Sécuriser les identités de votre organisation avec Microsoft Entra ID
Dans le monde actuel, il peut sembler très difficile de sécuriser les employés, en particulier lorsque vous devez fournir rapidement l’accès à de nombreux services. Cet article fournit une liste concise de toutes les actions à entreprendre, pour vous aider à déterminer et hiérarchiser l’ordre de déploiement des fonctionnalités Microsoft Entra en fonction du type de licence que vous avez.
Microsoft Entra ID propose un grand nombre de fonctionnalités et fournit de nombreuses couches de sécurité pour vos identités, mais la recherche de la fonctionnalité la mieux adaptée à vos besoins peut prendre du temps. Ce document est destiné à aider les organisations à déployer rapidement des services, en prenant en compte les identités sécurisées.
Chaque table fournit une suggestion de sécurité cohérente, protégeant les identités contre les attaques de sécurité courantes tout en réduisant les frictions des utilisateurs.
Les conseils vous aident à :
- Configurer un accès aux applications software as a service (SaaS) et locales de manière sécurisée et protégée
- Identités cloud et hybrides
- Utilisateurs travaillant à distance ou au bureau
Prérequis
Ce guide part du principe que vos identités cloud uniquement ou hybrides ont déjà été créées dans Microsoft Entra ID. Pour savoir quel type d’identité choisir, consultez l’article Choisir la méthode d’authentification adaptée (AuthN) à votre solution d’identité hybride Microsoft Entra.
Procédure pas à pas guidée
Pour obtenir une présentation détaillée de la plupart des recommandations de cet article, consultez le guide Configurer Microsoft Entra ID une fois connecté au centre d’administration Microsoft 365. Pour consulter les meilleures pratiques sans vous connecter et activer les fonctionnalités d’installation automatisée, accédez au portail d’installation Microsoft 365.
Aide aux clients Microsoft Entra ID gratuit, Office 365 ou Microsoft 365
Il existe de nombreuses recommandations que les clients des applications Office 365, Microsoft 365 ou Microsoft Entra ID gratuit doivent suivre pour protéger l’identité de leurs utilisateurs. Le tableau fournit les principales actions à entreprendre pour les abonnements de licence suivants :
- Office 365 (Office 365 E1, E3, E5, F1, A1, A3, A5)
- Microsoft 365 (Business Basic, Applications pour les entreprises, Business standard, Business Premium, A1)
- Microsoft Entra ID gratuit (inclus avec Azure, Dynamics 365, Intune et Power Platform)
| Action recommandée | Detail |
|---|---|
| Activer les paramètres de sécurité par défaut | Protégez toutes les identités et applications utilisateur en activant l’authentification multifacteur et en bloquant l’authentification héritée. |
| Activer la synchronisation du hachage de mot de passe (si vous utilisez des identités hybrides) | Fournir une redondance à l’authentification et améliore la sécurité (verrouillage intelligent, verrouillage IP et possibilité de détecter les fuites d’informations d’identification). |
| Activer le verrouillage intelligent AD FS (le cas échéant) | Protège les utilisateurs contre le verrouillage de leur compte extranet dû à une activité malveillante. |
| Activer le verrouillage intelligent Microsoft Entra (avec les identités managées) | Le verrouillage intelligent empêche les personnes malveillantes de deviner vos mots de passe ou d’utiliser des méthodes de force brute pour rentrer dans vos systèmes. |
| Désactiver le consentement utilisateur pour une application | Le workflow de consentement administrateur offre aux administrateurs une méthode sécurisée pour accorder l’accès aux applications qui nécessitent l’approbation de l’administrateur, ce qui permet d’éviter que les utilisateurs finaux n’exposent les données de l’entreprise. Microsoft vous recommande de désactiver toutes les opérations futures de consentement d’utilisateurs pour aider à réduire votre surface d’exposition et à atténuer ce risque. |
| Intégrer des applications SaaS prises en charge à Microsoft Entra ID à partir de la galerie et activer l’authentification unique (SSO) | Microsoft Entra ID a une galerie qui contient des milliers d’applications préintégrées. Certaines applications utilisées par votre organisation sont probablement dans la galerie, accessible directement à partir du portail Azure. Fournir un accès à distance aux applications SaaS d’entreprise de façon sécurisée avec une expérience utilisateur améliorée (SSO). |
| Automatiser l’attribution et la désattribution des utilisateurs dans les applications SaaS (le cas échéant) | Créez automatiquement des identités et des rôles d’utilisateur dans les applications cloud (SaaS) auxquelles les utilisateurs doivent accéder. En plus de créer des identités utilisateur, l’attribution automatique d’utilisateurs comprend la maintenance et la suppression des identités utilisateur en cas de modification de l’état ou des rôles, ce qui accroît le niveau de sécurité de votre organisation. |
| Activer l’accès hybride sécurisé : Sécuriser les applications héritées avec les réseaux et les contrôleurs de livraison d’applications existants (le cas échéant) | Publiez et protégez vos applications d’authentification locales et cloud héritées en les connectant à Microsoft Entra ID avec votre contrôleur ou votre réseau de distribution d’application. |
| Activer la réinitialisation de mot de passe en libre-service (applicable aux comptes cloud uniquement) | Cette fonctionnalité réduit les appels au support technique et la perte de productivité quand l’utilisateur ne parvient pas à se connecter à son appareil ou à une application. |
| Utiliser des rôles avec privilèges minimum lorsque cela est possible | Donnez à vos administrateurs uniquement l’accès dont ils ont besoin et uniquement aux zones auxquelles ils doivent accéder. |
| Activer l’aide de Microsoft sur les mots de passe | Cessez de demander aux utilisateurs de changer leur mot de passe selon un calendrier défini et désactivez les exigences de complexité pour que vos utilisateurs soient plus aptes à retenir leur mot de passe et le garde en lieu sûr. |
Aide aux clients P1 de Microsoft Entra ID
Le tableau fournit les principales actions à entreprendre pour les abonnements de licence suivants :
- Microsoft Entra ID P1
- Microsoft Enterprise Mobility + Security E3
- Microsoft 365 (E3, A3, F1, F3)
| Action recommandée | Detail |
|---|---|
| Créer plusieurs administrateurs généraux | Attribuez au moins deux comptes d’administrateur général permanents exclusivement cloud à utiliser en cas d’urgence. Ces comptes ne sont pas utilisés quotidiennement et doivent avoir des mots de passe longs et complexes. |
| Activer l’expérience d’inscription combinée pour l’authentification multifacteur Microsoft Entra et SSPR afin de simplifier l’inscription des utilisateurs | Autorisez vos utilisateurs à s’inscrire en utilisant une expérience commune à l’authentification Microsoft Entra et à la réinitialisation de mot de passe en libre-service. |
| Configurer les paramètres d’authentification multifacteur pour votre organisation | Garantir la protection des comptes contre la compromission avec l’authentification multifacteur. |
| Activer la réinitialisation du mot de passe libre-service | Cette fonctionnalité réduit les appels au support technique et la perte de productivité quand l’utilisateur ne parvient pas à se connecter à son appareil ou à une application. |
| Implémenter la réécriture du mot de passe (si vous utilisez des identités hybrides) | Autorisez la réécriture des changements de mot de passe dans le cloud vers un environnement local Windows Server Active Directory. |
| Créer et activer des stratégies d’accès conditionnel | Authentification multifacteur pour les administrateurs afin de protéger les comptes auxquels des droits d’administration sont attribués. Bloquez les protocoles d’authentification hérités en raison des risques accrus associés aux protocoles d’authentification hérités. Authentification multifacteur pour tous les utilisateurs et applications afin de créer une stratégie d’authentification multifacteur équilibrée pour votre environnement, en sécurisant vos utilisateurs et applications. Demandez MFA pour la gestion Azure afin de protéger vos ressources privilégiées en exigeant l’authentification multifacteur pour tous les utilisateurs qui accèdent aux ressources Azure. |
| Activer la synchronisation du hachage de mot de passe (si vous utilisez des identités hybrides) | Fournir une redondance pour l’authentification et améliorer la sécurité (verrouillage intelligent, verrouillage IP et possibilité de détecter les fuites d’informations d’identification). |
| Activer le verrouillage intelligent AD FS (le cas échéant) | Protège les utilisateurs contre le verrouillage de leur compte extranet dû à une activité malveillante. |
| Activer le verrouillage intelligent Microsoft Entra (avec les identités managées) | Le verrouillage intelligent empêche les personnes malveillantes de deviner vos mots de passe ou d’utiliser des méthodes de force brute pour rentrer dans vos systèmes. |
| Désactiver le consentement utilisateur pour une application | Le workflow de consentement administrateur offre aux administrateurs une méthode sécurisée pour accorder l’accès aux applications qui nécessitent l’approbation de l’administrateur, ce qui permet d’éviter que les utilisateurs finaux n’exposent les données de l’entreprise. Microsoft vous recommande de désactiver toutes les opérations futures de consentement d’utilisateurs pour aider à réduire votre surface d’exposition et à atténuer ce risque. |
| Offrir un accès à distance aux applications locales héritées avec le proxy d’application | Activez le proxy d’application Microsoft Entra et intégrez-le aux applications héritées pour permettre aux utilisateurs d’avoir un accès sécurisé aux applications locales en se connectant avec leur compte Microsoft Entra. |
| Activer l’accès hybride sécurisé : Sécuriser les applications héritées avec les réseaux et les contrôleurs de livraison d’applications existants (le cas échéant) | Publiez et protégez vos applications d’authentification locales et cloud héritées en les connectant à Microsoft Entra ID avec votre contrôleur ou votre réseau de distribution d’application. |
| Intégrer des applications SaaS prises en charge à Microsoft Entra ID à partir de la galerie et activer l’authentification unique | Microsoft Entra ID a une galerie qui contient des milliers d’applications préintégrées. Certaines applications utilisées par votre organisation sont probablement dans la galerie, accessible directement à partir du portail Azure. Fournir un accès à distance aux applications SaaS d’entreprise de façon sécurisée avec une expérience utilisateur améliorée (SSO) |
| Automatiser l’attribution et la désattribution des utilisateurs dans les applications SaaS (le cas échéant) | Créez automatiquement des identités et des rôles d’utilisateur dans les applications cloud (SaaS) auxquelles les utilisateurs doivent accéder. En plus de créer des identités utilisateur, l’attribution automatique d’utilisateurs comprend la maintenance et la suppression des identités utilisateur en cas de modification de l’état ou des rôles, ce qui accroît le niveau de sécurité de votre organisation. |
| Activer l’accès conditionnel : basé sur l’appareil | Améliorez la sécurité et l’expérience utilisateur avec l’accès conditionnel basé sur l’appareil. Cette étape garantit que les utilisateurs ne pourront accéder aux ressources qu’à partir d’appareils qui répondent à vos standards de sécurité et de conformité. Ces appareils sont également appelés « appareils gérés ». Les appareils gérés peuvent être compatibles Intune ou avoir une jonction hybride à Microsoft Entra. |
| Activer la Protection par mot de passe | Empêchez les utilisateurs d’utiliser des mots de passe faibles et faciles à deviner. |
| Utiliser des rôles avec privilèges minimum lorsque cela est possible | Donnez à vos administrateurs uniquement l’accès dont ils ont besoin et uniquement aux zones auxquelles ils doivent accéder. |
| Activer l’aide de Microsoft sur les mots de passe | Cessez de demander aux utilisateurs de changer leur mot de passe selon un calendrier défini et désactivez les exigences de complexité pour que vos utilisateurs soient plus aptes à retenir leur mot de passe et le garde en lieu sûr. |
| Créer une liste de mots de passe interdits personnalisée propre à l’organisation | Empêchez les utilisateurs de créer des mots de passe comprenant des mots ou des expressions courantes de votre organisation ou de votre zone. |
| Déployer de nouvelles méthodes d’authentification sans mot de passe pour vos utilisateurs | Fournir à vos utilisateurs des méthodes d’authentification pratiques, sans mot de passe. |
| Créer un plan pour l’accès des utilisateurs invités | Collaborez avec les utilisateurs invités en les autorisant à se connecter à vos applications et services avec leur propre identité professionnelle, scolaire ou de réseau social. |
Aide aux clients P2 de Microsoft Entra ID
Le tableau fournit les principales actions à entreprendre pour les abonnements de licence suivants :
- Microsoft Entra ID P2
- Microsoft Enterprise Mobility + Security E5
- Microsoft 365 (E5, A5)
| Action recommandée | Detail |
|---|---|
| Créer plusieurs administrateurs généraux | Attribuez au moins deux comptes d’administrateur général permanents exclusivement cloud à utiliser en cas d’urgence. Ces comptes ne sont pas utilisés quotidiennement et doivent avoir des mots de passe longs et complexes. |
| Activer l’expérience d’inscription combinée pour l’authentification multifacteur Microsoft Entra et SSPR afin de simplifier l’inscription des utilisateurs | Autorisez vos utilisateurs à s’inscrire en utilisant une expérience commune à l’authentification Microsoft Entra et à la réinitialisation de mot de passe en libre-service. |
| Configurer les paramètres d’authentification multifacteur pour votre organisation | Garantir la protection des comptes contre la compromission avec l’authentification multifacteur. |
| Activer la réinitialisation du mot de passe libre-service | Cette fonctionnalité réduit les appels au support technique et la perte de productivité quand l’utilisateur ne parvient pas à se connecter à son appareil ou à une application. |
| Implémenter la réécriture du mot de passe (si vous utilisez des identités hybrides) | Autorisez la réécriture des changements de mot de passe dans le cloud vers un environnement local Windows Server Active Directory. |
| Activer les stratégies Identity Protection pour appliquer l’inscription d’authentification multifacteur | Gérer le déploiement de l’authentification multifacteur Microsoft Entra. |
| Activer les stratégies de risques liés aux utilisateurs et aux connexions d’Identity Protection | Activez les stratégies relatives aux utilisateurs et aux connexions d’Identity Protection. La stratégie de connexion recommandée consiste à cibler des connexions à risque moyen et à exiger l’authentification multifacteur. Pour les stratégies d’utilisateur, vous devez cibler les utilisateurs à risque élevé qui nécessitent un changement de mot de passe. |
| Créer et activer des stratégies d’accès conditionnel | Authentification multifacteur pour les administrateurs afin de protéger les comptes auxquels des droits d’administration sont attribués. Bloquez les protocoles d’authentification hérités en raison des risques accrus associés aux protocoles d’authentification hérités. Demandez MFA pour la gestion Azure afin de protéger vos ressources privilégiées en exigeant l’authentification multifacteur pour tous les utilisateurs qui accèdent aux ressources Azure. |
| Activer la synchronisation du hachage de mot de passe (si vous utilisez des identités hybrides) | Fournir une redondance pour l’authentification et améliorer la sécurité (verrouillage intelligent, verrouillage IP et possibilité de détecter les fuites d’informations d’identification). |
| Activer le verrouillage intelligent AD FS (le cas échéant) | Protège les utilisateurs contre le verrouillage de leur compte extranet dû à une activité malveillante. |
| Activer le verrouillage intelligent Microsoft Entra (avec les identités managées) | Le verrouillage intelligent empêche les personnes malveillantes de deviner vos mots de passe ou d’utiliser des méthodes de force brute pour rentrer dans vos systèmes. |
| Désactiver le consentement utilisateur pour une application | Le workflow de consentement administrateur offre aux administrateurs une méthode sécurisée pour accorder l’accès aux applications qui nécessitent l’approbation de l’administrateur, ce qui permet d’éviter que les utilisateurs finaux n’exposent les données de l’entreprise. Microsoft vous recommande de désactiver toutes les opérations futures de consentement d’utilisateurs pour aider à réduire votre surface d’exposition et à atténuer ce risque. |
| Offrir un accès à distance aux applications locales héritées avec le proxy d’application | Activez le proxy d’application Microsoft Entra et intégrez-le aux applications héritées pour permettre aux utilisateurs d’avoir un accès sécurisé aux applications locales en se connectant avec leur compte Microsoft Entra. |
| Activer l’accès hybride sécurisé : Sécuriser les applications héritées avec les réseaux et les contrôleurs de livraison d’applications existants (le cas échéant) | Publiez et protégez vos applications d’authentification locales et cloud héritées en les connectant à Microsoft Entra ID avec votre contrôleur ou votre réseau de distribution d’application. |
| Intégrer des applications SaaS prises en charge à Microsoft Entra ID à partir de la galerie et activer l’authentification unique | Microsoft Entra ID a une galerie qui contient des milliers d’applications préintégrées. Certaines applications utilisées par votre organisation sont probablement dans la galerie, accessible directement à partir du portail Azure. Fournir un accès à distance aux applications SaaS d’entreprise de façon sécurisée avec une expérience utilisateur améliorée (SSO) |
| Automatiser l’attribution et la désattribution des utilisateurs dans les applications SaaS (le cas échéant) | Créez automatiquement des identités et des rôles d’utilisateur dans les applications cloud (SaaS) auxquelles les utilisateurs doivent accéder. En plus de créer des identités utilisateur, l’attribution automatique d’utilisateurs comprend la maintenance et la suppression des identités utilisateur en cas de modification de l’état ou des rôles, ce qui accroît le niveau de sécurité de votre organisation. |
| Activer l’accès conditionnel : basé sur l’appareil | Améliorez la sécurité et l’expérience utilisateur avec l’accès conditionnel basé sur l’appareil. Cette étape garantit que les utilisateurs ne pourront accéder aux ressources qu’à partir d’appareils qui répondent à vos standards de sécurité et de conformité. Ces appareils sont également appelés « appareils gérés ». Les appareils gérés peuvent être compatibles Intune ou avoir une jonction hybride à Microsoft Entra. |
| Activer la Protection par mot de passe | Empêchez les utilisateurs d’utiliser des mots de passe faibles et faciles à deviner. |
| Utiliser des rôles avec privilèges minimum lorsque cela est possible | Donnez à vos administrateurs uniquement l’accès dont ils ont besoin et uniquement aux zones auxquelles ils doivent accéder. |
| Activer l’aide de Microsoft sur les mots de passe | Cessez de demander aux utilisateurs de changer leur mot de passe selon un calendrier défini et désactivez les exigences de complexité pour que vos utilisateurs soient plus aptes à retenir leur mot de passe et le garde en lieu sûr. |
| Créer une liste de mots de passe interdits personnalisée propre à l’organisation | Empêchez les utilisateurs de créer des mots de passe comprenant des mots ou des expressions courantes de votre organisation ou de votre zone. |
| Déployer de nouvelles méthodes d’authentification sans mot de passe pour vos utilisateurs | Fournir aux utilisateurs des méthodes d’authentification pratiques, sans mot de passe |
| Créer un plan pour l’accès des utilisateurs invités | Collaborez avec les utilisateurs invités en les autorisant à se connecter à vos applications et services avec leur propre identité professionnelle, scolaire ou de réseau social. |
| Activer Privileged Identity Management (PIM) | Permet de gérer, contrôler et analyser l’accès aux ressources importantes de votre organisation, en faisant en sorte que les administrateurs y auront accès uniquement si nécessaire et avec approbation. |
| Effectuer une révision d’accès des rôles d’annuaire Microsoft Entra dans PIM | Consultez vos équipes de sécurité et de direction pour créer une stratégie de révision d’accès afin d’examiner les accès administratifs en fonction des stratégies de votre organisation. |
Confiance Zéro
Cette fonctionnalité aide les organisations à aligner leurs identités sur les trois principes directeurs d’une architecture Confiance nulle :
- Vérifier explicitement
- Utiliser le privilège minimum
- Supposer une violation
Pour en savoir plus sur Confiance Zéro et d’autres façons d’aligner votre organisation sur les principes directeurs, consultez le Centre d’aide Confiance Zéro.
Étapes suivantes
- Pour obtenir des conseils de déploiement détaillés sur les fonctionnalités individuelles de Microsoft Entra ID, consultez les Plans de déploiement de projet Microsoft Entra ID.
- Les organisations peuvent utiliser le score de sécurisation des identités pour suivre leur progression par rapport à d’autres suggestions Microsoft.