Récupération après une mauvaise configuration
Les paramètres de configuration de Microsoft Entra ID peuvent affecter n’importe quelle ressource du locataire Microsoft Entra avec des actions de gestion ciblées ou à l’échelle du locataire.
Définition d’une configuration
Les configurations sont tous les changements effectués dans Microsoft Entra ID qui modifient le comportement ou les fonctionnalités d’un service ou d’une fonctionnalité Microsoft Entra. Par exemple, lorsque vous configurez une stratégie d’accès conditionnel, vous modifiez qui peut accéder aux applications ciblées et dans quelles circonstances.
Vous devez identifier les éléments de configuration essentiels pour votre organisation. Les configurations suivantes ont un impact élevé sur votre posture de sécurité.
Configurations à l’échelle du locataire
Identités externes : les administrateurs généraux du tenant identifient et contrôlent les identités externes qui peuvent être approvisionnées dans le tenant. Ils déterminent :
- S’il faut ou non autoriser les identités externes dans le locataire
- À partir de quels domaines des identités externes peuvent être ajoutées
- Si les utilisateurs peuvent ou non inviter des utilisateurs issus d’autres locataires
Emplacements nommés : les administrateurs peuvent créer des emplacements nommés qui peuvent être utilisés pour :
- Bloquer les connexions provenant de lieux spécifiques
- Déclencher les stratégies d’accès conditionnel, comme l’authentification multifacteur
Méthodes d’authentification autorisées : les administrateurs définissent les méthodes d’authentification autorisées pour le tenant.
Options en libre-service : les administrateurs définissent des options en libre-service (par exemple la réinitialisation de mot de passe en libre-service) et créent des groupes Office 365 au niveau du tenant.
L’implémentation de certaines configurations à l’échelle du tenant peut être délimitée, à condition qu’elles ne soient pas remplacées par des stratégies générales. Par exemple :
- Même si le locataire est configuré pour autoriser les identités externes, un administrateur de ressources peut exclure ces identités de l’accès à une ressource.
- Même si le locataire est configuré pour autoriser l’inscription d’appareils personnels, un administrateur de ressources peut exclure ces appareils de l’accès à des ressources spécifiques.
- Si des emplacements nommés sont configurés, un administrateur de ressources peut configurer des stratégies autorisant ou excluant l’accès à partir de ces emplacements.
Configurations d’accès conditionnel
Les stratégies d’accès conditionnel sont des configurations de contrôle d’accès qui rassemblent des signaux permettant de prendre des décisions et d’appliquer des stratégies organisationnelles.
Pour en savoir plus sur les stratégies d’accès conditionnel, consultez Qu’est-ce que l’accès conditionnel dans Microsoft Entra ID ?.
Remarque
Bien que la configuration change le comportement ou les fonctionnalités d’un objet ou d’une stratégie, toutes les modifications apportées à un objet ne constituent pas des configurations. Vous pouvez changer les données ou attributs associés à un élément (par exemple l’adresse d’un utilisateur) sans affecter les fonctionnalités de cet objet utilisateur.
Définition d’une mauvaise configuration
Une mauvaise configuration consiste en une configuration d’une ressource ou d’une stratégie qui diffère des stratégies et plans organisationnels et provoque des conséquences involontaires ou indésirables.
Une mauvaise configuration des paramètres à l’échelle du locataire ou des stratégies d’accès conditionnel peut avoir une grande incidence sur votre sécurité et l’image publique de votre organisation :
Modification de la façon dont les administrateurs, les utilisateurs du locataire et les utilisateurs externes interagissent avec les ressources de votre locataire :
- Limitation inutile de l’accès aux ressources
- Relâchement des contrôles d’accès aux ressources sensibles
Modification de la capacité de vos utilisateurs à interagir avec d’autres locataires et de la capacité des utilisateurs externes à interagir avec votre locataire
Déni de service (par exemple des clients non autorisés à accéder à leurs comptes)
Rupture des dépendances entre les données, les systèmes et les applications, provoquant des échecs de processus métier
Scénarios de mauvaise configuration
Une mauvaise configuration est susceptible de se produire dans les cas suivants :
- Erreur commise lors de modifications ad hoc
- Erreur commise en raison d’exercices de résolution des problèmes
- Action effectuée avec une intention malveillante
Solutions pour empêcher les mauvaises configurations
Il est essentiel que les modifications de la configuration prévue d’un locataire Microsoft Entra soient soumises à des processus robustes de gestion des changements, notamment :
- Documentation de la modification, y compris l’état antérieur et l’état post-modification prévu
- Utilisation de Privileged Identity Management (PIM) pour veiller à ce que les administrateurs ayant l’intention d’effectuer une modification doivent pour cela élever délibérément leurs privilèges Pour plus d’informations sur PIM, consultez Présentation de Privileged Identity Management.
- Utilisation d’un solide flux de travail d’approbation des modifications, par exemple l’approbation de l’escalade des privilèges PIM
Surveiller les modifications de configuration
Même si vous souhaitez empêcher les mauvaises configurations, vous ne pouvez pas fixer la barre trop haut, car cela aurait un impact sur la capacité des administrateurs à effectuer leur travail efficacement.
Monitorez attentivement les changements de configuration en recherchant les opérations suivantes dans votre journal d’audit Microsoft Entra :
- Ajouter
- Créer
- Update
- Définissez
- DELETE
Dans le tableau suivant figurent des entrées informatives du journal d’audit que vous pouvez rechercher.
Modification des configurations d’accès conditionnel et de méthode d’authentification
Les stratégies d’accès conditionnel sont créées sur la page Accès conditionnel du portail Azure. Les modifications de stratégies sont effectuées sur la page d’informations Stratégie d’accès conditionnel de la stratégie.
| Filtre de service | Activités | Incidences possibles |
|---|---|---|
| Accès conditionnel | Ajouter, mettre à jour ou supprimer une stratégie d’accès conditionnel | L’accès utilisateur est accordé ou bloqué à tort. |
| Accès conditionnel | Ajouter, mettre à jour ou supprimer un emplacement nommé | Les emplacements réseau consommés par la stratégie d’accès conditionnel ne sont pas configurés comme prévu, ce qui crée des écarts dans les conditions de stratégie d’accès conditionnel. |
| Méthode d'authentification | Mettre à jour la stratégie des méthodes d’authentification | Les utilisateurs peuvent utiliser des méthodes d’authentification plus faibles ou ne peuvent pas utiliser une méthode dont ils ont besoin. |
Modification des configurations d’utilisateur et de réinitialisation de mot de passe
Les modifications de paramètres utilisateur sont effectuées sur la page Paramètres utilisateur du portail Azure. Les changements relatifs à la réinitialisation de mot de passe, eux, sont apportés sur la page Réinitialisation de mot de passe. Les modifications réalisées sur ces pages sont capturées dans le journal d’audit (cf. tableau suivant).
| Filtre de service | Activités | Incidences possibles |
|---|---|---|
| Répertoire principal | Mettre à jour des paramètres d’entreprise | Les utilisateurs peuvent ou ne peuvent pas inscrire des applications, contrairement à ce qui est attendu. |
| Répertoire principal | Définir les informations de l’entreprise | Les utilisateurs peuvent ou ne peuvent pas accéder au portail d’administration Microsoft Entra, contrairement à ce qui est attendu. Les pages de connexion ne représentent pas la marque de l’entreprise, ce qui peut nuire à sa réputation. |
| Répertoire principal | Activité : Mettre à jour le principal de service Cible : Connexion LinkedIn 0365 |
Les utilisateurs peuvent ou ne peuvent pas connecter leur compte Microsoft Entra à LinkedIn, contrairement à ce qui est attendu. |
| Gestion des groupes en libre service | Mettre à jour la valeur de la fonctionnalité MyApps | Les utilisateurs peuvent ou ne peuvent pas utiliser des fonctionnalités utilisateur, contrairement à ce qui est attendu. |
| Gestion des groupes en libre service | Mettre à jour la valeur de la fonctionnalité ConvergedUXV2 | Les utilisateurs peuvent ou ne peuvent pas utiliser des fonctionnalités utilisateur, contrairement à ce qui est attendu. |
| Gestion des groupes en libre service | Mettre à jour la valeur de la fonctionnalité MyStaff | Les utilisateurs peuvent ou ne peuvent pas utiliser des fonctionnalités utilisateur, contrairement à ce qui est attendu. |
| Répertoire principal | Activité : Mettre à jour le principal de service Cible : Service de réinitialisation de mot de passe Microsoft |
Les utilisateurs peuvent ou ne peuvent pas réinitialiser leur mot de passe, contrairement à ce qui est attendu. Les utilisateurs sont tenus ou non de s’inscrire à la réinitialisation de mot de passe en libre-service, contrairement à ce qui est attendu. Les utilisateurs peuvent réinitialiser leur mot de passe à l’aide de méthodes non approuvées, par exemple des questions de sécurité. |
Modification des configurations d’identités externes
Vous pouvez apporter des modifications à ces paramètres sur la page de paramètres Identités externes ou Collaboration externe du portail Azure.
| Filtre de service | Activités | Incidences possibles |
|---|---|---|
| Répertoire principal | Ajouter, mettre à jour ou supprimer un partenaire dans le paramètre d’accès interlocataire | Les utilisateurs disposent d’un accès sortant à des locataires qui devraient être bloqués. Les utilisateurs de locataires externes qui devraient être bloqués disposent d’un accès entrant. |
| B2C | Créer ou supprimer un fournisseur d’identité | Les fournisseurs d’identité des utilisateurs qui devraient pouvoir collaborer sont absents, ce qui bloque l’accès de ces utilisateurs. |
| Répertoire principal | Définir la fonctionnalité de répertoire sur un locataire | Les utilisateurs externes possèdent plus ou moins de visibilité sur les objets annuaire que prévu. Les utilisateurs externes peuvent ou ne peuvent pas inviter d’autres utilisateurs externes du locataire, contrairement à ce qui est attendu. |
| Répertoire principal | Définir les paramètres de fédération du domaine | Les invitations d’utilisateurs externes peuvent ou ne peuvent pas être envoyées à des utilisateurs situés dans d’autres locataires, contrairement à ce qui est attendu. |
| Stratégied'autorisation | Mettre à jour la stratégie d’autorisation | Les invitations d’utilisateurs externes peuvent ou ne peuvent pas être envoyées à des utilisateurs situés dans d’autres locataires, contrairement à ce qui est attendu. |
| Répertoire principal | Mettre à jour la stratégie | Les invitations d’utilisateurs externes peuvent ou ne peuvent pas être envoyées à des utilisateurs situés dans d’autres locataires, contrairement à ce qui est attendu. |
Modification des configurations de rôle personnalisé et de définition de mobilité
| Filtre de service | Activités/portail | Incidences possibles |
|---|---|---|
| Répertoire principal | Ajouter une définition de rôle | L’étendue de rôle personnalisée est plus étroite ou plus large que prévu. |
| PIM | Mettre à jour un paramètre de rôle | L’étendue de rôle personnalisée est plus étroite ou plus large que prévu. |
| Répertoire principal | Mettre à jour une définition de rôle | L’étendue de rôle personnalisée est plus étroite ou plus large que prévu. |
| Répertoire principal | Supprimer une définition de rôle | Les rôles personnalisés sont absents. |
| Répertoire principal | Ajouter l’octroi de permission déléguée | La configuration de la gestion des périphériques mobiles ou de la gestion des applications mobiles est absente ou incorrecte, ce qui entraîne l’échec de la gestion des appareils ou des applications. |
Vue détaillée du journal d’audit
Sélectionnez certaines entrées d’audit du journal d’audit pour obtenir des informations sur les anciennes et nouvelles valeurs de configuration. Pour les modifications de configuration de stratégie d’accès conditionnel par exemple, les informations suivantes apparaissent.
Suivi des modifications à l’aide de classeurs
Les classeurs Azure Monitor peuvent vous aider à surveiller les modifications de configuration.
Le classeur Rapport sur les opérations sensibles vous aide à identifier les activités suspectes des applications et des principaux de service susceptibles d’indiquer des compromissions :
- Modification des informations d’identification ou des méthodes d’authentification des applications et des principaux de service.
- Octroi de nouvelles autorisations aux principaux de service.
- Mise à jour des appartenances aux rôles d’annuaire et aux groupes des principaux de service.
- Modification des paramètres de fédération
Le classeur Activité d’accès interlocataire vous aide à effectuer un monitoring des applications situées dans des locataires externes auxquels vos utilisateurs accèdent, ainsi que les applications auxquelles accèdent les utilisateurs externes de votre locataire. Utilisez ce classeur pour rechercher des modifications anormales de l’accès aux applications entrantes ou sortantes sur les différents locataires.
Étapes suivantes
- Pour plus d’informations sur la récupération, consultez Meilleures pratiques de récupération.
- Pour plus d’informations sur la récupération après des suppressions, consultez Récupération après des suppressions.