Répondre aux exigences d’autorisation pour le mémorandum 22-09
Cette série d'articles contient des conseils pour utiliser Microsoft Entra ID comme système de gestion centralisé des identités lors de la mise en œuvre des principes Confiance Zéro. Voir le Mémorandum M 22-09 à l’intention des directions des ministères et organismes de l’OMB (Office of Management and Budget).
Les exigences du Mémorandum concernent des types d’application dans les stratégies d’authentification multifacteur et des contrôles pour les appareils, les rôles, les attributs et la gestion des accès privilégiés.
Contrôles basés sur des appareils
L’une des exigences du Mémorandum 22-09 demande au moins un signal basé sur l’appareil pour les décisions d’autorisation d’accès à un système ou à une application. Appliquez l’exigence à l’aide de l’accès conditionnel. Appliquez plusieurs signaux d’appareil pendant l’autorisation. Consultez le tableau suivant pour connaître le signal et la nécessité de récupérer le signal.
| Signal | Récupération de signal |
|---|---|
| L’appareil est géré | L’intégration à Intune ou à une autre solution de gestion des appareils mobiles (GPM) qui prend en charge cette intégration est nécessaire. |
| Jonction hybride Microsoft Entra | Active Directory gère l’appareil et il est éligible. |
| L’appareil est conforme | Intégration à Intune ou à une autre solution GPM prenant en charge l’intégration. Consultez Créer une stratégie de conformité dans Microsoft Intune. |
| Signaux de menace | Microsoft Defender for Endpoint et d’autres outils de détection et de réponse (EDR) ont des intégrations avec Microsoft Entra ID et Intune pour envoyer des signaux de menace qui peuvent être utilisés pour refuser l’accès. Les signaux de menace font partie du signal d’état de conformité. |
| Stratégies d’accès interlocataires (préversion publique) | Approuvez les signaux d’appareil provenant d’appareils d’autres organisations. |
Contrôles basés sur des rôles
Utilisez le contrôle d’accès en fonction du rôle (RBAC) pour appliquer des autorisations via des attributions de rôles dans une étendue particulière. Par exemple, vous pouvez attribuer l’accès à l’aide des fonctionnalités de gestion des droits d’utilisation, notamment les packages d’accès et les révisions d’accès. Gérez les autorisations avec des demandes en libre-service et utilisez l’automatisation pour gérer le cycle de vie. Par exemple, vous pouvez terminer automatiquement l’accès en fonction de critères spécifiques.
En savoir plus :
- Présentation de la gestion des droits d’utilisation
- Créer un package d’accès dans la gestion des droits d’utilisation
- Que sont les révisions d’accès ?
Contrôles basés sur les attributs
Les contrôles d’accès en fonction de l’attribut (ABAC) s’appuient sur les métadonnées affectées à un utilisateur ou à une ressource en tant que mécanisme pour autoriser ou refuser l’accès pendant l’authentification. Consultez les sections suivantes pour créer des autorisations à l’aide d’implémentations ABAC pour les données et les ressources par le biais de l’authentification.
Attributs attribués aux utilisateurs
Utilisez des attributs attribués aux utilisateurs, stockés dans Microsoft Entra ID, pour créer des autorisations utilisateur. Les utilisateurs peuvent être automatiquement affectés à des groupes dynamiques en fonction d’un ensemble de règles spécifique que vous définissez lors de la création du groupe. Les règles ajoutent ou suppriment un utilisateur du groupe en fonction de l’évaluation des règles par rapport à l’utilisateur et à ses attributs. Nous vous recommandons de conserver les attributs et de ne pas définir d’attributs statiques le jour de la création.
En savoir plus : Créer ou mettre à jour un groupe dynamique dans Microsoft Entra ID
Attributs attribués aux données
Avec Microsoft Entra ID, vous pouvez intégrer l’autorisation aux données. Consultez les sections suivantes pour intégrer l’autorisation. Vous pouvez configurer l’authentification dans les stratégies d’accès conditionnel : restreindre les actions que les utilisateurs effectuent dans une application ou sur des données. Ces stratégies d’authentification sont ensuite mappées dans la source de données.
Les sources de données peuvent être des fichiers Microsoft Office tels que Word et Excel ou des sites SharePoint qui sont mappés à votre contexte d’authentification. Utilisez l’authentification affectée aux données dans les applications. Cette approche nécessite une intégration avec le code d’application, et les développeurs doivent adopter cette fonctionnalité. L’intégration du contexte d’authentification avec les applications Microsoft Defender pour le cloud permet de contrôler les actions effectuées sur les données via les contrôles de session.
Si vous combinez des groupes dynamiques avec un contexte d’authentification, vous pouvez contrôler les mappages d’accès utilisateur entre les données et les attributs utilisateur.
En savoir plus :
- Accès conditionnel : applications, actions et contexte d’authentification cloud
- Guide du développeur sur le contexte d’authentification de l’accès conditionnel
- Stratégies de session
Attributs affectés aux ressources
Azure inclut le contrôle d’accès en fonction des attributs (Azure ABAC) pour le stockage. Attribuer des balises de métadonnées aux données stockées dans un compte Stockage Blob Azure. Vous pouvez ensuite attribuer ces métadonnées aux utilisateurs à l’aide d’attributions de rôles pour accorder l’accès.
En savoir plus : Qu’est-ce que le contrôle d’accès en fonction des attributs Azure ?
Gestion des accès privilégiés
Le Mémorandum cite l’inefficacité de l’utilisation d’outils de gestion des accès privilégiés avec des informations d’identification éphémères à facteur unique pour accéder aux systèmes. Ces technologies incluent des coffres de mots de passe qui acceptent la connexion d’authentification multifacteur pour un administrateur. Ces outils génèrent un mot de passe pour qu’un autre compte accède au système. L’accès au système se produit avec un seul facteur.
Microsoft dispose d’outils permettant d’implémenter la gestion de l’accès privilégié (PIM) pour les systèmes privilégiés avec le système de gestion des identités central de Microsoft Entra ID. Appliquez l’authentification multifacteur pour la plupart des systèmes privilégiés qui sont des applications, des éléments d’infrastructure ou des appareils.
Utilisez PIM pour un rôle privilégié, lorsqu’il est implémenté avec des identités Microsoft Entra. Identifiez les systèmes privilégiés qui nécessitent des protections pour empêcher les mouvements latéraux.
En savoir plus :
- Qu’est-ce que Microsoft Entra Privileged Identity Management ?
- Planifier un déploiement de Privileged Identity Management
Étapes suivantes
- Respectez les exigences d’identité du mémorandum 22-09 avec Microsoft Entra ID
- Mémo 22-09 système de gestion des identités au niveau de l’entreprise
- Répondre aux exigences d’authentification multifacteur du protocole 22-09
- Les autres zones de Confiance Zéro ne sont pas traitées dans le mémo 22-09
- Sécurisation des identités avec la Confiance Zéro