Le principe du privilège minimum avec Microsoft Entra ID Governance
Un concept qui doit être abordé avant de prendre une stratégie de gouvernance des identités est le principe du privilège minimum (PLOP). Le privilège minimum est un principe de gouvernance des identités qui implique l’attribution d’utilisateurs et de groupes uniquement au niveau minimal d’accès et d’autorisations nécessaires pour effectuer leurs tâches. L’idée est de restreindre les droits d’accès afin qu’un utilisateur ou un groupe puisse effectuer son travail, mais également réduire les privilèges inutiles qui pourraient potentiellement être exploités par des attaquants ou entraîner des violations de sécurité.
En ce qui concerne Microsoft Entra ID Governance, l’application du principe du privilège minimum permet d’améliorer la sécurité et d’atténuer les risques. Cette approche garantit que les utilisateurs et les groupes sont autorisés à accéder uniquement aux ressources, aux données et aux actions pertinentes pour leurs rôles et responsabilités, et rien au-delà de cela.
Concepts clés du principe du privilège minimum
L’accès aux ressources requises uniquement : Les utilisateurs reçoivent l’accès aux informations et aux ressources uniquement s’ils ont besoin d’effectuer leurs tâches. Cela empêche l’accès non autorisé aux données sensibles et réduit l’impact potentiel d’une violation de sécurité. L’automatisation de l’approvisionnement des utilisateurs permet de réduire l’octroi inutile des droits d’accès. Workflows de cycle de vie est une fonctionnalité de gouvernance des identités qui permet aux organisations de gérer les utilisateurs de Microsoft Entra en automatisant les processus de cycle de vie de base.
Contrôle d’accès en fonction du rôle (RBAC) : droits d’accès sont déterminés en fonction des rôles ou fonctions de travail spécifiques des utilisateurs. Chaque rôle reçoit les autorisations minimales nécessaires pour remplir ses responsabilités. Contrôle d’accès en fonction du rôle Microsoft Entra gère l’accès aux ressources Microsoft Entra.
Privilège juste-à-temps : droits d’accès sont accordés uniquement pendant la durée nécessaire et sont révoqués lorsqu’ils ne sont plus nécessaires. Cela réduit la fenêtre de possibilité pour les attaquants d’exploiter des privilèges excessifs. Privileged Identity Management (PIM) est un service dans Microsoft Entra ID qui vous permet de gérer, contrôler et surveiller l’accès aux ressources importantes de votre organisation et peut fournir un accès juste-à-temps.
Audit et révision réguliers : révisions périodiques de l’accès et des autorisations des utilisateurs sont effectuées pour s’assurer que les utilisateurs ont toujours besoin de l’accès qu’ils ont accordé. Cela permet d’identifier et de corriger les écarts du principe des privilèges minimum. Révisions d’accès dans Microsoft Entra ID, partie de Microsoft Entra, permettent aux organisations de gérer efficacement les appartenances aux groupes, d’accéder aux applications d’entreprise et aux attributions de rôles. L’accès des utilisateurs peut être révisé régulièrement pour vérifier que seules les personnes appropriées continuent de bénéficier d’un accès.
Refus par défaut : La position par défaut consiste à refuser l’accès et l’accès est explicitement accordé uniquement à des fins approuvées. Cela contraste avec une approche « autorisation par défaut », ce qui peut entraîner l’octroi de privilèges inutiles. Gestion des droits d’utilisation est une fonctionnalité de gouvernance des identités qui permet aux organisations de gérer le cycle de vie des identités et des accès à grande échelle, en automatisant les flux de travail de demande d’accès, les affectations d’accès, les révisions et l’expiration.
En suivant le principe des privilèges minimum, votre organisation peut réduire le risque de problèmes de sécurité et s’assurer que les contrôles d’accès sont alignés sur les besoins de l’entreprise.
Rôles avec privilèges minimum pour la gestion dans les fonctionnalités de gouvernance des identités
Il est recommandé d’utiliser le rôle le moins privilégié pour effectuer des tâches d’administration dans Identity Governance. Nous vous recommandons d’utiliser Microsoft Entra PIM pour activer un rôle en fonction des besoins afin d’effectuer ces tâches. Voici les rôles d’annuaire les moins privilégiés pour configurer les fonctionnalités d’Identity Governance :
| Fonctionnalité | Rôle moins privilégié |
|---|---|
| Gestion des droits d’utilisation | Administrateur Identity Governance |
| Révisions d’accès | Administrateur d’utilisateurs (à l’exception des révisions d’accès des rôles Azure ou Microsoft Entra, qui requièrent un administrateur de rôle privilégié) |
| Workflows de cycle de vie | Administrateur des workflows de cycle de vie |
| Privileged Identity Management | Administrateur de rôle privilégié |
| Conditions d’utilisation | Administrateur de la sécurité ou administrateur de l’accès conditionnel |
Notes
Le rôle le moins privilégié pour la gestion des droits d’utilisation passe du rôle Administrateur d’utilisateurs au rôle Administrateur de gouvernance des identités.