Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le suivi de tous les paramètres et ressources de votre locataire peut être écrasant. La fonctionnalité de recommandations Microsoft Entra permet de surveiller l’état de votre locataire afin que vous n’ayez pas à le faire. Ces recommandations permettent de garantir que votre locataire est dans un état sécurisé et sain tout en vous aidant à optimiser la valeur des fonctionnalités disponibles dans Microsoft Entra ID.
Les recommandations Microsoft Entra incluent désormais des recommandations de score d’identité sécurisée. Ces recommandations fournissent des informations similaires sur la sécurité de votre locataire. Pour en savoir plus, consultez Qu’est-ce que le score d’identité sécurisée.
Toutes ces recommandations Microsoft Entra vous fournissent des informations personnalisées avec des conseils pratiques pour :
- Aidez-vous à identifier les opportunités d’implémentation des meilleures pratiques d’identité.
- Améliorer l’état de votre locataire Microsoft Entra.
- Optimiser les configurations de vos scénarios.
Cet article vous donne une vue d’ensemble de la façon dont vous pouvez utiliser les recommandations Microsoft Entra.
Comment fonctionne-t-il ?
Au quotidien, Microsoft Entra ID analyse la configuration de votre locataire. Au cours de cette analyse, Microsoft Entra ID compare la configuration de votre locataire avec les meilleures pratiques de sécurité et les données des recommandations. Si une recommandation est signalée comme applicable à votre locataire, la recommandation s’affiche dans la section Recommandations de la zone Vue d’ensemble de l’identité Microsoft Entra.
Chaque suggestions contiennent une description, un résumé de la valeur de l’adressage de la recommandation et un plan d’action pas à pas. Le cas échéant, les ressources affectées associées à la recommandation sont répertoriées, ce qui vous permet de résoudre chaque zone affectée. Si aucune ressource n’est associée à une recommandation, le type de ressource concerné est Niveau du locataire. Votre plan d’action pas à pas a donc un impact sur l’ensemble du locataire, pas seulement sur une ressource spécifique.
Tableau de vue d’ensemble des recommandations
Les recommandations répertoriées dans le tableau suivant sont actuellement disponibles en aperçu public ou en disponibilité générale, couvrant les types de ressources traitées par la recommandation, et bien plus encore. Les conditions requises de la licence pour les recommandations en préversion publique sont susceptibles d’être modifiées. Le tableau fournit des liens vers la documentation disponible pour ces recommandations qui nécessitaient des conseils distincts.
| Recommandation | Ressources impactées | Disponibilité | Score de sécurité de l'identité | Rôles cibles pour les notifications par e-mail |
|---|---|---|---|---|
| AAD Connect obsolète | Locataire | Préversion | Non | Administrateur d’identité hybride |
| Configurer l’intégration VPN | utilisateurs ; | Préversion | Oui | N/A |
| Convertissez l’Authentification multifacteur par utilisateur en Authentification multifacteur avec accès conditionnel | utilisateurs ; | Mise à la disposition générale | Non | Administrateur de la sécurité |
| Désigner plusieurs administrateurs généraux | utilisateurs ; | Mise à la disposition générale | Oui | Administrateur général |
| Ne pas autoriser les utilisateurs à donner leur consentement aux applications non fiables | Locataire | Mise à la disposition générale | Oui | Administrateur général |
| Ne pas faire expirer les mots de passe | Locataire | Mise à la disposition générale | Oui | Administrateur général |
| Modifier les listes de contrôle d’accès des modèles de certificats mal configurés | Applications logicielles | Préversion | Oui | N/A |
| Modifier le modèle de certificat de l’agent d’inscription mal configuré | Applications logicielles | Préversion | Oui | N/A |
| Activer la synchronisation de hachage de mot de passe si hybride | Locataire | Mise à la disposition générale | Oui | Administrateur d’identité hybride |
| Activer une stratégie pour bloquer l’authentification héritée | utilisateurs ; | Mise à la disposition générale | Oui | Administrateur de l’accès conditionnel, administrateur de la sécurité |
| Activer la réinitialisation de mot de passe en libre-service | utilisateurs ; | Mise à la disposition générale | Oui | Administrateur de la stratégie d’authentification |
| Vérifier que tous les utilisateurs peuvent utiliser l’authentification multifacteur | utilisateurs ; | Mise à la disposition générale | Oui | Administrateur de l’accès conditionnel, administrateur de la sécurité |
| Migrer des applications d’AD FS vers Microsoft Entra ID | Applications logicielles | Mise à la disposition générale | Non | Administrateur d’application, Administrateur d’authentification, Administrateur d’identité hybride |
| Migrer des applications à partir des API Azure AD Graph mises hors service vers Microsoft Graph | Applications logicielles | Préversion | Non | Administrateur d’application |
| Migrer de ADAL vers MSAL | Applications logicielles | Mise à la disposition générale | Non | Administrateur d’application |
| Migrer d’un serveur MFA vers Microsoft Entra MFA | Locataire | Généralement disponible | Non | Administrateur général |
| Migrer des principaux de service des API Azure AD Graph mises hors service vers Microsoft Graph | Applications logicielles | Préversion | Non | Administrateur d’application |
| Migrez vers Microsoft Authenticator | utilisateurs ; | Préversion | Non | Administrateur général |
| Réduire les invites MFA des appareils connus | utilisateurs ; | Mise à la disposition générale | Non | Administrateur général |
| Modifier les délégations Kerberos non sécurisées pour prévenir l’usurpation d’identité | Applications logicielles | Préversion | Oui | N/A |
| Protéger tous les utilisateurs avec une stratégie de connexion à risque | utilisateurs ; | Mise à la disposition générale | Oui | Administrateur de l’accès conditionnel, administrateur de la sécurité |
| Protéger tous les utilisateurs avec une stratégie de risque utilisateur | utilisateurs ; | Mise à la disposition générale | Oui | Administrateur de l’accès conditionnel, administrateur de la sécurité |
| Protéger et gérer les mots de passe d’administrateur local avec Microsoft LAPS | utilisateurs ; | Préversion | Oui | N/A |
| Protéger votre locataire avec la stratégie d’accès conditionnel en fonction du risque interne | utilisateurs ; | Mise à la disposition générale | Oui | Administrateur de l’accès conditionnel, administrateur de la sécurité |
| Supprimer les comptes dormants des groupes sensibles | utilisateurs ; | Préversion | Oui | N/A |
| Supprimer les autorisations non sécurisées sur les comptes Microsoft Entra Connect sensibles | utilisateurs ; | Préversion | Oui | N/A |
| Supprimer les applications inutilisées | Applications logicielles | Préversion | Non | Administrateur d’application |
| Supprimer les informations d’identification inutilisées des applications | Applications logicielles | Préversion | Non | Administrateur d’application |
| Renouveler les informations d’identification de l’application arrivant à expiration | Applications logicielles | Préversion | Non | Administrateur d’application |
| Renouveler les informations d’identification du principal du service arrivant à expiration | Applications logicielles | Préversion | Non | Administrateur d’application |
| Remplacer le compte d’administrateur d’entreprise ou de domaine pour le connecteur AD DS Microsoft Entra Connect | utilisateurs ; | Préversion | Oui | N/A |
| Exiger l'authentification multifacteur pour les rôles administratifs | utilisateurs ; | Mise à la disposition générale | Oui | Administrateur de l’accès conditionnel, administrateur de la sécurité |
| Mots de passe réversibles trouvés dans les GPOs | utilisateurs ; | Préversion | Oui | N/A |
| Réviser les utilisateurs inactifs avec des révisions d’accès | utilisateurs ; | Préversion | Non | Administrateur Identity Governance |
| Rotation du mot de passe pour le compte du connecteur AD DS Microsoft Entra Connect | utilisateurs ; | Préversion | Oui | N/A |
| Sécurisez et gouvernez vos applications avec l’attribution automatique d’utilisateurs et de groupes | Applications logicielles | Préversion | Non | Administrateur d’application, administrateur de gouvernance informatique |
| Arrêter l’exposition des informations d’identification en texte clair | utilisateurs ; | Préversion | Oui | N/A |
| Arrêter l’utilisation faible du chiffrement | Locataire | Préversion | Oui | N/A |
| Utilisez les rôles d’administration les moins privilégiés | utilisateurs ; | Mise à la disposition générale | Oui | Administrateur de rôle privilégié |
| Vérifier l’éditeur de l’application | Applications logicielles | Préversion | Non | Administrateur général |
Microsoft Entra affiche uniquement les recommandations qui s’appliquent à votre locataire. Vous ne pouvez donc pas voir toutes les recommandations prises en charge répertoriées.
Score de sécurité de l'identité
Votre score d’identité sécurisée, qui apparaît en haut de la page, est une représentation numérique de l’intégrité de votre locataire. Les recommandations qui s’appliquent au score d’identité sécurisée reçoivent des scores individuels dans la table en bas de la page. Vous pouvez filtrer la liste des recommandations uniquement sur les recommandations liées au score d’identité sécurisée à l’aide de la carte de filtre de sécurité. Les recommandations liées au score d’identité sécurisée incluent des points de score sécurisés qui sont calculés comme un score global basé sur plusieurs facteurs de sécurité.
Ces scores s’ajoutent pour générer votre score de sécurisation d’identité. Pour en savoir plus, consultez Qu’est-ce que le score d’identité sécurisée.
Les recommandations Microsoft Entra sont-elles liées à Azure Advisor ?
La fonctionnalité de recommandations de Microsoft Entra est l’implémentation spécifique de Microsoft Entra d’Azure Advisor, qui est un consultant cloud personnalisé qui vous aide à suivre les meilleures pratiques pour optimiser vos déploiements Azure. Azure Advisor analyse vos données de configuration et d’utilisation des ressources pour recommander des solutions qui peuvent vous aider à améliorer la rentabilité, les performances, la fiabilité et la sécurité de vos ressources Azure.
Les recommandations Microsoft Entra utilisent des données identiques afin de vous permettre de déployer et de gérer les meilleures pratiques de Microsoft pour les locataires Microsoft Entra et maintenir votre locataire dans un état sécurisé et intègre. La fonctionnalité des recommandations Microsoft Entra fournit une vue holistique de la sécurité, de l’intégrité et de l’utilisation de votre locataire.
Notifications par e-mail (aperçu)
Les recommandations Microsoft Entra génèrent désormais des notifications par e-mail suite à la génération d’une nouvelle recommandation. Cette nouvelle fonctionnalité en préversion envoie des e-mails à un ensemble prédéterminé de rôles pour chaque recommandation. Par exemple, les recommandations associées à l’intégrité des applications de votre locataire sont envoyées aux utilisateurs qui ont le rôle Administrateur d’application.
Si votre organisation utilise Privileged Identity Management (PIM), les destinataires doivent être élevés au rôle indiqué pour recevoir la notification par e-mail. Si personne n’est activement affecté au rôle, aucun e-mail n’est envoyé. Pour cette raison, nous vous recommandons de vérifier régulièrement les recommandations pour vous assurer que vous connaissez les nouvelles recommandations.