Stratégies de gestion de mots de passe pour Exchange Online

Tous les services Microsoft Online Services exigent l’utilisation de mots de passe forts pour protéger les utilisateurs et leurs informations.

Le mot de passe fort réagit aux règles suivantes :

• Il comporte au moins 7 caractères
• Il contient des caractères qui appartiennent à au moins trois des quatre catégories suivantes :

1. Lettres majuscules (A-Z)
2. Lettres minuscules (a-z)
3. Chiffres (0-9)
4. Caractères non alphanumériques : ` ~ ! @ # $ % ^ & * ( ) _ + – = { } | [ ] \ :  » ; ‘ < > ? , . /

Pour préserver la sécurité, le mot de passe doit être changé régulièrement, et pour être accepté, il doit respecter les contraintes suivantes :

• Il doit être différent de l’un des 24 derniers mots de passe précédents
• Il doit être changé au moins une fois tous les 90 jours
• Il ne peut pas être changé plusieurs fois en 24 heures
• Il ne doit pas comporter le nom de l’utilisateur

Le mot de passe de l’utilisateur ne peut être réinitialisé qu’à des endroits précis. Par exemple, contrairement à un environnement traditionnel, l’utilisateur ne pourra pas changer son mot de passe dans Outlook Web Access.

L’administrateur peut changer le mot de passe d’un utilisateur via deux outils :

• Le portail Centre d’administration (admin.emea.microsoftonline.com), mais avec cet outil, l’administrateur ne pourra configurer qu’un mot de passe temporaire que l’utilisateur devra changer à la première connexion.
• L’interface Windows PowerShell avec les cmdlets Transporter (set-msonlineuserpassword). Avec cette dernière, l’administrateur pourra choisir de configurer un mot de passe temporaire, à changer à la première connexion, ou un mot de passe définitif.

L’utilisateur peut changer son mot de passe via deux outils :

• L’assistant de connexion Microsoft Online Services (dans l’onglet Options)
• Le portail d’entreprise (home.emea.microsoftonline.com)

En outre, Microsoft Online Services utilise une stratégie de verrouillage de compte pour protéger les comptes d’administrateurs, des services et des utilisateurs finaux. L’utilisateur dispose de 5 tentatives de connexion. Une fois que ces 5 tentatives ont échoué, le compte utilisateur est bloqué pendant 15 minutes. Le seul moyen de débloquer un compte verrouillé avant les 15 minutes est que l’administrateur réinitialise directement le mot de passe au travers de l’interface Windows PowerShell.

Enfin, si vous avez laissé la configuration du mot de passe par défaut, c’est-à-dire qu’il doit être changé tous les 90 jours, l’utilisateur sera averti 14 jours avant l’expiration qu’il doit changer son mot de passe. Ce message lui sera présenté dans l’assistant de connexion Microsoft Online Services et dans le portail d’entreprise, mais pas dans sa messagerie.

En conclusion, utilisés tels quel, les Microsoft Online Services risquent d’avoir un impact significatif sur votre cellule de support technique, si vos utilisateurs n’ont pas l’habitude d’être sollicités à créer et mémoriser des mots de passe complexes et s’ils n’ont pas l’habitude d’utiliser des portails de self-service pour changer tous les trois mois leur mot de passe. Notez pour terminer que si vous utilisez les services BlackBerry hébergés par Microsoft que ceux-ci utilisent des mots de passe qui leur sont propres, contrairement aux services Exchange ActiveSync valables pour Windows Mobile, iPhone, Nokia, et Android.

Exchange ActiveSync et la sécurité · iTPro.fr