L’authentification multifacteur pour le télétravail
Découvrez comment UserLock peut continuer de sécuriser l'accès aux machines, au réseau et au cloud quand les utilisateurs travaillent à distance.
Mis à jour le 4 juin 2024Lorsque les employés travaillent à distance en dehors du domaine, UserLock peut continuer de protéger l'accès aux machines, lors des connexions au réseau et avec une liaison directe aux ressources basées dans le cloud. Ajoutez l’authentification multifacteur (MFA), la gestion des accès et l’authentification unique (SSO) pour l’ensemble des identités Active Directory (AD), où qu’ils soient.
Si les ordinateurs portables des employés distants ne sont pas correctement sécurisés, ils peuvent servir de point d’entrée pour des menaces malveillantes. UserLock continue de sécuriser les connexions informatiques sur les machines distantes, même lorsqu’il qu’il n’y a pas de connexion VPN sécurisée au réseau de l’entreprise.
Avec le télétravail, les employés ne se connectent pas toujours au VPN. Mettre en place UserLock Anywhere permet à l’agent UserLock installé sur la machine de rester en contact avec le service UserLock via internet. Permettant ainsi aux politiques de la MFA et de la gestion d’accès de continuer à être appliquées lors de la connexion de chaque utilisateur, peu importe la machine (surveillée) depuis laquelle l’employé télétravaille.
Comment installer UserLock Anywhere
Lorsque UserLock Anywhere n’est pas déployé, une demande d'accès hors ligne sur la machine peut quand même être gérée par l'agent UserLock installé sur l'ordinateur. Les administrateurs peuvent paramétrer UserLock de sorte à toujours permettre, toujours refuser ou toujours exiger la MFA pour toutes les questions hors ligne. L’option « forcer la MFA » refusera l’accès aux utilisateurs n’ayant pas déjà mis en place la MFA.
Le fait qu’un grand nombre d’utilisateurs travaille en dehors du réseau de l’entreprise, augmente considérablement les risques de sécurité. Les cybercriminels, plus particulièrement les créateurs de ransomwares, sont très sensibles aux vulnérabilités des accès à distance. UserLock est compatible avec différents types de connexions distantes.
Le VPN fonctionne en établissant des connexions chiffrées entre plusieurs appareils qui sont privés même s’ils traversent une infrastructure Internet publique.
La MFA de UserLock pour les sessions VPN prend en charge le protocole RADIUS (Remote Authentication Dial-In User Service). Ce protocole peut demander le mot de passe unique dans une deuxième étape séparée, après que l'utilisateur ait saisi avec succès ses informations d'identification.
Les solutions VPN qui reconnaissent le "protocole RADIUS" sont notamment Open VPN, Palo Alto, Fortinet, Pulse Secure Connect SSL...
Comment installer la MFA au VPN
2. Appliquez la MFA pour les connexions Windows RDP et les services de bureaux à distance (RD Gateway)
Le protocole de réseau à distance Microsoft (RDP) est également utilisé pour autoriser le bureau à distance sur un ordinateur. Le RDP ou le RD Gateway est un rôle de serveur Windows qui améliore le contrôle en fournissant une connexion chiffrée sécurisée au serveur via RDP.
Avec la MFA de UserLock, les administrateurs peuvent définir sous quelles conditions la MFA est demandée pour ces différentes connexions RDP.
Les administrateurs peuvent d’abord personnaliser la MFA pour les connexions RDP en fonction de la connexion de l’utilisateur final à une autre machine depuis l’intérieur du réseau ou si la connexion à lieu en dehors du réseau de l’entreprise.
Les administrateurs pourront ensuite choisir de considérer les connexions RDG comme étant internes ou externes au réseau et définir les circonstances de la MFA qui y sont liées.
Il existe plusieurs façons d’installer la MFA pour les utilisateurs qui travaillent à distance et en dehors du réseau de l’entreprise.
Le RD Web Access est un moyen de se connecter à un serveur de bureau à distance, et d’accéder aux services de bureau à distance, sur Internet sans connexion VPN.
Les composants de la connexion RD Web installent les pages web et les scripts nécessaires au répertoire du serveur « Internet Information Services » (IIS), offrant aux utilisateurs une interface de page web pour leur poste de travail distant. Les utilisateurs ont uniquement besoin de leurs identifiants de connexion AD, d’une URL et d’un navigateur web supporté pour accéder aux bureaux et applications.
Avec la MFA de UserLock pour IIS, les administrateurs peuvent cibler une ou plusieurs applications web, nécessitant un second facteur d’authentification.
UserLock détecte automatiquement les serveurs où IIS est installé et peut déployer automatiquement l’agent UserLock IIS. La fonctionnalité MFA de UserLock doit alors être installée sur le serveur IIS et l’application MFA de UserLock doit être ajoutée.
Les paramètres du site internet sont alors configurés pour rediriger l’utilisateur vers l’inscription à la MFA si ce n’est pas déjà fait, et pour demander l’authentification MFA avant que l’accès à l’application IIS ne soit accordé.
Comment appliquer la MFA pour IIS
OWA (Outlook Web Access) permet aux utilisateurs d’accéder à leur boite mail professionnelle depuis internet, en étant hors du domaine de l’entreprise, sans avoir à se connecter à un VPN.
Avec la MFA de UserLock pour IIS, un second facteur d’authentification peut être ajouté aux connections OWA car les applications Exchange sont prises en charge par le serveur IIS.
UserLock détecte les serveurs où IIS est installé et peut déployer automatiquement l’agent UserLock IIS. La fonctionnalité MFA de UserLock doit alors être installée sur le serveur IIS et l’application MFA de UserLock doit être ajoutée.
Les paramètres du site internet sont alors configurés pour rediriger l’utilisateur vers l’inscription à la MFA si ce n’est pas déjà fait, et pour demander la MFA pour chaque accès des utilisateurs aux emails.
Comment appliquer la MFA pour IIS
A noter : UserLock peut également protéger Exchange Online (disponible en tant que service autonome ou faisant partie d’office 365) avec la MFA. Voir les ressources situées dans le cloud.
DirectAccess permet la connectivité entre les utilisateurs distants et les ressources du réseau sans avoir besoin de connexion VPN. Avec les connexions DirectAccess, les ordinateurs clients distants sont toujours connectés à votre entreprise, les utilisateurs distants n’ont pas besoin de démarrer et d’arrêter les connexions, comme c’est le cas avec les connexions VPN.
AlwaysOn VPN, le remplaçant de DirectAccess, établit automatiquement une connexion VPN chaque fois qu’un client autorisé dispose d’une connexion internet active.
Chacune de ces deux méthodes permet de sécuriser la connexion à la machine distante. Contrairement à un VPN traditionnel, il n’y a pas de demande d’informations d’identification de l’utilisateur.
Par conséquent avec UserLock, la MFA peut continuer à être demandée lorsqu’un utilisateur distant est invité à s’identifier.
Les entreprises souhaitent que les télétravailleurs bénéficient d’une sécurité optimale lors de leurs connexions aux ressources dans le cloud. L’accès direct peut réduire la charge sur le réseau et améliorer l’expérience utilisateur, mais souvent aux dépens de la sécurité.
Plutôt que de réacheminer ces applications via le réseau central, UserLock permet de combiner la MFA avec l’authentification unique (SSO) pour des connexions sécurisées et directes aux applications situées dans le cloud.
En conservant Active Directory (AD) comme fournisseur d’identité, la SSO de UserLock permet à chaque utilisateur de se connecter qu’une seule fois, avec leurs identifiants de connexion AD. Combiné à une MFA granulaire, cela signifie qu’un second facteur d’authentification peut être ajouté pour vérifier l’identité des utilisateurs avant qu’ils n’accèdent au cloud.
L’accès est immédiatement accordé. La SSO de UserLock confirme l’identité de l’utilisateur auprès de l’application cloud et l’authentifie sans qu’il ait à se connecter à l’application. Il n’y a pas de différence en étant au sein du réseau de l’entreprise ou en télétravail.
(La MFA peut être redemandée si cela est requis dans les paramétrages de l’administrateur).
L’utilisateur renseigne son adresse email professionnelle dans l’application cloud pour se connecter. La SSO de UserLock demandera alors à l’utilisateur de fournir ses identifiants de connexion au domaine Windows (ainsi qu’un second facteur d’authentification s’il est activé). L’utilisateur est connecté avec succès et redirigé vers l’application. Il n’y a pas de différence entre un navigateur de smartphone, un navigateur d’ordinateur ou une application mobile.
(La MFA peut être demandée si cela est requis dans les paramétrages de l’administrateur).
L’accès est immédiatement accordé. L’authentification multifacteur peut toutefois être demandée à chaque connexion si cela est requit dans les paramètres administrateurs.
Une fois l’authentification faite, les restrictions de connexion contextuelles ainsi que la gestion des sessions à distance permettent de sécuriser davantage les identités AD et l’accès distant à l’ensemble des ressources.
Quelques exemples :
UserLock peut limiter l'accès VPN aux seules machines autorisées de l'entreprise. Toute autre tentative d'accès à partir de n'importe quelle autre machine sera alors refusée.
La restriction géographique permet à un administrateur de limiter les connexions distantes selon le pays (géolocalisation). Cette restriction autorise ou refuse les connexions depuis une liste sélectionnable de pays.
En raison de l'adoption rapide du travail à domicile, de nombreuses entreprises ne peuvent plus appliquer de politiques de temps pour les connexions au réseau dans le but de réduire les risques de sécurité ou les heures supplémentaires non autorisées.
UserLock Anywhere peut continuer d’appliquer ces restrictions même si la machine est en dehors du réseau de l’entreprise. L’agent UserLock reste en contact avec le service et peut forcer la déconnexion de l’utilisateur s’il dépasse les horaires de travail autorisées.
« L’accès à distance devenant la règle et non plus l’exception, UserLock aide les administrateurs à atténuer l’augmentation des risques de sécurité en protégeant les entreprises des accès inappropriés ou suspicieux ».