Planifier un déploiement d’ID Protection

Protection des ID Microsoft Entra détecte les risques liés à l’identité et les signale, tout en permettant aux administrateurs d’examiner et de corriger ces risques pour assurer la sécurité des organisations. Les données sur les risques peuvent également être transmises à des outils tels que l’accès conditionnel pour prendre des décisions en matière d’accès, ou renvoyées vers un outil de gestion des informations et des événements de sécurité (SIEM) pour un examen et une analyse plus approfondis.

Ce plan de déploiement approfondit des concepts introduits dans le plan de déploiement de l’accès conditionnel.

Prérequis

• Un locataire Microsoft Entra fonctionnel avec Microsoft Entra ID P2 ou des licences d'essai activées. Si nécessaire, créez-en une gratuitement.
• Les administrateurs interagissant avec la protection d’ID doivent avoir une ou plusieurs des attributions de rôles suivantes en fonction des tâches effectuées. Pour suivre le principe Confiance Zéro du privilège minimum, utilisez Privileged Identity Management (PIM) pour activer juste-à-temps les attributions de rôles privilégiés.
  • Politiques et configurations relatives à la protection des pièces d’identité et à l’accès conditionnel
    • Lecteur de sécurité
    • Lecteur général
  • Gérer la protection d’ID
    • Opérateur de sécurité
    • Administrateur de la sécurité
  • Créer ou modifier des stratégies d’accès conditionnel
    • Administrateur de l’accès conditionnel
    • Administrateur de la sécurité
• Un utilisateur de test (non administrateur) qui vous permet de vérifier que les stratégies fonctionnent comme prévu avant de les déployer pour les utilisateurs réels. Si vous devez créer un utilisateur, consultez Démarrage rapide : ajouter de nouveaux utilisateurs à Microsoft Entra ID.
• Groupe auquel appartient l’utilisateur. Si vous devez créer un groupe, consultez Créer un groupe et ajouter des membres dans Microsoft Entra ID.

Impliquer les parties prenantes appropriées

Lorsque des projets technologiques échouent, cela est souvent dû à des attentes qui ne correspondent pas à l’effet, aux résultats et aux responsabilités. Pour éviter ces pièges, songez à impliquer les parties prenantes appropriées et à ce qu’elles comprennent bien leurs rôles dans le projet. Pour ce faire, dressez une liste de leurs contributions et de leurs responsabilités.

Communication des modifications

La communication est essentielle à la réussite de toute nouvelle fonctionnalité. Vous devez communiquer de manière proactive avec vos utilisateurs sur ce qui va changer dans leur expérience, à quel moment les changements seront appliqués et comment ils peuvent obtenir de l’aide en cas de problème.

Étape 1 : Examiner les rapports existants

Il est important d’examiner les rapports de protection d’ID avant de déployer des stratégies d’accès conditionnel basées sur les risques. Cette vérification vous offre l’occasion d’examiner tout comportement suspect existant. Vous pouvez choisir d’ignorer le risque ou de confirmer que ces utilisateurs sont sûrs si vous déterminez qu’ils ne sont pas à risque.

• Examiner les détections de risques
• Corriger les risques et débloquer les utilisateurs
• Apporter des modifications en bloc au moyen de Microsoft Graph PowerShell

Pour plus d’efficacité, nous vous recommandons de permettre aux utilisateurs de corriger eux-mêmes les risques par le biais de stratégies décrites à l’étape 3.

Étape 2 : Planifier les stratégies de risque pour l’accès conditionnel

ID Protection envoie des signaux de risque à l’accès conditionnel pour que celui-ci prenne des décisions et applique les stratégies de l’organisation. Ces stratégies peuvent exiger des utilisateurs qu’ils effectuent une authentification multifacteur ou une modification sécurisée de leur mot de passe. Les organisations doivent planifier plusieurs éléments avant de créer leurs stratégies.

Exclusions de stratégie

Les stratégies d’accès conditionnel sont des outils puissants. Nous vous recommandons donc d’exclure les comptes suivants de vos stratégies :

• Accès d’urgence ou comptes de secours pour empêcher le verrouillage en raison d’une configuration incorrecte de la stratégie. Dans le scénario peu probable, tous les administrateurs sont verrouillés, votre compte d’administration d’accès d’urgence peut être utilisé pour se connecter et prendre des mesures pour récupérer l’accès.
  • Pour obtenir plus d’informations, consultez l’article Gérer les comptes d’accès d’urgence dans Microsoft Entra ID.
• Comptes de service et principaux de service, tels que le compte Microsoft Entra Connect Sync. Les comptes de service sont des comptes non interactifs qui ne sont liés à aucun utilisateur particulier. Ils sont généralement utilisés par des services back-end autorisant l’accès par programmation aux applications, mais ils le sont également pour une connexion aux systèmes à des fins administratives. Les appels effectués par les principaux de service ne seront pas bloqués par les stratégies d’accès conditionnel destinées aux utilisateurs. Utilisez l’accès conditionnel des identités de charge de travail pour élaborer des stratégies ciblant les principaux de service.
  • Si votre organisation utilise ces comptes dans des scripts ou du code, envisagez de les remplacer par des identités managées.

Authentification multifacteur

Toutefois, pour que les utilisateurs puissent corriger eux-mêmes les risques, ils doivent s’inscrire à l’authentification multifacteur Microsoft Entra avant de courir des risques. Pour plus d’informations, consultez l’article Planifier un déploiement authentification multifacteur Microsoft Entra.

Emplacements réseau connus

Il est important de configurer des emplacements nommés dans l’accès conditionnel, tout comme d’ajouter vos plages VPN aux applications Defender pour le cloud. Les connexions depuis des emplacements nommés marqués comme approuvés ou connus améliorent la précision des calculs de risques de Microsoft Entra ID Protection. Ces connexions réduisent le risque pour un utilisateur lorsqu’il s’authentifie depuis un emplacement marqué comme approuvé ou connu. Cette pratique diminue les faux positifs pour certaines détections dans votre environnement.

Mode rapport seul

Le Mode rapport seul est un état de la stratégie d’accès conditionnel qui permet aux administrateurs d’évaluer l’effet des stratégies d’accès conditionnel avant de les appliquer dans leur environnement.

Étape 3 : Configurez vos stratégies

Stratégie d’inscription MFA pour ID Protection

Utilisez la stratégie d’inscription à authentification multifacteur d’ID Protection pour aider vos utilisateurs à s’inscrire à l’authentification multifacteur Microsoft Entra avant qu’ils aient besoin de s’en servir. Suivez les étapes de l’article Guide pratique pour configurer la stratégie d’inscription à l’authentification multifacteur Microsoft Entra pour activer cette stratégie.

Stratégies d’accès conditionnel

Risque lié à la connexion : la plupart des utilisateurs ont un comportement normal pouvant être suivi. Lorsqu’ils ne respectent pas cette norme, il peut être risqué de les autoriser à simplement se connecter. Il peut être nécessaire de bloquer cet utilisateur ou de lui demander d’effectuer une authentification multifacteur pour prouver qu’il est bien celui qu’il prétend être. Commencez par définir ces stratégies pour un sous-ensemble de vos utilisateurs.

Risque pour l’utilisateur : Microsoft travaille avec les chercheurs, les forces de l’ordre, les différentes équipes de sécurité de Microsoft et d’autres sources approuvées pour rechercher les paires nom d’utilisateur/mot de passe divulguées. Lorsque ces utilisateurs vulnérables sont identifiés, nous vous recommandons de leur demander d’activer l’authentification multifacteur, puis de réinitialiser leur mot de passe.

L’article Configurer et activer des stratégies à risque fournit des conseils pour la création de stratégies d’accès conditionnel pour résoudre ces risques.

Étape 4 : Surveillance et besoins opérationnels continus

Notifications par e-mail

Activez les notifications pour pouvoir réagir lorsqu’un utilisateur est marqué comme étant à risque. Ces notifications vous permettent de commencer votre examen immédiatement. Vous pouvez également configurer des e-mails de synthèse hebdomadaires pour vous donner une vue d’ensemble des risques de la semaine.

Surveiller et examiner

L’analyse d’impact du classeur des stratégies d’accès basées sur les risques aide les administrateurs à comprendre l’impact des utilisateurs avant de créer des stratégies d’accès conditionnel basées sur les risques.

Le classeur ID Protection vous permet de surveiller votre locataire et d’y repérer des modèles. Surveillez ce classeur à la recherche de tendances et également des résultats du mode Rapport seul de l’accès conditionnel pour voir si des modifications doivent être apportées, comme les ajouts aux emplacements nommés.

Microsoft Defender for Cloud Apps fournit une infrastructure d’investigation que les organisations peuvent utiliser comme point de départ. Pour plus d’informations, lire l’article Comment examiner les alertes de détection d’anomalie.

Vous pouvez également utiliser les API de protection d’ID pour exporter des informations sur les risques vers d’autres outils, pour permettre à votre équipe de sécurité de surveiller et d’alerter sur les événements à risque.

Pendant le test, vous souhaitez peut-être simuler certaines menaces pour tester vos processus d’investigation.

Étapes suivantes

Qu’est-ce que le risque ?