Partager via


Guide de référence sur les opérations de Microsoft Entra ID Governance

Cette section du guide de référence des opérations Microsoft Entra décrit les vérifications et les mesures à prendre pour évaluer et approuver l’accès accordé aux identités privilégiées et non privilégiées, ainsi que pour auditer et contrôler les modifications apportées à l’environnement.

Remarque

Ces recommandations sont valables à la date de publication, mais peuvent évoluer avec le temps. Les organisations doivent évaluer en continu leurs pratiques de gouvernance, au fil de l’évolution des produits et des services Microsoft.

Processus opérationnels clés

Affecter les propriétaires à des tâches clés

La gestion de Microsoft Entra ID nécessite l’exécution continue de tâches et de processus opérationnels clés qui peuvent ne pas faire partie d’un projet de lancement. Il est cependant important de configurer ces tâches pour optimiser votre environnement. Les tâches clés et leurs propriétaires recommandés sont listés ci-après :

Tâche Propriétaire
Archiver les journaux d’audit de Microsoft Entra dans un système SIEM Équipe des opérations InfoSec
Détection des applications qui sont gérées de façon non conforme Équipe des opérations IAM
Passer régulièrement en revue l’accès aux applications Équipe d’architecture InfoSec
Passer régulièrement en revue l’accès aux identités externes Équipe d’architecture InfoSec
Passer régulièrement en revue qui a accès aux rôles privilégiés Équipe d’architecture InfoSec
Définir des barrières de sécurité pour activer les rôles privilégiés Équipe d’architecture InfoSec
Passer régulièrement en revue les octrois de consentement Équipe d’architecture InfoSec
Concevoir des catalogues et des packages d’accès pour les applications et les ressources pour les employés de l’organisation Propriétaires d’application
Définir des stratégies de sécurité pour affecter des utilisateurs aux packages d’accès Équipe InfoSec + Propriétaires d’application
Si les stratégies incluent des workflows d’approbation, passer régulièrement en revue les approbations des workflows Propriétaires d’application
Examiner les exceptions dans les stratégies de sécurité, comme les stratégies d’accès conditionnel, via révision de l’accès Équipe des opérations InfoSec

Lorsque vous passez en revue votre liste, il est possible que vous ayez besoin d’affecter un propriétaire à des tâches qui en sont dépourvues, ou modifier la propriété des tâches avec des propriétaires qui ne s’alignent pas sur les suggestions fournies.

Test des modifications de configuration

Le test de certaines modifications appelle des considérations spéciales, qui vont de techniques simples, comme le déploiement d’un sous-ensemble cible d’utilisateurs, au déploiement d’une modification dans un locataire de test parallèle. Si vous n’avez pas encore implémenté de stratégie de test, vous devez définir une approche des test basée sur les recommandations du tableau :

Scénario Recommandation
Modifier le type d’authentification, de l’authentification fédérée en PHS/PTA, ou vice versa Utilisez un déploiement par étapes pour tester l’effet de la modification du type d’authentification.
Déploiement d’une nouvelle stratégie d’accès conditionnel Créez une stratégie d’accès conditionnel et attribuez-la à des utilisateurs de test.
Intégrer un environnement de test d’une application Ajoutez l’application à un environnement de production, masquez-la dans le panneau MyApps et affectez-la à utilisateurs de test pendant la phase d’assurance qualité.
Modifier les règles de synchronisation Effectuez les modifications dans un environnement Microsoft Entra Connect de test avec la même configuration que celle qui est actuellement en production (ceci est connu sous le nom de « mode de préproduction ») et analysez les résultats d’export. Si vous êtes satisfait, passez en production quand vous êtes prêt.
Modifier la personnalisation Testez dans un locataire de test distinct.
Déploiement d’une nouvelle fonctionnalité Si la fonctionnalité prend en charge le déploiement sur un ensemble d’utilisateurs cible, identifiez les utilisateurs pilotes et commencez par ceux-ci. Par exemple, la réinitialisation de mot de passe en libre-service et l’authentification multifacteur peuvent cibler des utilisateurs ou des groupes spécifiques.
Basculer vers une application depuis un fournisseur d’identité (IdP) local, par exemple Active Directory, vers Microsoft Entra ID Si l’application prend en charge plusieurs configurations IdP local, par exemple Salesforce, configurez les deux et testez Microsoft Entra ID pendant une fenêtre de modification (au cas où l’application introduit une page). Si l’application ne prend pas en charge plusieurs fournisseurs d’identité locaux, planifiez les tests pendant une fenêtre de contrôle des modifications et un temps d’arrêt du programme.
Mettre à jour des règles pour les groupes d’appartenance dynamique Créez un groupe dynamique parallèle avec la nouvelle règle. Comparez aux résultats prévus, par exemple exécutez PowerShell avec la même condition.
Si le test réussit, échangez les emplacements où l’ancien groupe était utilisé (si possible).
Migrer des licences de produits Reportez-vous à Modifier la licence pour un seul utilisateur au sein d’un groupe sous licence dans Microsoft Entra ID.
Modifier des règles AD FS, comme l’autorisation, l’émission, l’authentification MFA Utilisez la revendication de groupe pour cibler un sous-ensemble d’utilisateurs.
Modifier l’expérience d’authentification AD FS ou des modifications similaires à l’échelle d’une batterie de serveurs Créez une batterie de serveurs parallèle avec le même nom d’hôte, implémentez les modifications de configuration, testez à partir de clients en utilisant un fichier HOSTS, des règles de routage NLB ou un routage similaire.
Si la plateforme cible ne prend pas en charge les fichiers HOSTS (par exemple, des appareils mobiles), contrôlez la modification.

Révisions d’accès

Révisions de l’accès aux applications

Au fil du temps, les utilisateurs peuvent accumuler des accès à des ressources lorsqu’ils changent d’équipe et de fonction. Il est important que les propriétaires de ressources examinent régulièrement l’accès aux applications. Ce processus de révision peut impliquer la suppression de privilèges qui ne sont plus nécessaires tout au long du cycle de vie des utilisateurs. Les révisions d’accès de Microsoft Entra permettent aux organisations de gérer efficacement les appartenances aux groupes, les accès aux applications d’entreprise et les attributions de rôles. Les propriétaires de ressources doivent passer régulièrement en revue les accès des utilisateurs pour vérifier que seules les personnes autorisées continuent de bénéficier d’un accès. Dans l’idéal, vous devez envisager d’utiliser des révisions d’accès Microsoft Entra pour cette tâche.

Page de démarrage des révisions d’accès

Remarque

Chaque utilisateur qui interagit avec les révisions d’accès doit posséder une licence Microsoft Entra ID P2 payante.

Révisions des accès aux identités externes

Il est crucial que l’accès aux identités externes reste limité aux seules ressources nécessaires et seulement pour la période de temps nécessaire. Établissez un processus de révision d’accès automatisé standard pour toutes les identités externes et l’accès aux applications en utilisant des révisions d’accès Microsoft Entra. Si un processus existe déjà en local, envisagez d’utiliser des révisions d’accès Microsoft Entra. Une fois qu’une application a été mise hors service ou qu’elle n’est plus utilisée, supprimez toutes les identités externes qui avaient accès à cette application.

Remarque

Chaque utilisateur qui interagit avec les révisions d’accès doit posséder une licence Microsoft Entra ID P2 payante.

Gestion des comptes privilégiés

Utilisation des comptes privilégiés

Les pirates informatiques ciblent souvent des comptes administrateur et d’autres éléments avec des accès privilégiés pour obtenir rapidement un accès à des données et à des systèmes sensibles. Comme les utilisateurs disposant de rôles privilégiés ont tendance à s’accumuler au fil du temps, il est important de vérifier et de gérer régulièrement les accès administrateur et de fournir un accès privilégié juste-à-temps à Microsoft Entra ID et aux ressources Azure.

Si aucun processus n’existe dans votre organisation pour gérer les comptes privilégiés, ou si vous avez actuellement des administrateurs qui utilisent leurs comptes d’utilisateur standard pour gérer des services et des ressources, vous devez commencer immédiatement à utiliser des comptes distincts. Par exemple, un pour les activités quotidiennes normales, et l’autre, configuré avec l’authentification multifacteur, pour les accès privilégiés. Mieux encore, si votre organisation dispose d’un abonnement Microsoft Entra ID P2, vous devez déployer immédiatement Microsoft Entra Privileged Identity Management (PIM). De même, vous devez aussi examiner ces comptes privilégiés et attribuer des rôles moins privilégiés quand c’est applicable.

Un autre aspect de la gestion des comptes privilégiés à implémenter consiste à définir des révisions d’accès pour ces comptes, manuellement ou de façon automatisée via Privileged Identity Management.

Comptes d’accès d’urgence

Microsoft recommande aux organisations de disposer de deux comptes d’accès d’urgence, en mode Cloud uniquement, auxquels le rôle d’Administrateur général est attribué de manière permanente. Ces comptes hautement privilégiés ne sont pas attribués à des personnes spécifiques. Les comptes sont limités aux scénarios d’urgence ou « de secours » dans lesquels il est impossible d’utiliser des comptes normaux ou tous les autres administrateurs sont accidentellement verrouillés. Ces comptes doivent être créés, conformément aux recommandations relatives aux comptes d’accès d’urgence.

Accès privilégié au portail Azure Contrat Entreprise

Le portail Azure Contrat Entreprise (Azure EA) vous permet de créer des abonnements Azure sur un Contrat Entreprise principal, qui est un rôle puissant au sein de l’entreprise. Il est courant de démarrer la création de ce portail avant même d’avoir Microsoft Entra ID en place. Dans ce cas, il est nécessaire d’utiliser des identités Microsoft Entra pour le verrouiller, de supprimer les comptes personnels du portail, de vérifier que la délégation appropriée est en place et de limiter le risque de blocage.

Pour être clair, si le niveau d’autorisation du portail Contrat Entreprise est actuellement défini sur « mode mixte », vous devez supprimer les comptes Microsoft de tous les accès privilégiés dans ce portail et le configurer pour qu’il utilise seulement des comptes Microsoft Entra. Si les rôles délégués du portail Contrat Entreprise ne sont pas configurés, vous devez également rechercher et implémenter des rôles délégués pour les départements et les comptes.

Gestion des droits d’utilisation

La gestion des droits d’utilisation permet aux propriétaires d’application de regrouper les ressources et de les affecter à des personnes spécifiques de l’organisation (internes et externes). La gestion des droits d’utilisation autorise l’inscription et la délégation en libre-service aux propriétaires d’entreprise, tout en conservant les stratégies de gouvernance pour accorder l’accès, définir les durées d’accès et autoriser les workflows d’approbation.

Remarque

Gestion des droits d’utilisation Microsoft Entra nécessite Microsoft Entra licences ID P2.

Résumé

Une gouvernance des identités sécurisée comprend huit aspects. Cette liste vous aide à identifier les actions à entreprendre pour évaluer et approuver l’accès accordé aux identités privilégiées et non privilégiées, ainsi que pour auditer et contrôler les modifications apportées à l’environnement.

  • Affectez des propriétaires aux tâches clés.
  • Implémentez une stratégie de test.
  • Utilisez les révisions d’accès des identités Microsoft Entra pour gérer efficacement les appartenances aux groupes, les accès aux applications d’entreprise et les attributions de rôles.
  • Établissez un processus de révision d’accès automatisé standard pour tous les types d’identités externes et l’accès aux applications.
  • Établissez un processus de révision d’accès de façon à vérifier et à gérer régulièrement les accès administrateur, et fournissez un accès privilégié juste-à-temps à Microsoft Entra ID et aux ressources Azure.
  • Provisionnez des comptes d’urgence pour être prêt à gérer les pannes inattendues de Microsoft Entra ID.
  • Verrouillez l’accès au portail Azure Contrat Entreprise.
  • Implémentez la gestion des droits d’utilisation pour fournir un accès contrôlé à une collection de ressources.

Étapes suivantes

Bien démarrer avec les Vérifications et actions opérationnelles de Microsoft Entra.