Bonnes pratiques de sécurité de gestion des identités et de contrôle d’accès Azure

Dans cet article, nous abordons une collection de bonnes pratiques de sécurité de gestion des identités et de contrôle d’accès Azure. Ces bonnes pratiques sont dérivées de notre expérience avec Microsoft Entra ID et les expériences des clients comme vous.

Pour chaque bonne pratique, nous détaillons les éléments suivants :

• Nature de la bonne pratique
• Raison pour laquelle activer cette bonne pratique
• Conséquence possible en cas de non-utilisation de la bonne pratique
• Alternatives possibles à la meilleure pratique
• Comment apprendre à utiliser la bonne pratique

Cet article sur la sécurité de la gestion des identités et du contrôle d’accès Azure repose sur un avis de consensus et les fonctionnalités de plateforme Azure et les ensembles de fonctionnalités, tels qu’ils existent au moment où cet article a été écrit.

L’intention d’écrire cet article est de fournir une feuille de route générale à une posture de sécurité plus robuste après le déploiement guidé par nos « 5 étapes de sécurisation de votre infrastructure d’identité », qui vous guide tout au long de nos principales fonctionnalités et services.

Les opinions et les technologies changent au fil du temps et cet article sera régulièrement mis à jour pour refléter ces changements.

Les meilleures pratiques de sécurité de gestion des identités et de contrôle d’accès Azure décrites dans cet article sont les suivantes :

• Traiter l’identité comme le périmètre de sécurité principal
• Centraliser la gestion des identités
• Gérer les locataires connectés
• Activer l’authentification unique
• Activer l’accès conditionnel
• Planifier les améliorations de sécurité de routine
• Activer la gestion des mots de passe
• Appliquer la vérification multifacteur pour les utilisateurs
• Utiliser le contrôle d’accès en fonction du rôle
• Moins d’exposition des comptes privilégiés
• Contrôler les emplacements où se trouvent les ressources
• Utiliser l’ID Microsoft Entra pour l’authentification de stockage

Traiter l’identité comme le périmètre de sécurité principal

Beaucoup considèrent l’identité comme le périmètre principal pour la sécurité. Il s’agit d’un changement du focus traditionnel sur la sécurité réseau. Les périmètres réseau continuent d’être plus poreux et cette défense de périmètre ne peut pas être aussi efficace qu’avant l’explosion d’appareils BYOD et d’applications cloud.

Microsoft Entra ID est la solution Azure pour la gestion des identités et des accès. Microsoft Entra ID est un service de gestion d’identité et d’annuaire multilocataire basé sur le cloud de Microsoft. Il associe des services d’annuaires principaux, la gestion de l’accès aux applications et la protection des identités dans une même solution.

Les sections suivantes répertorient les meilleures pratiques pour la sécurité des identités et des accès à l’aide de l’ID Microsoft Entra.

Bonne pratique : Centrer les contrôles de sécurité et les détections autour des identités utilisateur et service. Détail : Utilisez l’ID Microsoft Entra pour colocaliser les contrôles et les identités.

Centraliser la gestion des identités

Dans un scénario d’identité hybride, nous vous recommandons d’intégrer vos répertoires locaux et cloud. L’intégration permet à votre équipe informatique de gérer les comptes à partir d’un emplacement, quel que soit l’emplacement où un compte est créé. L’intégration aide également vos utilisateurs à être plus productifs en fournissant une identité commune pour accéder aux ressources cloud et locales.

Bonne pratique : Établir une seule instance Microsoft Entra. La cohérence et une seule source faisant autorité augmenteront la clarté et réduisent les risques de sécurité liés aux erreurs humaines et à la complexité de la configuration.
Détail : désignez un répertoire Microsoft Entra unique comme source faisant autorité pour les comptes d’entreprise et d’organisation.

Bonne pratique : intégrez vos répertoires locaux à l’ID Microsoft Entra.
Détail : Utilisez Microsoft Entra Connect pour synchroniser votre répertoire local avec votre répertoire cloud.

Remarque

Il existe des facteurs qui affectent les performances de Microsoft Entra Connect. Assurez-vous que Microsoft Entra Connect dispose d’une capacité suffisante pour empêcher les systèmes sous-performants d’empêcher la sécurité et la productivité. Les organisations volumineuses ou complexes (les organisations approvisionnant plus de 100 000 objets) doivent suivre les recommandations pour optimiser leur implémentation de Microsoft Entra Connect.

Bonne pratique : ne synchronisez pas les comptes avec l’ID Microsoft Entra qui disposent de privilèges élevés dans votre instance Active Directory existante.
Détail : ne modifiez pas la configuration Microsoft Entra Connect par défaut qui filtre ces comptes. Cette configuration atténue le risque que les adversaires pivotent du cloud vers des ressources locales (ce qui peut créer un incident majeur).

Bonne pratique : activez la synchronisation de hachage de mot de passe.
Détail : la synchronisation de hachage de mot de passe est une fonctionnalité utilisée pour synchroniser les hachages de mot de passe utilisateur d’une instance Active Directory locale vers une instance Microsoft Entra basée sur le cloud. Cette synchronisation permet de se protéger contre l'utilisation des identifiants divulgués lors des attaques précédentes.

Même si vous décidez d’utiliser la fédération avec les services de fédération Active Directory (AD FS) ou d’autres fournisseurs d’identité, vous pouvez éventuellement configurer la synchronisation de hachage de mot de passe en tant que sauvegarde si vos serveurs locaux échouent ou deviennent temporairement indisponibles. Cette synchronisation permet aux utilisateurs de se connecter au service à l’aide du même mot de passe qu’ils utilisent pour se connecter à leur instance Active Directory locale. Il permet également à Identity Protection de détecter les informations d’identification compromises en comparant les hachages de mot de passe synchronisés avec les mots de passe connus pour être compromis, si un utilisateur a utilisé la même adresse e-mail et mot de passe sur d’autres services qui ne sont pas connectés à l’ID Microsoft Entra.

Pour plus d’informations, consultez Implémenter la synchronisation de hachage du mot de passe avec la synchronisation Microsoft Entra Connect.

Bonne pratique : pour le développement d’applications, utilisez l’ID Microsoft Entra pour l’authentification.
Détail : Utilisez les fonctionnalités appropriées pour prendre en charge l’authentification :

• ID Microsoft Entra pour les employés
• Microsoft Entra B2B pour les utilisateurs invités et les partenaires externes
• ID externe Microsoft Entra pour contrôler la façon dont les clients s’inscrivent, se connectent et gèrent leurs profils lorsqu’ils utilisent vos applications

Les organisations qui n’intègrent pas leur identité locale à leur identité cloud peuvent avoir plus de surcharge dans la gestion des comptes. Cette surcharge augmente la probabilité d’erreurs et de failles de sécurité.

Remarque

Vous devez choisir les répertoires dans lesquels résideront les comptes critiques et déterminer si la station de travail d’administration utilisée est gérée par de nouveaux services cloud ou des processus existants. L’utilisation de processus de gestion et d’approvisionnement d’identité existants peut réduire certains risques, mais peut également créer le risque d’un attaquant compromettant un compte local et pivotant vers le cloud. Vous pouvez utiliser une stratégie différente pour différents rôles (par exemple, les administrateurs informatiques et les administrateurs de l’unité commerciale). Vous avez deux options. La première option consiste à créer des comptes Microsoft Entra qui ne sont pas synchronisés avec votre instance Active Directory locale. Joignez votre station de travail d’administration à l’ID Microsoft Entra, que vous pouvez gérer et corriger à l’aide de Microsoft Intune. La deuxième option consiste à utiliser des comptes d’administrateur existants en synchronisant avec votre instance Active Directory locale. Utilisez des stations de travail existantes dans votre domaine Active Directory pour la gestion et la sécurité.

Gérer les locataires connectés

Votre organisation de sécurité a besoin d’une visibilité pour évaluer les risques et déterminer si les stratégies de votre organisation, ainsi que les exigences réglementaires, sont suivies. Vous devez vous assurer que votre organisation de sécurité dispose d’une visibilité sur tous les abonnements connectés à votre environnement de production et à votre réseau (via Azure ExpressRoute ou VPN de site à site). Un administrateur général dans Microsoft Entra ID peut élever son accès au rôle Administrateur d’accès utilisateur et voir tous les abonnements et groupes managés connectés à votre environnement.

Consultez élever l’accès pour gérer tous les abonnements et groupes d’administration Azure pour vous assurer que vous et votre groupe de sécurité pouvez afficher tous les abonnements ou groupes d’administration connectés à votre environnement. Vous devez supprimer cet accès élevé une fois que vous avez évalué les risques.

Activer l’authentification unique

Dans un monde mobile, cloud-first, vous souhaitez activer l’authentification unique (SSO) sur des appareils, des applications et des services à partir de n’importe où afin que vos utilisateurs puissent être productifs partout et à chaque fois. Lorsque vous avez plusieurs solutions d’identité à gérer, cela devient un problème administratif non seulement pour l’informatique, mais aussi pour les utilisateurs qui doivent mémoriser plusieurs mots de passe.

En utilisant la même solution d’identité pour toutes vos applications et ressources, vous pouvez obtenir l’authentification unique. Et vos utilisateurs peuvent utiliser le même ensemble d’informations d’identification pour se connecter et accéder aux ressources dont ils ont besoin, que les ressources se trouvent localement ou dans le cloud.

Bonne pratique : activer l’authentification unique.
Détail : Microsoft Entra ID étend Active Directory local au cloud. Les utilisateurs peuvent utiliser leur compte professionnel ou scolaire principal pour leurs appareils joints à un domaine, les ressources de l’entreprise et toutes les applications web et SaaS dont ils ont besoin pour effectuer leurs tâches. Les utilisateurs n’ont pas besoin de mémoriser plusieurs ensembles de noms d’utilisateur et de mots de passe, et leur accès à l’application peut être automatiquement approvisionné (ou déprovisionné) en fonction des appartenances à leur groupe d’organisation et de leur statut d’employé. Vous pouvez également contrôler cet accès pour les applications de galerie ou pour vos propres applications locales que vous avez développées et publiées via le proxy d’application Microsoft Entra.

Utilisez l’authentification unique pour permettre aux utilisateurs d’accéder à leurs applications SaaS en fonction de leur compte professionnel ou scolaire dans Microsoft Entra ID. Cela s’applique non seulement aux applications Microsoft SaaS, mais également à d’autres applications, telles que Google Apps et Salesforce. Vous pouvez configurer votre application pour utiliser Microsoft Entra ID comme fournisseur d’identité SAML . En tant que contrôle de sécurité, l’ID Microsoft Entra n’émet pas de jeton qui permet aux utilisateurs de se connecter à l’application, sauf s’ils ont été autorisés à accéder via l’ID Microsoft Entra. Vous pouvez accorder l’accès directement ou via un groupe dont les utilisateurs sont membres.

Les organisations qui ne créent pas d’identité commune pour établir l’authentification unique pour leurs utilisateurs et applications sont plus exposées aux scénarios où les utilisateurs ont plusieurs mots de passe. Ces scénarios augmentent la probabilité que les utilisateurs réutilisent des mots de passe ou utilisent des mots de passe faibles.

Activer l’accès conditionnel

Les utilisateurs peuvent accéder aux ressources de votre organisation à l’aide d’un large éventail d’appareils et d’applications depuis n’importe où. En tant qu’administrateur, vous souhaitez vous assurer que ces appareils répondent à vos normes de sécurité et de conformité. Se concentrer uniquement sur qui peut accéder à une ressource n'est plus suffisant.

Afin d’équilibrer la sécurité et la productivité, vous devez aussi tenir compte des moyens d’accéder à une ressource avant de pouvoir prendre une décision relative au contrôle d’accès. L’accès conditionnel Microsoft Entra vous permet de satisfaire cette exigence. Avec l’accès conditionnel, vous pouvez prendre des décisions de contrôle d’accès automatisées basées sur les conditions d’accès à vos applications cloud.

Bonne pratique : Gérez et contrôlez l’accès aux ressources de l’entreprise.
Détail : Configurez des stratégies d’accès conditionnel Microsoft Entra courantes en fonction d’un groupe, d’un emplacement et d’une sensibilité d’application pour les applications SaaS et les applications connectées à Microsoft Entra ID.

Bonne pratique : Bloquez les protocoles d’authentification hérités.
Détail : Les attaquants exploitent chaque jour les failles de protocoles plus anciens, en concernant les attaques par pulvérisations de mots de passe. Configurez l’accès conditionnel pour bloquer les protocoles hérités.

Planifier les améliorations de sécurité de routine

La sécurité évolue toujours, et il est important de créer dans votre framework de gestion des identités et cloud un moyen de montrer régulièrement la croissance et de découvrir de nouvelles façons de sécuriser votre environnement.

Identity Secure Score est un ensemble de contrôles de sécurité recommandés que Microsoft publie qui fonctionne pour vous fournir un score numérique pour mesurer objectivement votre posture de sécurité et aider à planifier les améliorations futures de la sécurité. Vous pouvez également voir votre score par rapport à ceux d’autres secteurs ainsi que vos propres tendances au fil du temps.

Bonne pratique : planifiez les révisions de sécurité de routine et les améliorations basées sur les meilleures pratiques de votre secteur.
Détail : Utilisez la fonctionnalité Identity Secure Score pour classer vos améliorations au fil du temps.

Activer la gestion des mots de passe

Si vous avez plusieurs locataires ou que vous souhaitez permettre aux utilisateurs de réinitialiser leurs propres mots de passe, il est important que vous utilisiez des stratégies de sécurité appropriées pour éviter les abus.

Bonne pratique : configurer la réinitialisation de mot de passe en libre-service (SSPR) pour vos utilisateurs.
Détail : Utilisez la fonctionnalité de réinitialisation de mot de passe en libre-service microsoft Entra ID.

Bonne pratique : surveillez comment ou si la SSPR est réellement utilisée.
Détail : Surveillez les utilisateurs qui s’inscrivent à l’aide du rapport d’activité d’inscription de réinitialisation de mot de passe de l’ID Microsoft Entra. La fonctionnalité de reporting fournie par Microsoft Entra ID vous aide à répondre aux questions à l’aide de rapports prédéfinis. Si vous disposez d’une licence appropriée, vous pouvez également créer des requêtes personnalisées.

Bonne pratique : étendre les stratégies de mot de passe basées sur le cloud à votre infrastructure locale.
Détails : Améliorez les stratégies de mot de passe de votre organisation en effectuant les mêmes vérifications des modifications de mot de passe locales que vous le faites pour les modifications de mot de passe basées sur le cloud. Installez la protection par mot de passe Microsoft Entra pour les agents Windows Server Active Directory locaux pour étendre les listes de mots de passe interdits à votre infrastructure existante. Les utilisateurs et les administrateurs qui modifient, définissent ou réinitialisent les mots de passe locaux sont tenus de se conformer à la même stratégie de mot de passe que les utilisateurs cloud uniquement.

Appliquer la vérification multifacteur pour les utilisateurs

Nous vous recommandons d’exiger une vérification en deux étapes pour tous vos utilisateurs. Cela inclut les administrateurs et les autres membres de votre organisation (par exemple, les responsables financiers) dont la compromission de leur compte pourrait avoir un impact significatif si leur compte est compromis.

Il existe plusieurs options pour exiger une vérification en deux étapes. La meilleure option pour vous dépend de vos objectifs, de l’édition Microsoft Entra que vous exécutez et de votre programme de licences. Découvrez comment exiger une vérification en deux étapes pour qu’un utilisateur détermine la meilleure option pour vous. Pour plus d’informations sur les licences et la tarification, consultez les pages de tarification de Microsoft Entra ID et Microsoft Entra authentification multifacteur.

Voici les options et les avantages de la vérification en deux étapes :

Option 1 : Activer l’authentification multifacteur pour tous les utilisateurs et méthodes de connexion avec les paramètres par défaut de sécurité Microsoft Entra
Avantage : cette option vous permet d’appliquer facilement et rapidement l’authentification multifacteur pour tous les utilisateurs de votre environnement avec une stratégie stricte pour :

• Contester les comptes d’administration et les mécanismes d’ouverture de session d’administration
• Exiger une stimulation MFA via Microsoft Authenticator pour tous les utilisateurs
• Restreindre les protocoles d’authentification hérités.

Cette méthode est disponible pour tous les niveaux de licence, mais elle ne peut pas être combinée à des stratégies d’accès conditionnel existantes. Vous trouverez plus d’informations dans Microsoft Entra Security Defaults

Option 2 : Activer l’authentification multifacteur en modifiant l’état de l’utilisateur.
Avantage : il s’agit de la méthode traditionnelle pour exiger une vérification en deux étapes. Il fonctionne avec l’authentification multifacteur Microsoft Entra dans le cloud et le serveur Azure Multi-Factor Authentication. Cette méthode nécessite que les utilisateurs effectuent la vérification en deux étapes chaque fois qu’ils se connectent, puis remplace les stratégies d’accès conditionnel.

Pour déterminer où l’authentification multifacteur doit être activée, consultez Quelle version de l’authentification multifacteur Microsoft Entra convient à mon organisation ?.

Option 3 : Activer l’authentification multifacteur avec la stratégie d’accès conditionnel.
Avantage : cette option vous permet de demander une vérification en deux étapes dans des conditions spécifiques à l’aide de l’accès conditionnel. Les conditions spécifiques peuvent être une connexion de l’utilisateur à partir d’emplacements différents, d’appareils non approuvés ou d’applications que vous considérez comme risquées. Le fait de définir des conditions spécifiques pour une vérification en deux étapes vous permet d’éviter de la demander continuellement à vos utilisateurs, ce qui peut être désagréable.

Il s’agit de la méthode la plus souple pour activer la vérification en deux étapes pour vos utilisateurs. Activer une stratégie d’accès conditionnel fonctionne uniquement pour l’authentification multifacteur Microsoft Entra dans le cloud, et c’est une fonctionnalité Premium de Microsoft Entra ID. Vous trouverez plus d’informations sur cette méthode dans Déployer l’authentification multifacteur Microsoft Entra basée sur le cloud.

Option 4 : Activez l’authentification multifacteur avec des stratégies d’accès conditionnel en évaluant les stratégies d’accès conditionnel basées sur les risques.
Avantage : cette option vous permet de :

• Détecter les vulnérabilités potentielles qui affectent les identités de votre organisation.
• Configurez les réponses automatisées aux actions suspectes détectées liées aux identités de votre organisation.
• Examiner les incidents suspects et prendre les mesures appropriées pour les résoudre.

Cette méthode utilise l’évaluation de risques de Microsoft Entra ID Protection pour déterminer si la vérification en deux étapes est exigée en se basant sur les risques de l’utilisateur et de la connexion pour toutes les applications cloud. Cette méthode nécessite des licences Microsoft Entra ID P2. Vous trouverez plus d’informations sur cette méthode dans Microsoft Entra ID Protection.

Remarque

L’option 2, qui consiste à activer l’authentification multifacteur en changeant l’état de l’utilisateur, remplace les stratégies d’accès conditionnel. Étant donné que les options 3 et 4 utilisent des stratégies d’accès conditionnel, vous ne pouvez pas utiliser l’option 2 avec elles.

Les organisations qui n’ajoutent pas de couches supplémentaires de protection des identités, telles que la vérification en deux étapes, sont plus vulnérables aux attaques par vol d’informations d’identification. Le vol d’informations d’identification peut entraîner une compromission des données.

Utiliser le contrôle d’accès en fonction du rôle

La gestion des accès pour les ressources cloud est essentielle pour toute organisation qui utilise le cloud. Le contrôle d’accès en fonction du rôle Azure (RBAC Azure) permet de gérer les utilisateurs ayant accès aux ressources Azure, les modes d’utilisation des ressources par ces derniers et les zones auxquelles ils ont accès.

La conception de groupes ou de rôles individuels responsables de fonctions spécifiques dans Azure permet d’éviter toute confusion pouvant entraîner des erreurs humaines et d’automatisation qui créent des risques de sécurité. Restreindre l’accès en fonction de la nécessité de connaître et des principes de sécurité des privilèges minimum est impératif pour les organisations qui souhaitent appliquer des stratégies de sécurité pour l’accès aux données.

Votre équipe de sécurité a besoin d’une visibilité sur vos ressources Azure pour évaluer et corriger les risques. Si l’équipe de sécurité a des responsabilités opérationnelles, elle a besoin d’autorisations supplémentaires pour effectuer ses tâches.

Vous pouvez utiliser Azure RBAC pour attribuer des autorisations aux utilisateurs, aux groupes et aux applications dans une certaine étendue. L’étendue d’une attribution de rôle peut être une seule ressource, un groupe de ressources ou un abonnement.

Bonne pratique : séparez les tâches au sein de votre équipe et accordez uniquement la quantité d’accès aux utilisateurs dont ils ont besoin pour effectuer leurs travaux. Au lieu de donner à tout le monde des autorisations illimitées dans votre abonnement Ou vos ressources Azure, autorisez uniquement certaines actions dans une étendue particulière.
Détail : Utilisez des rôles intégrés Azure dans Azure pour attribuer des privilèges aux utilisateurs.

Remarque

Des autorisations spécifiques créent une complexité et une confusion inutiles, s’accumulent dans une configuration « héritée » difficile à résoudre sans craindre de briser quelque chose. Évitez les autorisations spécifiques aux ressources. Utilisez plutôt des groupes d’administration pour les autorisations à l’échelle de l’entreprise et les groupes de ressources pour les autorisations dans les abonnements. Évitez les autorisations spécifiques à l’utilisateur. Au lieu de cela, attribuez l’accès aux groupes dans l’ID Microsoft Entra.

Bonne pratique : accordez aux équipes de sécurité l’accès aux responsabilités Azure pour voir les ressources Azure afin qu’elles puissent évaluer et corriger les risques.
Détail : Accordez aux équipes de sécurité le rôle Lecteur de sécurité Azure RBAC. Vous pouvez utiliser le groupe d’administration racine ou le groupe d’administration de segment, en fonction de l’étendue des responsabilités :

• Groupe d’administration racine pour les équipes responsables de toutes les ressources d’entreprise
• Groupe d’administration de segments pour les équipes dont l’étendue est limitée (généralement en raison de limites réglementaires ou d’autres limites organisationnelles)

Bonne pratique : accordez les autorisations appropriées aux équipes de sécurité qui ont des responsabilités opérationnelles directes.
Détail : passez en revue les rôles intégrés Azure pour l’attribution de rôle appropriée. Si les rôles intégrés ne répondent pas aux besoins spécifiques de votre organisation, vous pouvez créer des rôles personnalisés Azure. Comme pour les rôles intégrés, vous pouvez affecter des rôles personnalisés aux utilisateurs, groupes et principaux de service au niveau de l’abonnement, du groupe de ressources et des étendues de ressources.

Bonnes pratiques : Accordez à Microsoft Defender pour l’accès cloud aux rôles de sécurité qui en ont besoin. Defender pour cloud permet aux équipes de sécurité d’identifier et de corriger rapidement les risques.
Détail : ajoutez des équipes de sécurité avec ces besoins au rôle d’administrateur de sécurité Azure RBAC afin qu’elles puissent afficher les stratégies de sécurité, afficher les états de sécurité, modifier les stratégies de sécurité, afficher les alertes et les recommandations, et ignorer les alertes et recommandations. Pour ce faire, vous pouvez utiliser le groupe d’administration racine ou le groupe d’administration de segment, en fonction de l’étendue des responsabilités.

Les organisations qui n’appliquent pas le contrôle d’accès aux données à l’aide de fonctionnalités telles qu’Azure RBAC peuvent accorder plus de privilèges que nécessaire à leurs utilisateurs. Cela peut entraîner une compromission des données en permettant aux utilisateurs d’accéder aux types de données (par exemple, un impact commercial élevé) qu’ils ne devraient pas avoir.

Moins d’exposition des comptes privilégiés

La sécurisation de l’accès privilégié est une première étape essentielle de la protection des ressources de l’entreprise. Limiter le nombre de personnes qui ont accès aux informations ou aux ressources sécurisées réduit le risque qu’un utilisateur malveillant accède à ces données ou qu’une ressource sensible soit accidentellement affectée par un utilisateur autorisé.

Les comptes privilégiés sont ceux qui administrent et gèrent des systèmes informatiques. Les pirates informatiques ciblent ces comptes pour accéder aux données et aux systèmes d’une organisation. Pour sécuriser l’accès privilégié, vous devez isoler les comptes et les systèmes contre les risques d’exposition à un utilisateur malveillant.

Nous vous recommandons de développer et de suivre une feuille de route pour sécuriser l’accès privilégié contre les cyber-attaquants. Pour plus d’informations sur la création d’une feuille de route détaillée pour sécuriser les identités et les accès gérés ou signalés dans l’ID Microsoft Entra, Microsoft Azure, Microsoft 365 et d’autres services cloud, passez en revue la sécurisation de l’accès privilégié pour les déploiements hybrides et cloud dans Microsoft Entra ID.

Les recommandations suivantes sont résumées dans La sécurisation de l’accès privilégié pour les déploiements hybrides et cloud dans Microsoft Entra ID :

Bonne pratique : Gérez, contrôlez et effectuez le monitoring de l’accès aux comptes privilégiés.
Détail : activez Microsoft Entra Privileged Identity Management. Après avoir activé Privileged Identity Management, vous recevez des notifications par courrier électronique de changements de rôles d’accès privilégié. Ces notifications fournissent un avertissement précoce lorsque des utilisateurs supplémentaires sont ajoutés à des rôles hautement privilégiés dans votre annuaire.

Bonne pratique : Vérifier que tous les comptes d’administrateur critiques sont des comptes Microsoft Entra managés. Détail : Supprimez les comptes de consommateurs des rôles d’administrateur critiques (par exemple, les comptes Microsoft tels que hotmail.com, live.com et outlook.com).

Bonne pratique : Vérifiez que tous les rôles d’administrateur critiques ont un compte distinct pour les tâches administratives, afin d’éviter que l’hameçonnage et autres attaques compromettent des privilèges Administrateur.
Détail : Créez un compte administratif séparé qui a attribué les privilèges nécessaires pour effectuer les tâches administratives. Bloquez l’utilisation de ces comptes d’administration pour les outils de productivité quotidiens tels que la messagerie électronique Microsoft 365 ou la navigation web arbitraire.

Bonne pratique : Identifiez et catégorisez les comptes présentant des rôles très privilégiés.
Détails : Après avoir activé Microsoft Entra Privileged Identity Management, afficher les utilisateurs Administrateur général, Administrateur à rôle privilégié et d’autres rôles très privilégiés. Supprimez les comptes qui ne sont plus nécessaires dans ces rôles et classez les autres comptes qui sont affectés à des rôles d’administrateur :

• Affecté individuellement aux utilisateurs administratifs et peut être utilisé à des fins non administratives (par exemple, e-mail personnel)
• Affectés individuellement à des utilisateurs administratifs et dédiés à des fins administratives uniquement
• Partagé entre plusieurs utilisateurs
• Pour les scénarios d’accès d’urgence
• Pour les scripts automatisés
• Pour les utilisateurs externes

Bonne pratique : Implémentez l’accès juste-à-temps pour réduire encore le temps d’exposition des privilèges et augmenter votre visibilité sur l’utilisation des comptes privilégiés.
Détails : Microsoft Entra Privileged Identity Management vous permet de :

• Limiter les utilisateurs à l’utilisation de leur accès Juste à temps privilégiés.
• Attribuer des rôles pour une durée plus courte en sachant que les privilèges sont automatiquement révoqués.

Bonne pratique : définissez au moins deux comptes d’accès d’urgence.
Détail : les comptes d’accès d’urgence aident les organisations à restreindre l’accès privilégié dans un environnement Microsoft Entra existant. Ces comptes sont hautement privilégiés et ne sont pas attribués à des personnes spécifiques. Les comptes d’accès d’urgence sont limités aux scénarios où les comptes administratifs normaux ne peuvent pas être utilisés. Les organisations doivent limiter l’utilisation du compte d’urgence à la durée nécessaire uniquement.

Évaluez les comptes affectés ou éligibles pour le rôle d’administrateur général. Si vous ne voyez aucun compte cloud uniquement en utilisant le domaine *.onmicrosoft.com (destiné à l’accès d’urgence), créez-en. Pour plus d’informations, consultez Gestion des comptes d’administration d’accès d’urgence dans Microsoft Entra ID.

Bonne pratique : prévoyez un processus « brise-vitres » en cas d’urgence.
Détail : suivez les étapes de sécurisation de l’accès privilégié pour les déploiements hybrides et cloud dans Microsoft Entra ID.

Bonne pratique : exiger que tous les comptes d’administrateur critiques soient sans mot de passe (préféré) ou nécessitent une authentification multifacteur.
Détail : Utilisez l’application Microsoft Authenticator pour vous connecter à un compte Microsoft Entra sans utiliser de mot de passe. Comme Windows Hello Entreprise, Microsoft Authenticator utilise l’authentification basée sur des clés pour activer les informations d’identification utilisateur liées à un appareil et utiliser l’authentification biométrique ou un code confidentiel.

Exiger l’authentification multifacteur Microsoft Entra lors de la connexion pour tous les utilisateurs individuels qui sont affectés définitivement à un ou plusieurs rôles d’administrateur Microsoft Entra : Administrateur général, Administrateur de rôle privilégié, Administrateur Exchange Online et Administrateur SharePoint Online. Activez l’authentification multifacteur pour vos comptes d’administrateur et vérifiez que les utilisateurs du compte d’administrateur sont inscrits.

Bonne pratique : pour les comptes d’administrateur critiques, disposez d’une station de travail d’administration où les tâches de production ne sont pas autorisées (par exemple, la navigation et l’e-mail). Cela protège vos comptes d’administrateur contre les vecteurs d’attaque qui utilisent la navigation et l’e-mail et réduisent considérablement votre risque d’incident majeur.
Détail : Utilisez une station de travail d’administration. Choisissez un niveau de sécurité de station de travail :

• Les appareils de productivité hautement sécurisés offrent une sécurité avancée pour la navigation et d’autres tâches de productivité.
• Les stations de travail à accès privilégié (PAW) fournissent un système d’exploitation dédié protégé contre les attaques Internet et les vecteurs de menace pour les tâches sensibles.

Bonne pratique : Déprovisionner des comptes d’administrateur lorsque les employés quittent votre organisation.
Détails : disposez d’un processus qui désactive ou supprime les comptes d’administrateur lorsque les employés quittent votre organisation.

Bonne pratique : testez régulièrement les comptes d’administrateur à l’aide des techniques d’attaque actuelles.
Détail : Utilisez le simulateur d’attaques Microsoft 365 ou une offre tierce pour exécuter des scénarios d’attaque réalistes dans votre organisation. Cela peut vous aider à trouver des utilisateurs vulnérables avant qu’une véritable attaque ne se produise.

Bonne pratique : prenez des mesures pour atténuer les techniques les plus fréquemment utilisées.
Détails : Identifier les comptes Microsoft dans les rôles d’administration qui doivent être basculés vers des comptes professionnels ou scolaires

Assurez-vous de créer des comptes utilisateur distincts et d'activer le transfert automatique de courrier pour les comptes d'administrateur global

Vérifiez que les mots de passe des comptes administratifs ont récemment changé

Activer la synchronisation de hachage de mot de passe

Exiger l’authentification multifacteur pour les utilisateurs dans tous les rôles privilégiés ainsi que les utilisateurs exposés

Obtenez votre score de sécurisation Microsoft 365 (si vous utilisez Microsoft 365)

Passez en revue les conseils de sécurité De Microsoft 365 (si vous utilisez Microsoft 365)

Configurer la surveillance des activités Microsoft 365 (si vous utilisez Microsoft 365)

Établir les responsables du plan d’intervention en cas d’incidents ou d’urgences

Sécuriser les comptes d’administration privilégiés locaux

Si vous ne sécurisez pas l’accès privilégié, vous pouvez constater que vous avez trop d’utilisateurs dans des rôles hautement privilégiés et sont plus vulnérables aux attaques. Les acteurs malveillants, y compris les cyber-attaquants, ciblent souvent des comptes d’administrateur et d’autres éléments d’accès privilégié pour accéder aux données et systèmes sensibles à l’aide du vol d’informations d’identification.

Contrôler les emplacements où les ressources sont créées

Permettre aux opérateurs cloud d’effectuer des tâches tout en les empêchant de rompre les conventions nécessaires pour gérer les ressources de votre organisation est très importante. Les organisations qui souhaitent contrôler les emplacements où les ressources sont créées doivent coder en dur ces emplacements.

Vous pouvez utiliser Azure Resource Manager pour créer des stratégies de sécurité dont les définitions décrivent les actions ou ressources qui sont spécifiquement refusées. Vous affectez ces définitions de stratégie à l’étendue souhaitée, comme l’abonnement, le groupe de ressources ou une ressource individuelle.

Remarque

Les stratégies de sécurité ne sont pas identiques à Azure RBAC. Ils utilisent réellement Azure RBAC pour autoriser les utilisateurs à créer ces ressources.

Les organisations qui ne contrôlent pas la façon dont les ressources sont créées sont plus vulnérables aux utilisateurs susceptibles d’abuser du service en créant plus de ressources qu’elles n’en ont besoin. Le renforcement du processus de création de ressources est une étape importante pour sécuriser un scénario multilocataire.

Surveiller activement les activités suspectes

Un système de surveillance des identités active peut rapidement détecter le comportement suspect et déclencher une alerte pour une investigation plus approfondie. Le tableau suivant répertorie les fonctionnalités De Microsoft Entra qui peuvent aider les organisations à surveiller leurs identités :

Bonne pratique : Avoir une méthode pour identifier :

• Tente de se connecter sans être suivi.
• Attaques par force brute contre un compte particulier.
• Tentatives de connexion depuis plusieurs endroits.
• Les connexions depuis des appareils infectés.
• Adresses IP suspectes.

Détail : Utilisez les rapports d’anomalies Microsoft Entra ID P1 ou P2. Disposer de processus et de procédures en place pour que les administrateurs informatiques exécutent ces rapports quotidiennement ou à la demande (généralement dans un scénario de réponse aux incidents).

Bonne pratique : disposez d’un système de surveillance actif qui vous avertit des risques et peut ajuster le niveau de risque (élevé, moyen ou faible) à vos besoins métier.
Détail : Utilisez Microsoft Entra ID Protection, qui signale les risques actuels sur son propre tableau de bord et envoie des notifications récapitulatives quotidiennes par e-mail. Pour protéger les identités de votre organisation, vous pouvez configurer des stratégies basées sur les risques qui répondent automatiquement aux problèmes détectés lorsqu’un niveau de risque spécifié est atteint.

Les organisations qui ne surveillent pas activement leurs systèmes d’identité risquent de compromettre les informations d’identification de l’utilisateur. Sans savoir que les activités suspectes se produisent via ces informations d’identification, les organisations ne peuvent pas atténuer ce type de menace.

Utiliser l’ID Microsoft Entra pour l’authentification de stockage

Stockage Azure prend en charge l’authentification et l’autorisation avec Microsoft Entra ID pour le stockage d’objets blob et le stockage de file d’attente. Avec l’authentification Microsoft Entra, vous pouvez utiliser le contrôle d’accès en fonction du rôle Azure pour accorder des autorisations spécifiques aux utilisateurs, groupes et applications jusqu’à l’étendue d’un conteneur ou d’une file d’attente d’objets blob individuels.

Nous vous recommandons d’utiliser l’ID Microsoft Entra pour authentifier l’accès au stockage.

Étape suivante

Consultez les meilleures pratiques et modèles de sécurité Azure pour obtenir des meilleures pratiques de sécurité à utiliser lorsque vous concevez, déployez et gérez vos solutions cloud à l’aide d’Azure.