Créer un plan de sécurité pour l’accès externe aux ressources
Avant de créer un plan de sécurité pour l’accès externe, consultez les deux articles suivants afin de disposer d'un contexte et d'informations supplémentaires sur le plan de sécurité.
- Déterminer votre posture de sécurité pour l’accès externe avec Microsoft Entra ID
- Découvrir l’état actuel de la collaboration externe avec votre organisation
Avant de commencer
Cet article est le numéro 3 d’une série de 10 articles. Nous vous recommandons de consulter les articles dans l’ordre. Accédez à la section Étapes suivantes pour consulter la série entière.
Documentation concernant le plan de sécurité
Dans le cadre de votre plan de sécurité, documentez les informations suivantes :
- Applications et ressources groupées pour l’accès
- Conditions de connexion des utilisateurs externes
- État de l’appareil, emplacement de connexion, exigences de l’application cliente, risque utilisateur, ainsi de suite.
- Stratégies pour déterminer le calendrier des révisions et des suppressions d'accès
- Populations d’utilisateurs regroupés pour des expériences similaires
Pour implémenter le plan de sécurité, vous pouvez utiliser les stratégies de gestion des identités et des accès Microsoft ou un autre fournisseur d’identité (IdP).
Pour en savoir plus : Vue d’ensemble de la gestion des identités et des accès
Utiliser des groupes pour les accès
Consultez les liens suivants vers des articles sur les stratégies de regroupement de ressources :
- Microsoft Teams regroupe des fichiers, fils de conversation et autres ressources
- Formuler une stratégie d’accès externe pour Teams
- Voir Accès externe sécurisé à Microsoft Teams, SharePoint et OneDrive Entreprise avec Microsoft Entra ID
- Utiliser des packages d’accès de la gestion des droits d’utilisation pour créer et déléguer la gestion des packages pour les applications, les groupes, les équipes, les sites SharePoint, ainsi de suite.
- Appliquez des stratégies d’accès conditionnel à maximum 250 applications dotées des mêmes exigences d’accès.
- Définir l’accès pour les groupes d’applications pour l’utilisateur externe
Documenter les applications groupées. Éléments à prendre en compte :
- Profil de risque : évaluer le risque si un acteur malveillant accède à une application
- Identifier l’application comme présentant un risque élevé, moyen ou faible. Nous vous recommandons de ne pas rassembler les risques élevés avec les risques faibles.
- Documentez les applications qui ne peuvent pas être partagées avec des utilisateurs externes.
- Infrastructure de conformité : déterminer les infrastructures de conformité des applications
- Identifiez les exigences d’accès et de révision.
- Applications pour les rôles et les services : évaluer les applications regroupées pour l’accès à un rôle ou un service
- Applications de collaboration : identifier les applications de collaboration auxquelles les utilisateurs externes peuvent accéder, comme Teams et SharePoint
- Dans le cas des applications de productivité, soit les utilisateurs externes disposent de licences, soit vous leur fournissez l’accès.
Documentez les informations suivantes pour l’accès des utilisateurs externes aux applications et groupes de ressources.
- Nom descriptif du groupe, par exemple High_Risk_External_Access_Finance.
- Applications et ressources du groupe
- Propriétaires d’applications et de ressources, ainsi que leurs informations de contact
- L’équipe informatique contrôle l’accès ou le contrôle est transmis à un propriétaire d’entreprise
- Prérequis d’accès : vérification des antécédents, formation, ainsi de suite.
- Exigences de conformité de l’accès aux ressources
- Défis, par exemple l’authentification multifacteur pour certaines ressources
- Cadence des révisions, personne responsable et emplacement où les résultats sont documentés
Conseil
Utilisez ce type de plan de gouvernance pour l’accès interne.
Documenter les conditions de connexion pour les utilisateurs externes
Déterminez les exigences de connexion applicables aux utilisateurs externes qui demandent l’accès. Fondez les exigences sur le profil de risque de la ressource et sur l’évaluation du risque utilisateur lors de la connexion. Configurez les conditions de connexion à l’aide de l’accès conditionnel : une condition et un résultat. Par exemple, vous pouvez exiger l’authentification multifacteur.
Pour plus d’informations, consultez Présentation de l’accès conditionnel.
Conditions de connexion en fonction du profil de risque des ressources
Tenez compte des stratégies basées sur les risques suivantes pour déclencher l’authentification multifacteur.
- Faible : authentification multifacteur pour certains ensembles d’applications
- Moyen : authentification multifacteur lorsque d’autres risques sont présents
- Élevé : les utilisateurs externes utilisent toujours l’authentification multifacteur
En savoir plus :
- Tutoriel : appliquer l’authentification multifacteur pour les utilisateurs invités B2B
- Approuver l’authentification multifacteur à partir de locataires externes
Conditions de connexion en fonction de l’utilisateur et de l’appareil
Appuyez-vous sur le tableau suivant pour évaluer la stratégie de gestion des risques à adopter.
| Risque de connexion ou d’utilisateur | Stratégie proposée |
|---|---|
| Appareil | Exiger un appareil conforme |
| Applications mobiles | Exiger des applications approuvées |
| Risque élevé pour la protection des identités | Demander à l’utilisateur de modifier le mot de passe |
| Emplacement réseau | Pour accéder à des projets confidentiels, exiger la connexion à partir d’une plage d’adresses IP. |
Pour exploiter l'état du dispositif comme entrée de stratégie, enregistrez ou joignez le dispositif à votre locataire. Pour approuver les revendications d’appareil à partir du locataire d’origine, configurez les paramètres d’accès inter-locataire. Cf. Modification des paramètres d’accès entrant.
Vous pouvez utiliser des stratégies de protection des identités contre les risques. Toutefois, atténuez les problèmes dans le locataire d’origine de l’utilisateur. Cf. Stratégie d’accès conditionnel courante : authentification multifacteur en fonction du risque de connexion.
Pour les emplacements réseau, vous pouvez restreindre l’accès aux plages d’adresses IP dont vous disposez. Utilisez cette méthode si des partenaires externes accèdent à des applications une fois sur site. Cf. Accès conditionnel : blocage de l’accès en fonction de l’emplacement.
Documenter les stratégies de révision d’accès
Documentez les stratégies qui dictent quand effectuer une révision de l’accès aux ressources et supprimer l’accès des utilisateurs externes au compte. Voici quelques exemples d’entrées :
- Exigences des frameworks de conformité
- Processus et stratégies métier internes
- Comportement de l’utilisateur
En règle générale, les organisations personnalisent la stratégie, mais elles tiennent compte les paramètres suivants :
- Révisions d’accès de la gestion des droits d’utilisation :
- Changer les paramètres de cycle de vie d’un package d’accès dans la gestion des droits d’utilisation
- Créer une révision d’accès d’un package d’accès dans la gestion des droits d’utilisation
- Ajouter une organisation connectée dans la gestion des droits d’utilisation : regrouper des utilisateurs à partir d’un partenaire et planifier des révisions
- Groupes Microsoft 365
- Options :
- Si les utilisateurs externes n’utilisent pas de packages d’accès ni de groupes Microsoft 365, déterminez quand les comptes deviennent inactifs ou supprimés.
- Supprimez la connexion pour les comptes qui ne se connectent pas pendant 90 jours.
- Évaluez régulièrement l’accès des utilisateurs externes.
Méthodes de contrôle d’accès
Certaines fonctionnalités, par exemple la gestion des droits d’utilisation, sont disponibles avec une licence Microsoft Entra ID P1 ou P2. Les licences Microsoft 365 E5 et Office 365 E5 incluent les licences Microsoft Entra ID P2. Vous en saurez davantage, dans la section suivante, sur la gestion des droits d’utilisation.
Notes
Les licences sont destinées à un seul utilisateur. Par conséquent, les utilisateurs, les administrateurs et les propriétaires d’entreprise peuvent disposer d’un contrôle d’accès délégué. Ce scénario peut se produire avec Microsoft Entra ID P2 ou Microsoft 365 E5, et vous n'êtes pas obligé d'activer les licences pour tous les utilisateurs. Les 50 000 premiers utilisateurs externes sont gratuits. Si vous n’activez pas de licences P2 pour d’autres utilisateurs internes, ils ne peuvent pas utiliser la gestion des droits d’utilisation.
D'autres combinaisons de Microsoft 365, Office 365 et Microsoft Entra ID disposent de fonctionnalités permettant de gérer les utilisateurs externes. Consultez Guide Microsoft 365 de la sécurité et de la conformité.
Gouverner l'accès avec Microsoft Entra ID P2 et Microsoft 365 ou Office 365 E5
Microsoft Entra ID P2, inclus dans Microsoft 365 E5, dispose de fonctionnalités de sécurité et de gouvernance supplémentaires.
Approvisionnement de l’accès, connexion, révision de l’accès et déprovisionnement de l’accès
Les entrées en gras sont les actions recommandées.
| Fonctionnalité | Approvisionner des utilisateurs externes | Appliquer les exigences de connexion | Revoir l’accès | Annuler l’approvisionnement de l’accès |
|---|---|---|---|---|
| Collaboration Microsoft Entra B2B | Inviter par e-mail, mot de passe à usage unique (OTP), libre-service | N/A | Révision périodique des partenaires | Supprimer un compte Restriction de la connexion |
| Gestion des droits d’utilisation | Ajouter un utilisateur par attribution ou accès libre-service | N/A | Révisions d’accès | Expiration ou suppression du package d’accès |
| Groupes Office 365 | N/A | N/A | Vérifier les appartenances aux groupes | Expiration ou suppression du groupe Retrait du groupe |
| Groupes de sécurité Microsoft Entra | N/A | Stratégies d’accès conditionnel : ajouter des utilisateurs externes aux groupes de sécurité si nécessaire | N/A | N/A |
Accès aux ressources
Les entrées en gras sont les actions recommandées.
| Fonctionnalité | Accès aux applications et aux ressources | Accès à SharePoint et à OneDrive | Accès à Teams | Sécurité des e-mails et des documents |
|---|---|---|---|---|
| Gestion des droits d’utilisation | Ajouter un utilisateur par attribution ou accès libre-service | Packages d’accès | Packages d’accès | N/A |
| Groupe Office 365 | S/O | Accès au contenu du ou des sites et des groupes | Accès au contenu des équipes et des groupes | N/A |
| Étiquette de confidentialité | N/A | Classer et restreindre les accès manuellement et automatiquement | Classer et restreindre les accès manuellement et automatiquement | Classer et restreindre les accès manuellement et automatiquement |
| Groupes de sécurité Microsoft Entra | Stratégies d’accès conditionnel pour l’accès non incluses dans les packages d’accès | N/A | N/A | N/A |
Gestion des droits d’utilisation
Utilisez la gestion des droits d’utilisation pour approvisionner et déprovisionner l’accès aux groupes et équipes, aux applications et aux sites SharePoint. Définissez les organisations connectées disposant d’un accès, les demandes en libre-service et les flux de travaux d’approbation. Pour que l’accès se termine correctement, définissez des stratégies d’expiration et des révisions d’accès pour les packages.
Pour plus d’informations, consultez Création d’un package d’accès dans la gestion des droits d’utilisation.
Gérer l'accès avec Microsoft Entra ID P1, Microsoft 365, Office 365 E3
Approvisionnement de l’accès, connexion, révision de l’accès et déprovisionnement de l’accès
Les éléments en gras sont les actions recommandées.
| Fonctionnalité | Approvisionner des utilisateurs externes | Appliquer les exigences de connexion | Revoir l’accès | Annuler l’approvisionnement de l’accès |
|---|---|---|---|---|
| Collaboration Microsoft Entra B2B | Inviter par e-mail, mot de passe à usage unique (OTP), libre-service | Fédération B2B directe | Révision périodique des partenaires | Supprimer un compte Restriction de la connexion |
| Groupes Microsoft 365 ou Office 365 | N/A | N/A | N/A | Expiration ou suppression du groupe Retrait du groupe |
| Groupes de sécurité | S/O | Ajouter des utilisateurs externes à des groupes de sécurité (organisation, équipe, projet, ainsi de suite) | N/A | N/A |
| Stratégies d’accès conditionnel | N/A | Stratégies d’accès conditionnel à la connexion pour les utilisateurs externes | N/A | N/A |
Accès aux ressources
| Fonctionnalité | Accès aux applications et aux ressources | Accès à SharePoint et à OneDrive | Accès à Teams | Sécurité des e-mails et des documents |
|---|---|---|---|---|
| Groupes Microsoft 365 ou Office 365 | S/O | Accès aux sites de groupe et au contenu associé | Accès aux équipes de groupe Microsoft 365 et au contenu associé | N/A |
| Étiquette de confidentialité | N/A | Classer et limiter manuellement l’accès | Classer et limiter manuellement l’accès | Classer manuellement pour limiter et chiffrer |
| Stratégies d’accès conditionnel | Stratégies d’accès conditionnel pour le contrôle d’accès | N/A | N/A | N/A |
| Autres méthodes | N/A | Restriction de l’accès au site SharePoint avec les groupes de sécurité Interdiction du partage direct |
Restriction des invitations externes d’une équipe | N/A |
Étapes suivantes
Utilisez la série d’articles suivante pour découvrir la sécurisation de l’accès externe aux ressources. Nous vous recommandons de suivre l’ordre indiqué.
Déterminer votre posture de sécurité pour l’accès externe avec Microsoft Entra ID
Découvrir l’état actuel de la collaboration externe avec votre organisation
Créer un plan de sécurité pour l’accès externe aux ressources (Vous êtes ici)
Accès externe sécurisé avec des groupes dans Microsoft Entra ID et Microsoft 365
Transition vers une collaboration gouvernée avec la collaboration Microsoft Entra B2B
Gérer les accès externes avec la gestion des droits Microsoft Entra
Gérer l’accès externe à des ressources avec des stratégies d’accès conditionnel
Contrôler l'accès externe aux ressources dans Microsoft Entra ID avec des étiquettes de sensibilité
Accès externe sécurisé à Microsoft Teams, SharePoint et OneDrive Entreprise avec Microsoft Entra ID
Convertir les comptes invités locaux en comptes invités Microsoft Entra B2B