Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Entra ID Protection permet aux organisations de détecter, d’examiner et de corriger les risques basés sur l’identité. Ces risques peuvent être alimentés dans des outils tels que l’accès conditionnel pour prendre des décisions d’accès ou être envoyés à un outil SIEM (Security Information and Event Management) pour une investigation et une corrélation plus approfondies.
Détecter les risques
Microsoft ajoute et met à jour continuellement les détections dans son catalogue pour protéger les organisations. Ces détections proviennent des enseignements que nous tirons chaque jour de l’analyse de milliards de signaux depuis Active Directory, les Comptes Microsoft et les jeux Xbox. Cette vaste plage de signaux permet à a protection d’ID de détecter les comportements à risque comme :
- Utilisation d’une adresse IP anonyme
- Attaques par pulvérisation de mots de passe
- Informations d’identification divulguées
- Etc.
Pendant chaque connexion, ID Protection exécute toutes les détections de connexion en temps réel, générant un niveau de risque de session de connexion qui indique la probabilité de compromission de la connexion. En fonction de ce niveau de risque, les stratégies sont appliquées pour protéger l’utilisateur et l’organisation.
Pour obtenir une liste complète des risques et connaître la façon dont ils sont détectés, consultez l’article Qu’est-ce qu’un risque ?
Étudier
Tous les risques détectés en lien avec une identité sont suivis et font l’objet de rapports. La protection d’ID fournit trois rapports-clés permettant aux administrateurs d’examiner les risques et de prendre des mesures :
- Détections des risques : chaque risque détecté est signalé.
- Connexions risquées : une connexion risquée est une connexion pour laquelle un ou plusieurs risques ont été signalés.
-
Utilisateurs à risque : un utilisateur à risque est signalé dans un ou les deux cas suivants :
- L’utilisateur fait l’objet d’une ou plusieurs Connexions risquées.
- Une ou plusieurs détections de risque sont signalées.
Pour plus d’informations sur l’utilisation des rapports, consultez l’article Procédure : examiner les risques.
Éliminer les risques
L’automatisation est essentielle dans la sécurité, car la mise à l’échelle des signaux et des attaques nécessite une automatisation.
Le rapport Microsoft Digital Defense 2024 fournit les statistiques suivantes :
78 billions de signaux de sécurité analysés par jour, une augmentation de 13 billions par rapport à l’année précédente
600 millions d’attaques sur les clients Microsoft par jour
Hausse de 2,75 fois d'une année sur l'autre des attaques de ransomware opérées par des humains.
Ces statistiques continuent à augmenter, sans aucun signe de ralentissement. Dans cet environnement, l’automatisation est la clé de l’identification et de la correction des risques afin que les organisations informatiques puissent se concentrer sur les priorités appropriées.
Correction automatique
Les stratégies d’accès conditionnel en fonction du risque peuvent être activées pour contrôler les accès, par exemple une méthode d’authentification forte, l’authentification multi facteur ou la réinitialisation sécurisée du mot de passe, selon le niveau de risque détecté. Si l’utilisateur passe ce contrôle d’accès, le risque est automatiquement corrigé.
Correction manuelle
Lorsque la correction de l’utilisateur n’est pas activée, un administrateur doit les examiner manuellement dans les rapports du portail, via l’API ou microsoft Defender XDR. Les administrateurs peuvent effectuer des actions manuelles pour rejeter, confirmer comme sûr, ou confirmer la compromission des risques signalés.
Tirer parti des données
Les données provenant de la protection d’ID peuvent être exportées vers d’autres outils à des fins d’archivage, d’examen et de mise en corrélation. Les API basées sur Microsoft Graph permettent aux organisations de collecter ces données pour un traitement ultérieur dans un outil tel que SIEM. Pour plus d’informations sur l’accès à l’API de protection d’ID, consultez l’article Démarrage de Protection des ID Microsoft Entra et de Microsoft Graph
Pour en savoir plus sur l’intégration des informations de protection d’ID à Microsoft Sentinel, consultez l’article Connecter des données à partir de Protection des ID Microsoft Entra.
Les organisations peuvent stocker des données pendant des périodes plus longues en modifiant les paramètres de diagnostic dans Microsoft Entra ID. Ils peuvent choisir d’envoyer les données à un espace de travail Log Analytics, d’archiver les données vers un compte de stockage, de diffuser des données vers Event Hubs ou de les transmettre à un autre outil. Pour plus d’informations sur la procédure à suivre, consultez l’article Guide pratique : Exporter les données liées aux risques.
Rôles nécessaires
Id Protection nécessite que les utilisateurs reçoivent un ou plusieurs des rôles suivants.
| Rôle | Vous pouvez : | Vous ne pouvez pas : |
|---|---|---|
| Lecteur général | Accès en lecture seule à la protection d’ID | Accès en écriture à la protection des identifiants |
| Administrateur d’utilisateurs | Réinitialiser les mots de passe utilisateur | Lecture ou écriture dans la protection d’ID |
| Administrateur de l’accès conditionnel | Créer des stratégies qui prennent en compte le risque d’utilisateur ou de connexion en tant que condition | Lire ou écrire dans des stratégies de protection des ID héritées |
| Lecteur de sécurité | Afficher tous les rapports de protection d’ID et vue d’ensemble | Configurer ou modifier des stratégies Réinitialiser un mot de passe pour un utilisateur Configurer des alertes Envoyer des commentaires sur les détections |
| Opérateur de sécurité | Afficher tous les rapports de protection d’ID et vue d’ensemble Ignorer le risque lié à l’utilisateur, confirmer que la connexion est sécurisée, confirmer la compromission |
Configurer ou modifier des stratégies Réinitialiser un mot de passe pour un utilisateur Configurer des alertes |
| Administrateur de la sécurité | Contrôle total de protection d’ID | Réinitialiser un mot de passe pour un utilisateur |
Conditions de licence :
L’utilisation de cette fonctionnalité nécessite des licences Microsoft Entra ID P2. Pour trouver la licence appropriée pour vos besoins, consultez plans Microsoft Entra et la tarification. Le tableau suivant décrit les principales fonctionnalités de Microsoft Entra ID Protection et les exigences de licence pour chaque fonctionnalité. Pour connaître les détails des tarifs, reportez-vous à la page des tarifs et des plans de Microsoft Entra.
| Fonctionnalité | Détails | Microsoft Entra ID (édition gratuite)/Microsoft 365 Apps | Microsoft Entra ID P1 | Microsoft Entra ID P2 / Microsoft Entra Suite |
|---|---|---|---|---|
| Stratégies de risque | Stratégies de risque de connexion et d’utilisateur (via Protection d’ID ou l’accès conditionnel) | Non | Non | Oui |
| Rapports de sécurité | Vue d’ensemble | Non | Non | Oui |
| Rapports de sécurité | Utilisateurs à risque | Informations limitées. Seuls les utilisateurs présentant un risque moyen ou élevé sont affichés. Aucun tiroir de détails ou historique des risques. | Informations limitées. Seuls les utilisateurs présentant un risque moyen ou élevé sont affichés. Aucun tiroir de détails ou historique des risques. | Accès total |
| Rapports de sécurité | Connexions risquées | Informations limitées. Aucun détail sur les risques ou niveau de risque n’est affiché. | Informations limitées. Aucun détail sur les risques ou niveau de risque n’est affiché. | Accès total |
| Rapports de sécurité | Détections de risques | Non | Informations limitées. Aucun tiroir de détails. | Accès total |
| Avis | Alertes Utilisateurs à risque détectés | Non | Non | Oui |
| Avis | Synthèse hebdomadaire | Non | Non | Oui |
| Stratégie d'inscription MFA | Exiger l’authentification multifacteur (via l’accès conditionnel) | Non | Non | Oui |
| Microsoft Graph | Tous les rapports sur les risques | Non | Non | Oui |
Pour afficher le rapport des identités de charge de travail à risque et l'onglet Détections d'identités de charge de travail dans le rapport des détections de risques, vous avez besoin de la licence Premium Workload Identities. Pour plus d’informations, consultez Sécurisation des identités de charge de travail.
Microsoft Defender
Microsoft Entra ID Protection reçoit des signaux des produits Microsoft Defender pour plusieurs détections de risques. Vous avez donc également besoin de la licence appropriée pour le produit Microsoft Defender qui possède le signal qui vous intéresse.
Microsoft 365 E5 couvre tous les signaux suivants :
Microsoft Defender pour Cloud Apps
- Activité depuis une adresse IP anonyme
- Temps de trajet impossible
- Accès en masse aux fichiers sensibles
- Nouveau pays
Microsoft Defender pour Office 365
- Règles de boîte de réception suspectes
Microsoft Defender pour point de terminaison
- Tentative possible d’accès au jeton d’actualisation principal