Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit quelques-unes des meilleures pratiques d’utilisation du contrôle d’accès en fonction du rôle Microsoft Entra (Microsoft Entra RBAC). Ces meilleures pratiques sont issues de notre expérience du contrôle d’accès en fonction du rôle Microsoft Entra, mais également de celle des clients, comme vous. Nous vous encourageons également à lire nos conseils de sécurité détaillés sur la sécurisation de l’accès privilégié pour les déploiements hybrides et cloud dans Microsoft Entra ID.
1. Appliquer le principe des privilèges minimum
Lorsque vous planifiez votre stratégie de contrôle d’accès, la meilleure pratique consiste à gérer au moindre privilège. Le moindre privilège signifie que vous accordez à vos administrateurs exactement les autorisations dont ils ont besoin pour effectuer leur travail. Il existe trois aspects à prendre en compte lorsque vous attribuez un rôle à vos administrateurs : un ensemble spécifique d’autorisations, sur une étendue spécifique, pour une période spécifique. Évitez d’attribuer des rôles plus larges à des étendues plus importantes, même s’ils semblent plus pratiques dans un premier temps. En limitant les rôles et les étendues, vous limitez les ressources menacées en cas de compromission du principal de sécurité. Microsoft Entra RBAC prend en charge plus de 65 rôles intégrés. Il existe des rôles Microsoft Entra qui permettent de gérer les objets annuaire comme les utilisateurs, les groupes et les applications, ainsi que les services Microsoft 365 comme Exchange, SharePoint et Intune. Pour mieux comprendre les rôles intégrés Microsoft Entra, consultez Comprendre les rôles dans Microsoft Entra ID. S’il n’existe pas de rôle intégré qui répond à vos besoins, vous pouvez créer vos propres rôles personnalisés.
Recherche des rôles appropriés
Suivez ces étapes pour vous aider à trouver le rôle approprié.
Connectez-vous au Centre d’administration Microsoft Entra.
Accédez à Entra ID>Rôles et administrateurs>Tous les rôles.
Utilisez le filtre de service pour affiner la liste des rôles.
Reportez-vous à la documentation relative aux rôles intégrés Microsoft Entra . Les autorisations associées à chaque rôle sont répertoriées ensemble pour une meilleure lisibilité. Pour comprendre la structure et la signification des autorisations de rôle, consultez Comment comprendre les autorisations de rôle.
Reportez-vous à la documentation sur le rôle le moins privilégié par tâche.
2. Utiliser Gestion des identités privilégiées pour accorder l’accès juste-à-temps
L’un des principes fondamentaux du privilège minimum consiste à accorder des accès uniquement lorsqu’ils sont nécessaires. Microsoft Entra Privileged Identity Management (PIM) vous permet d’accorder un accès juste-à-temps à vos administrateurs. Microsoft recommande l’utilisation de PIM dans Microsoft Entra ID. Quand vous utilisez PIM, vous pouvez autoriser un utilisateur à être membre éligible d’un rôle Microsoft Entra pendant une période limitée si nécessaire. L’accès privilégié est automatiquement supprimé lorsque le délai expire. Vous pouvez également configurer les paramètres PIM pour exiger une approbation ou recevoir des e-mails de notification lorsqu’une personne active son attribution de rôle, ou d’autres paramètres de rôle. Ces notifications contiennent une alerte lorsque des utilisateurs sont ajoutés à des rôles hautement privilégiés. Pour plus d’informations, consultez Configurer les paramètres de rôle Microsoft Entra dans Privileged Identity Management.
3. Activer l’authentification multifacteur pour tous vos comptes d’administrateur
Selon nos études, votre compte est de 99,9% moins susceptible d’être compromis si vous utilisez l’authentification multifacteur (MFA).
Vous pouvez activer l’authentification multifacteur sur les rôles Microsoft Entra en utilisant deux méthodes :
- Paramètres de rôle dans Privileged Identity Management
- Accès conditionnel
4. Configurer des évaluations d’accès périodiques pour révoquer les autorisations inutiles au fil du temps
Les révisions d’accès permettent aux organisations de réviser régulièrement l’accès de l’administrateur pour s’assurer que seules les bonnes personnes disposent d’un accès continu. L’audit régulier de vos administrateurs est essentiel pour les raisons suivantes :
- Un acteur malveillant peut compromettre un compte.
- Les personnes changent d’équipe au sein d’une entreprise. En l’absence d’audit, elles peuvent accumuler des accès inutiles au fil du temps.
Microsoft recommande d’utiliser des révisions d’accès pour identifier et supprimer les attributions de rôles non nécessaires. Cela contribue à réduire les risques d’accès non autorisé ou excessif et à respecter les exigences de conformité.
Pour plus d’informations sur les révisions d’accès pour les rôles, consultez Créer une révision d’accès des ressources Azure et des rôles Microsoft Entra dans PIM. Pour plus d’informations sur les révisions d’accès des groupes affectés aux rôles, consultez Créer une révision d’accès des groupes et des applications dans Microsoft Entra ID.
5. Limiter le nombre d’administrateurs généraux à moins de cinq
En guise de bonne pratique, Microsoft vous recommande d’attribuer le rôle Administrateur général à moins de cinq personnes de votre organisation. Les Administrateurs généraux disposent d’un accès quasiment illimité aux ressources, il est donc crucial de réduire la surface d’attaque. Comme indiqué précédemment, tous ces comptes doivent être protégés par l’authentification multifacteur.
Si vous avez 5 attributions de rôles d’administrateur général ou plus privilégiées, une carte d’alerte Administrateurs généraux s’affiche sur la page Vue d’ensemble de Microsoft Entra pour vous aider à surveiller les attributions de rôles d’administrateur général.
Par défaut, quand un utilisateur s’inscrit à un service cloud Microsoft, un locataire Microsoft Entra est créé, et l’utilisateur se voit attribuer le rôle Administrateur général. Les utilisateurs auxquels le rôle Administrateur général est attribué peuvent lire et modifier presque tous les paramètres administratifs dans votre organisation Microsoft Entra. À quelques exceptions près, les administrateurs généraux peuvent également lire et modifier tous les paramètres de configuration de votre organisation Microsoft 365. Les administrateurs généraux ont également la possibilité d’élever leur accès pour lire les données.
Microsoft recommande que les organisations disposent de deux comptes d’accès d’urgence en mode cloud uniquement auxquels le rôle Administrateur général est attribué définitivement. Ces comptes hautement privilégiés ne sont pas attribués à des personnes spécifiques. Les comptes sont limités aux scénarios d’urgence, notamment dans les cas de « casse de vitre », où les comptes normaux ne peuvent pas être utilisés ou lorsque tous les autres administrateurs sont verrouillés accidentellement. Ces comptes doivent être créés en suivant les recommandations de création de comptes d'accès d'urgence .
6. Limiter le nombre d’attributions de rôles privilégiés à moins de 10
Certains rôles incluent des autorisations avec privilèges, comme la possibilité de mettre à jour des informations d’identification. Étant donné que ces rôles peuvent entraîner une élévation de privilèges, vous devez limiter l’utilisation de ces attributions de rôles privilégiées à moins de 10 dans votre organisation. Si ce seuil est dépassé, un avertissement s’affichera dans la page Rôles et administrateurs pour vous en informer.
Vous pouvez identifier les rôles, autorisations et attributions de rôles privilégiés en recherchant l’étiquette PRIVILEGED . Pour plus d’informations, consultez Rôles privilégiés et autorisations dans Microsoft Entra ID.
7. Utiliser des groupes pour l’attribution de rôles Microsoft Entra et déléguer l’attribution de rôle
Si vous disposez d’un système de gouvernance externe qui tire parti des groupes, vous devez envisager d’attribuer des rôles à des groupes Microsoft Entra plutôt qu’à des utilisateurs individuels. Vous pouvez également gérer des groupes assignables à un rôle dans PIM pour vous assurer qu’il n’y a pas de propriétaires ni de membres permanents dans ces groupes privilégiés. Pour plus d’informations, consultez Privileged Identity Management (PIM) pour les groupes.
Vous pouvez affecter un propriétaire à des groupes assignables à un rôle. Ce propriétaire décide qui est ajouté ou supprimé dans le groupe et donc, indirectement, décide qui obtient l’attribution de rôle. De cette façon, un Administrateur de rôle privilégié peut déléguer la gestion des rôles par rôle à l’aide de groupes. Pour plus d’informations, consultez Utiliser les groupes Microsoft Entra pour gérer les attributions de rôles.
8. Activer plusieurs rôles à la fois à l’aide de PIM pour les groupes
Il peut arriver qu’une personne dispose de cinq ou six affectations admissibles à des rôles Microsoft Entra par le biais de PIM. Ils doivent activer chaque rôle individuellement, ce qui peut réduire la productivité. Pire encore, elle peut également avoir des dizaines ou des centaines de ressources Azure qui lui sont attribuées, ce qui aggrave le problème.
Dans ce cas, vous devez utiliser Privileged Identity Management (PIM) pour les groupes. Créez un PIM pour les groupes et accordez-lui un accès permanent à plusieurs rôles (Microsoft Entra ID et/ou Azure). Faites de cet utilisateur un membre éligible ou un propriétaire de ce groupe. Avec une seule activation, ils ont accès à toutes les ressources liées.
9. Utiliser des comptes natifs Cloud pour les rôles Microsoft Entra
Évitez d’utiliser des comptes synchronisés locaux pour l’attribution de rôles Microsoft Entra. Si votre compte local est compromis, vos ressources Microsoft Entra peuvent l’être également.
10. Utiliser des contrôles en couches pour une gouvernance d’accès affinée
Microsoft Entra ID fournit plusieurs fonctionnalités complémentaires qui fonctionnent ensemble pour vous aider à appliquer l’accès au privilège minimum à un niveau granulaire. Aucune fonctionnalité unique ne couvre chaque scénario d’autorisation, donc combinez ces contrôles dans des couches en fonction des exigences de votre organisation :
| Contrôle | Qu’est-ce que cela fait ? | Quand l′utiliser ? |
|---|---|---|
| Unités administratives | Attributions de rôles d’étendue à un sous-ensemble spécifique d’utilisateurs, de groupes ou d’appareils. | Déléguer l’administration aux administrateurs régionaux ou départementaux sans accorder d’autorisations à l’échelle du locataire. |
| Rôles personnalisés | Définissez des rôles avec uniquement les autorisations requises par une fonction de travail. | Les rôles intégrés sont trop larges ou trop étroits pour une responsabilité spécifique. |
| Privileged Identity Management (PIM) | Accordez une activation de rôle à la demande, limitée dans le temps et soumise à approbation. | Éliminez l’accès privilégié permanent pour les utilisateurs dans des rôles privilégiés, notamment les administrateurs et les développeurs. |
| Accès conditionnel | Évaluez les signaux en temps réel (risque utilisateur, conformité des appareils, emplacement, application) pour appliquer ou bloquer l’accès. | Appliquez des décisions d’accès basées sur le contexte qui s’adaptent à la modification des conditions de risque. |
| Gestion des droits d’utilisation | Regroupez des ressources dans des packages d’accès avec des workflows de demande, d’approbation et d’expiration automatisés. | Régir l’accès aux projets, aux équipes ou à la collaboration inter-organisations à grande échelle. |
| Évaluation continue de l’accès (CAE) | Réévaluez l’accès pendant une session active dans deux scénarios : évaluation des événements critiques (par exemple, désactivation du compte, réinitialisation de mot de passe ou révocation de jetons d’administrateur) et évaluation de la stratégie d’accès conditionnel (par exemple, modification de l’emplacement réseau). | Appliquez les modifications de stratégie en quasi temps réel au lieu d’attendre l’expiration du jeton. |
| Attributs de sécurité personnalisés avec le contrôle d’accès basé sur les attributs Azure (ABAC) | Attribuez aux utilisateurs et aux principaux de service des attributs métier, puis limitez l’accès aux ressources Azure prises en charge (actuellement, les actions de données d’Stockage Blob Azure et d’Stockage File d'attente Azure) au moyen d’une condition d’attribut appliquée à une attribution de rôle. | Remplacez un grand nombre d’attributions de rôles explicites par une attribution conditionnelle d’attribut unique et catégorisez des centaines d’applications pour l’inventaire et la création de rapports. |
Exemple d’approche en couches : Attribuez un rôle personnalisé étendu à une unité administrative afin qu’un administrateur du support technique régional puisse réinitialiser uniquement les mots de passe des utilisateurs de leur région. Exiger l’activation PIM afin que le rôle soit lié au temps et basé sur l’approbation. Appliquez une stratégie d’accès conditionnel qui nécessite un appareil conforme et une authentification multifacteur lorsque l’administrateur active le rôle. Utilisez les révisions d’accès dans la gestion des droits d’utilisation pour vérifier régulièrement que l’administrateur a toujours besoin de l’affectation.
Note
La disponibilité des contrôles dans le tableau précédent dépend de votre niveau de licence Microsoft Entra. Par exemple, les rôles personnalisés et l’accès conditionnel nécessitent Microsoft Entra ID P1, et les unités administratives nécessitent Microsoft Entra ID P1 pour les administrateurs limités à une unité administrative (la création et l’appartenance de base sont disponibles avec Microsoft Entra ID Gratuit). Privileged Identity Management nécessite Microsoft Entra ID P2 ou Gouvernance Microsoft Entra ID, tandis que la gestion des droits d’utilisation et les révisions d’accès nécessitent Gouvernance Microsoft Entra ID ou Suite Microsoft Entra (certaines fonctionnalités fonctionnent avec Microsoft Entra ID P2). L’évaluation des événements critiques de l’Évaluation continue de l’accès est disponible dans tous les clients ; le volet d’évaluation de la stratégie d’Accès conditionnel dépend de l’Accès conditionnel, lequel nécessite Microsoft Entra ID P1. Pour comparer les éléments inclus dans chaque niveau, consultez Microsoft Entra plans et tarification.
Pour auditer ce que ces contrôles en couches ont accordés, consultez Comprendre qui a accès à quoi.
Pour plus d’informations sur la conception d’une stratégie d’accès avec privilèges minimum, consultez Securing privileged access for hybrid and cloud deployments in Microsoft Entra ID.