Azure MFA Serveur vs. Azure AD MFA : quelle est la différence ?

Avec l’annonce par Microsoft de la fin de la prise en charge de la MFA via le serveur MFA Microsoft et le changement de nom d’Azure AD en Microsoft Entra ID, de nombreuses organisations se trouvent à la croisée des chemins : adopter la MFA basée sur le cloud avec Azure AD (Microsoft Entra ID), ou maintenir une authentification sur site.

Cette décision n’a rien d’uniforme. Si une migration vers le cloud est idéale pour certains, d’autres ont besoin d’une solution d’authentification sur site pour répondre à des exigences réglementaires, s’intégrer à une infrastructure existante ou traiter des problématiques de sécurité.

Dans cet article, nous allons clarifier les différences entre Azure MFA et l’ancien serveur MFA. Nous examinerons également pourquoi certaines organisations peuvent souhaiter maintenir une MFA sur site, et comment des solutions tierces comme UserLock MFA pour Active Directory peuvent y contribuer.

La MFA Azure AD, désormais appelée Microsoft Entra ID MFA, ajoute une couche de sécurité supplémentaire au niveau de l’utilisateur. Elle impose l’utilisation d’au moins deux méthodes d’authentification simultanées, telles qu’un mot de passe, un appareil de confiance (comme un téléphone mobile) ou une vérification biométrique (empreinte digitale ou reconnaissance faciale).

Microsoft Entra ID exploite la puissance du cloud pour offrir une MFA accessible aux utilisateurs où qu’ils soient, du moment qu’ils disposent d’une connexion Internet.

Lorsque vous utilisez le serveur MFA sur site, les données des utilisateurs restent stockées localement et ne sont pas envoyées dans le cloud. Pour la vérification en deux étapes, le serveur MFA communique avec le service cloud Azure MFA afin de réaliser le processus d’authentification.

Microsoft Entra ID propose diverses méthodes d’authentification : notifications push, appels téléphoniques, SMS, et applications d’authentification. Cette diversité permet aux utilisateurs de choisir l’option qui convient le mieux à leurs préférences et à leur niveau de sécurité souhaité.

En matière de tarification, Microsoft Entra ID propose plusieurs plans adaptés à la taille et aux besoins des organisations. Les services MFA sont inclus dans des offres comme Microsoft Entra ID P1 (6 $/utilisateur/mois) et P2 (9 $/utilisateur/mois).

L’AD MFA (via le serveur MFA) et Azure AD MFA sont deux fonctionnalités de sécurité proposées par Microsoft pour renforcer l’authentification des utilisateurs. Mais elles diffèrent sur plusieurs aspects :

AD MFA : Se concentre sur la sécurisation des environnements Active Directory sur site. Utilisée avec les VPN, les services RDS (Remote Desktop), et autres services locaux.
Azure AD MFA : Conçue pour sécuriser des ressources dans le cloud, elle s’intègre nativement avec Azure AD.

AD MFA : Solution sur site, installée et gérée dans vos propres infrastructures. Permet de sécuriser les applications hébergées localement.
Azure AD MFA : Basée dans le cloud, ne nécessite ni matériel sur site ni solution tierce. Gérée via le portail Azure.

AD MFA : S’intègre facilement à une grande variété d’applications locales utilisant RADIUS, LDAP ou d’autres protocoles standard.
Azure AD MFA : Orientée cloud, peut tout de même s’intégrer aux ressources locales via Azure AD Application Proxy ou une solution VPN, mais avec moins de flexibilité qu’un serveur MFA.

AD MFA : Limitée par la capacité de votre infrastructure locale. Un redimensionnement peut nécessiter des investissements.
Azure AD MFA : Parfaitement scalable, s’adapte à l’évolution de vos effectifs et charges de travail.

AD MFA : Offre un contrôle poussé sur la configuration et les politiques de MFA — utile pour des exigences de sécurité spécifiques.
Azure AD MFA : Certaines personnalisations sont possibles, mais des fonctionnalités avancées (ex. : accès conditionnel) nécessitent des licences supplémentaires.

AD MFA : Peut impliquer l’utilisation de méthodes d’authentification séparées pour les ressources locales et cloud, entraînant une expérience utilisateur fragmentée.
Azure AD MFA : Offre une expérience unifiée pour les accès locaux et cloud.

AD MFA : Nécessite une licence distincte et n’est pas incluse dans les abonnements Azure AD ou Microsoft 365.
Azure AD MFA : Parfois incluse dans certaines formules Microsoft 365 ou Azure AD, mais certaines fonctionnalités avancées nécessitent des licences supplémentaires.

Voici les quatre principales raisons pour lesquelles une organisation pourrait envisager une solution MFA sur site tierce :

Gérer un annuaire distinct dans Azure AD est chronophage. À l’heure où la réduction des coûts et l’efficacité IT sont prioritaires, la surcharge administrative devient un enjeu à éviter.
Les solutions MFA tierces sur site permettent une gestion plus simple tout en sécurisant l’accès aux ressources cloud via un SSO sécurisé.

Azure AD peut représenter un coût important. Si votre organisation n’utilise pas Azure à d’autres fins, investir uniquement pour la MFA peut peser lourdement. Les solutions tierces offrent souvent des alternatives plus économiques.

L’authentification cloud, bien que pratique, expose à certaines vulnérabilités spécifiques.
De plus, Azure AD ne prend pas toujours en charge la MFA pour tous les types de connexion, laissant apparaître des failles potentielles. Une solution Windows MFA sur site permet de renforcer la sécurité sur tous les canaux.

Certains secteurs et entités gouvernementales doivent respecter des obligations qui imposent que l’authentification reste sur site.
Pour ces organisations, une solution MFA cloud n’est tout simplement pas envisageable. Une MFA sur site permet de rester conforme tout en assurant un accès sécurisé au cloud.

Lorsque vous évaluez une solution MFA Windows, vous cherchez celle qui s’adapte à vos besoins spécifiques.
Grâce à ses contrôles granulaires, UserLock permet de trouver le bon équilibre entre sécurité et productivité.

Parmi ses points forts :

• Intégration fluide à Active Directory : UserLock s’intègre nativement à votre AD existant, sans surcharge administrative.

• Il améliore les fonctions de journalisation et d’audit AD pour les accès réseau, ce qui permet de réduire de 70 à 90 % le temps passé par l’IT sur le monitoring.

• Solution MFA efficace : UserLock convient aussi bien aux petites qu’aux grandes organisations.

• Contrôles MFA très granulaire : vous pouvez définir précisément quand, où et dans quelles conditions la MFA est requise. Cela renforce la sécurité sans nuire à la productivité.

Enfin, pour les organisations soumises à des contraintes réglementaires fortes (ex. : industries sensibles), UserLock vous aide à atteindre les plus hauts niveaux de conformité, en respectant les exigences d’authentification sur site.

UserLock prend en charge les principaux référentiels : GDPR, PCI, SOX, HIPAA, ISO 27001, NIST.