Partager via


Créer un plan de sécurité pour l’accès externe aux ressources

Avant de créer un plan de sécurité pour l’accès externe, consultez les deux articles suivants afin de disposer d'un contexte et d'informations supplémentaires sur le plan de sécurité.

Avant de commencer

Cet article est le numéro 3 d’une série de 10 articles. Nous vous recommandons de consulter les articles dans l’ordre. Accédez à la section Étapes suivantes pour consulter la série entière.

Documentation concernant le plan de sécurité

Dans le cadre de votre plan de sécurité, documentez les informations suivantes :

  • Applications et ressources groupées pour l’accès
  • Conditions de connexion des utilisateurs externes
    • État de l’appareil, emplacement de connexion, exigences de l’application cliente, risque utilisateur, ainsi de suite.
  • Stratégies pour déterminer le calendrier des révisions et des suppressions d'accès
  • Populations d’utilisateurs regroupés pour des expériences similaires

Pour implémenter le plan de sécurité, vous pouvez utiliser les stratégies de gestion des identités et des accès Microsoft ou un autre fournisseur d’identité (IdP).

Pour en savoir plus : Vue d’ensemble de la gestion des identités et des accès

Utiliser des groupes pour les accès

Consultez les liens suivants vers des articles sur les stratégies de regroupement de ressources :

Documenter les applications groupées. Éléments à prendre en compte :

  • Profil de risque : évaluer le risque si un acteur malveillant accède à une application
    • Identifier l’application comme présentant un risque élevé, moyen ou faible. Nous vous recommandons de ne pas rassembler les risques élevés avec les risques faibles.
    • Documentez les applications qui ne peuvent pas être partagées avec des utilisateurs externes.
  • Infrastructure de conformité : déterminer les infrastructures de conformité des applications
    • Identifiez les exigences d’accès et de révision.
  • Applications pour les rôles et les services : évaluer les applications regroupées pour l’accès à un rôle ou un service
  • Applications de collaboration : identifier les applications de collaboration auxquelles les utilisateurs externes peuvent accéder, comme Teams et SharePoint
    • Dans le cas des applications de productivité, soit les utilisateurs externes disposent de licences, soit vous leur fournissez l’accès.

Documentez les informations suivantes pour l’accès des utilisateurs externes aux applications et groupes de ressources.

  • Nom descriptif du groupe, par exemple High_Risk_External_Access_Finance.
  • Applications et ressources du groupe
  • Propriétaires d’applications et de ressources, ainsi que leurs informations de contact
  • L’équipe informatique contrôle l’accès ou le contrôle est transmis à un propriétaire d’entreprise
  • Prérequis d’accès : vérification des antécédents, formation, ainsi de suite.
  • Exigences de conformité de l’accès aux ressources
  • Défis, par exemple l’authentification multifacteur pour certaines ressources
  • Cadence des révisions, personne responsable et emplacement où les résultats sont documentés

Conseil

Utilisez ce type de plan de gouvernance pour l’accès interne.

Documenter les conditions de connexion pour les utilisateurs externes

Déterminez les exigences de connexion applicables aux utilisateurs externes qui demandent l’accès. Fondez les exigences sur le profil de risque de la ressource et sur l’évaluation du risque utilisateur lors de la connexion. Configurez les conditions de connexion à l’aide de l’accès conditionnel : une condition et un résultat. Par exemple, vous pouvez exiger l’authentification multifacteur.

Pour plus d’informations, consultez Présentation de l’accès conditionnel.

Conditions de connexion en fonction du profil de risque des ressources

Tenez compte des stratégies basées sur les risques suivantes pour déclencher l’authentification multifacteur.

  • Faible : authentification multifacteur pour certains ensembles d’applications
  • Moyen : authentification multifacteur lorsque d’autres risques sont présents
  • Élevé : les utilisateurs externes utilisent toujours l’authentification multifacteur

En savoir plus :

Conditions de connexion en fonction de l’utilisateur et de l’appareil

Appuyez-vous sur le tableau suivant pour évaluer la stratégie de gestion des risques à adopter.

Risque de connexion ou d’utilisateur Stratégie proposée
Appareil Exiger un appareil conforme
Applications mobiles Exiger des applications approuvées
Le risque pour les utilisateurs de Protection des ID Microsoft Entra est élevé Demander à l’utilisateur de modifier le mot de passe
Emplacement réseau Pour accéder à des projets confidentiels, exiger la connexion à partir d’une plage d’adresses IP.

Pour exploiter l'état du dispositif comme entrée de stratégie, enregistrez ou joignez le dispositif à votre locataire. Pour approuver les revendications d’appareil à partir du locataire d’origine, configurez les paramètres d’accès inter-locataire. Cf. Modification des paramètres d’accès entrant.

Vous pouvez utiliser des stratégies de protection des identités contre les risques. Toutefois, atténuez les problèmes dans le locataire d’origine de l’utilisateur. Cf. Stratégie d’accès conditionnel courante : authentification multifacteur en fonction du risque de connexion.

Pour les emplacements réseau, vous pouvez restreindre l’accès aux plages d’adresses IP dont vous disposez. Utilisez cette méthode si des partenaires externes accèdent à des applications une fois sur site. Cf. Accès conditionnel : blocage de l’accès en fonction de l’emplacement.

Documenter les stratégies de révision d’accès

Documentez les stratégies qui dictent quand effectuer une révision de l’accès aux ressources et supprimer l’accès des utilisateurs externes au compte. Voici quelques exemples d’entrées :

  • Exigences des frameworks de conformité
  • Processus et stratégies métier internes
  • Comportement de l’utilisateur

En règle générale, les organisations personnalisent la stratégie, mais elles tiennent compte les paramètres suivants :

Méthodes de contrôle d’accès

Certaines fonctionnalités, par exemple la gestion des droits d’utilisation, sont disponibles avec une licence Microsoft Entra ID P1 ou P2. Les licences Microsoft 365 E5 et Office 365 E5 incluent les licences Microsoft Entra ID P2. Vous en saurez davantage, dans la section suivante, sur la gestion des droits d’utilisation.

Notes

Les licences sont destinées à un seul utilisateur. Par conséquent, les utilisateurs, les administrateurs et les propriétaires d’entreprise peuvent disposer d’un contrôle d’accès délégué. Ce scénario peut se produire avec Microsoft Entra ID P2 ou Microsoft 365 E5, et vous n'êtes pas obligé d'activer les licences pour tous les utilisateurs. Les 50 000 premiers utilisateurs externes sont gratuits. Si vous n’activez pas de licences P2 pour d’autres utilisateurs internes, ils ne peuvent pas utiliser la gestion des droits d’utilisation.

D'autres combinaisons de Microsoft 365, Office 365 et Microsoft Entra ID disposent de fonctionnalités permettant de gérer les utilisateurs externes. Consultez Guide Microsoft 365 de la sécurité et de la conformité.

Gouverner l'accès avec Microsoft Entra ID P2 et Microsoft 365 ou Office 365 E5

Microsoft Entra ID P2, inclus dans Microsoft 365 E5, dispose de fonctionnalités de sécurité et de gouvernance supplémentaires.

Approvisionnement de l’accès, connexion, révision de l’accès et déprovisionnement de l’accès

Les entrées en gras sont les actions recommandées.

Fonctionnalité Approvisionner des utilisateurs externes Appliquer les exigences de connexion Revoir l’accès Annuler l’approvisionnement de l’accès
Collaboration Microsoft Entra B2B Inviter par e-mail, mot de passe à usage unique (OTP), libre-service N/A Révision périodique des partenaires Supprimer un compte
Restriction de la connexion
Gestion des droits d’utilisation Ajouter un utilisateur par attribution ou accès libre-service N/A Révisions d’accès Expiration ou suppression du package d’accès
Groupes Office 365 N/A N/A Vérifier les appartenances aux groupes Expiration ou suppression du groupe
Retrait du groupe
Groupes de sécurité Microsoft Entra N/A Stratégies d’accès conditionnel : ajouter des utilisateurs externes aux groupes de sécurité si nécessaire N/A N/A

Accès aux ressources

Les entrées en gras sont les actions recommandées.

Fonctionnalité Accès aux applications et aux ressources Accès à SharePoint et à OneDrive Accès à Teams Sécurité des e-mails et des documents
Gestion des droits d’utilisation Ajouter un utilisateur par attribution ou accès libre-service Packages d’accès Packages d’accès N/A
Groupe Office 365 S/O Accès au contenu du ou des sites et des groupes Accès au contenu des équipes et des groupes N/A
Étiquette de confidentialité N/A Classer et restreindre les accès manuellement et automatiquement Classer et restreindre les accès manuellement et automatiquement Classer et restreindre les accès manuellement et automatiquement
Groupes de sécurité Microsoft Entra Stratégies d’accès conditionnel pour l’accès non incluses dans les packages d’accès N/A N/A N/A

Gestion des droits d’utilisation

Utilisez la gestion des droits d’utilisation pour approvisionner et déprovisionner l’accès aux groupes et équipes, aux applications et aux sites SharePoint. Définissez les organisations connectées disposant d’un accès, les demandes en libre-service et les flux de travaux d’approbation. Pour que l’accès se termine correctement, définissez des stratégies d’expiration et des révisions d’accès pour les packages.

Pour plus d’informations, consultez Création d’un package d’accès dans la gestion des droits d’utilisation.

Gérer l'accès avec Microsoft Entra ID P1, Microsoft 365, Office 365 E3

Approvisionnement de l’accès, connexion, révision de l’accès et déprovisionnement de l’accès

Les éléments en gras sont les actions recommandées.

Fonctionnalité Approvisionner des utilisateurs externes Appliquer les exigences de connexion Revoir l’accès Annuler l’approvisionnement de l’accès
Collaboration Microsoft Entra B2B Inviter par e-mail, mot de passe à usage unique (OTP), libre-service Fédération B2B directe Révision périodique des partenaires Supprimer un compte
Restriction de la connexion
Groupes Microsoft 365 ou Office 365 N/A N/A N/A Expiration ou suppression du groupe
Retrait du groupe
Groupes de sécurité S/O Ajouter des utilisateurs externes à des groupes de sécurité (organisation, équipe, projet, ainsi de suite) N/A N/A
Stratégies d’accès conditionnel N/A Stratégies d’accès conditionnel à la connexion pour les utilisateurs externes N/A N/A

Accès aux ressources

Fonctionnalité Accès aux applications et aux ressources Accès à SharePoint et à OneDrive Accès à Teams Sécurité des e-mails et des documents
Groupes Microsoft 365 ou Office 365 S/O Accès aux sites de groupe et au contenu associé Accès aux équipes de groupe Microsoft 365 et au contenu associé N/A
Étiquette de confidentialité N/A Classer et limiter manuellement l’accès Classer et limiter manuellement l’accès Classer manuellement pour limiter et chiffrer
Stratégies d’accès conditionnel Stratégies d’accès conditionnel pour le contrôle d’accès N/A N/A N/A
Autres méthodes N/A Restriction de l’accès au site SharePoint avec les groupes de sécurité
Interdiction du partage direct
Restriction des invitations externes d’une équipe N/A

Étapes suivantes

Utilisez la série d’articles suivante pour découvrir la sécurisation de l’accès externe aux ressources. Nous vous recommandons de suivre l’ordre indiqué.

  1. Déterminer votre posture de sécurité pour l’accès externe avec Microsoft Entra ID

  2. Découvrir l’état actuel de la collaboration externe avec votre organisation

  3. Créer un plan de sécurité pour l’accès externe aux ressources (Vous êtes ici)

  4. Accès externe sécurisé avec des groupes dans Microsoft Entra ID et Microsoft 365

  5. Transition vers une collaboration gouvernée avec la collaboration Microsoft Entra B2B

  6. Gérer les accès externes avec la gestion des droits Microsoft Entra

  7. Gérer l’accès externe à des ressources avec des stratégies d’accès conditionnel

  8. Contrôler l'accès externe aux ressources dans Microsoft Entra ID avec des étiquettes de sensibilité

  9. Accès externe sécurisé à Microsoft Teams, SharePoint et OneDrive Entreprise avec Microsoft Entra ID

  10. Convertir les comptes invités locaux en comptes invités Microsoft Entra B2B