00e9grad\u00e9. <\/p>\n\n\n\n

A l\u2019installation d\u2019Azure AD Connec<\/strong>t PHS est maintenant syst\u00e9matiquement activ\u00e9 par d\u00e9faut. Lors de IGNITE 2019, (Nov 2019) Microsoft a annonc\u00e9 que 91% des tenants AZURE AD ont la fonctionnalit\u00e9 PHS activ\u00e9e !
Pour v\u00e9rifier si c’est le cas sur votre tenant, vous pouvez controler l’activation sur le portail Azure AD:
\"\"

Il est pourtant l\u00e9gitime de se poser la question en termes de s\u00e9curit\u00e9, de l\u2019impl\u00e9mentation dans notre Syst\u00e8me d\u2019information de la synchronisation des secrets d’Active Directory vers Azure Active Directory :<\/p>\n\n\n\n

Comment Azure AD Connect r\u00e9cup\u00e8re les mots de passe de AD ?<\/h4>\n\n\n\n

Dans son fonctionnement habituel, Active Directory ne stocke pas directement le mot de passe de l\u2019utilisateur en clair mais le hash MD4 correspondant au mot de passe d\u2019un compte. Cette valeur est stock\u00e9e de mani\u00e8re s\u00e9curis\u00e9e dans l\u2019attributs unicodePwd sur 16 octets et est appel\u00e9e empreinte NTLM (NTLM Hash).

Toutes les deux minutes, l\u2019agent password hash synchronization pr\u00e9sent sur le serveur Azure AD Connect demande \u00e0 un contr\u00f4leur de domaine les hashs nouvellement stock\u00e9s (dans l\u2019attribut unicodePwd). Cette action est effectu\u00e9e gr\u00e2ce \u00e0 compte de service dont le nom par d\u00e9faut commence par MSOL_ (Ce compte est cr\u00e9\u00e9 automatiquement au cours du processus d’installation d\u2019Azure AD Connect mais un autre compte de service d\u00e9di\u00e9 peut etre utilis\u00e9) Ce dernier doit disposer des autorisations ci-dessous (\u00e0 positionner sur la racine du domaine):<\/p>\n\n\n\n