Réinitialiser l'accès MFA après le départ d'un administrateur

Windows Client (10, 11, 12)
,
1

Nous avons mis fin au contrat d’un employé qui était administrateur Microsoft 365 et nous devons immédiatement sécuriser le locataire et réinitialiser l’accès MFA.

2

Suivez ces étapes pour sécuriser immédiatement le locataire et réinitialiser l’accès MFA après le départ d’un administrateur :

  1. Réinitialisez le mot de passe de l’administrateur dont le contrat a pris fin et déconnectez toutes les sessions

    • Dans le centre d’administration Microsoft 365, allez dans Utilisateurs > Utilisateurs actifs
    • Sélectionnez le compte de l’administrateur concerné et choisissez Réinitialiser le mot de passe. Configurez un mot de passe aléatoire fort et exigez le changement de mot de passe à la prochaine connexion si le compte sera réattribué ultérieurement
    • Après la réinitialisation du mot de passe, sélectionnez à nouveau l’utilisateur, accédez à l’onglet Compte et sélectionnez Déconnecter toutes les sessions. Cela invalide les sessions existantes dans un délai d’environ une heure, ou plus tôt s’ils naviguent ou actualisent la page
    • Pour une déconnexion immédiate via PowerShell, utilisez :
      Revoke-MgUserSignInSession -UserId <UPN>

  2. Révoquez toutes les sessions actives à l’aide de Microsoft Graph PowerShell (fortement recommandé pour un administrateur compromis/parti)

    • Exécutez PowerShell en tant qu’administrateur et définissez la politique d’exécution :
      Set-ExecutionPolicy RemoteSigned
    • Installez les modules Graph si nécessaire :
      Install-Module Microsoft.Graph.Authentication
Install-Module Microsoft.Graph.Users.Actions
    • Connectez-vous avec la portée requise :
      Connect-MgGraph -Scopes User.RevokeSessions.All
    • Révoquez les sessions de l’administrateur parti :
      Revoke-MgUserSignInSession -UserId <UPN>

  3. Réinitialisez ou supprimez les méthodes MFA et les mots de passe d’application de l’administrateur parti

    • Assurez-vous que les méthodes MFA du compte sont effacées ou réenregistrées par un autre administrateur afin que l’ancien employé ne puisse pas approuver les connexions
    • Si des mots de passe d’application étaient utilisés (pour les clients hérités), assurez-vous qu’ils sont supprimés et non réutilisés

  4. Si le compte est synchronisé ou fédéré, sécurisez-le sur site

    • Réinitialisez le mot de passe dans AD deux fois pour atténuer le risque de pass-the-hash en utilisant Set-ADAccountPassword
    • S’il est fédéré, changez le mot de passe dans le système d’identité sur site et informez l’administrateur identité/sécurité approprié

  5. Activez et appliquez la MFA pour les administrateurs restants et les comptes critiques

    • Assurez-vous que tous les administrateurs généraux restants ont la MFA appliquée
    • Utilisez une MFA forte et résistante au phishing dans la mesure du possible

  6. Examinez et renforcez les attributions de rôles d’administrateur

    • Confirmez que le compte de l’administrateur parti est retiré de tous les rôles privilégiés
    • Suivez les principes du moindre privilège et gardez les administrateurs généraux au minimum
    • Assurez-vous qu’au moins un autre compte privilégié existe pour réinitialiser les mots de passe et la MFA des administrateurs si nécessaire

  7. Implémentez ou vérifiez les politiques de réinitialisation de mot de passe en libre-service (SSPR) et d’enregistrement MFA

    • Activez le SSPR et l’enregistrement combiné des informations de sécurité
    • Assurez-vous que les administrateurs sont enregistrés avec plusieurs méthodes MFA pour éviter la dépendance à un seul appareil

  8. Si l’accès au locataire est menacé

    • Si aucun administrateur général restant ne peut se connecter, suivez le processus de récupération d’accès au locataire de Microsoft via le support Microsoft 365 avec vérification d’identité