Partager via


Mémo 22-09 système de gestion des identités au niveau de l’entreprise

Le Mémorandum M 22-09 à l’intention des cadres et des organismes de direction exige que les organismes élaborent un plan de regroupement pour leurs plateformes d’identité. L’objectif est d’avoir le moins possible de systèmes d’identité gérés par l’agence dans les 60 jours suivant la date de publication (28 mars 2022). La consolidation de la plateforme d’identités présente plusieurs avantages :

  • Centraliser la gestion du cycle de vie des identités, de l’application des stratégies et des contrôles pouvant être audités
  • Capacité uniforme et parité de l’application
  • Diminuer la nécessité d’effectuer l'apprentissage de ressources sur plusieurs systèmes
  • Permettre aux utilisateurs de se connecter une seule fois, puis d’accéder aux applications et services de l’environnement informatique
  • Intégrer à autant d’applications d’agence que possible
  • Utiliser des services d’authentification partagés et des relations d’approbation afin de faciliter l’intégration entre les agences

Pourquoi Microsoft Entra ID ?

Utilisez Microsoft Entra ID pour mettre en œuvre les recommandations du mémorandum 22-09. Microsoft Entra ID dispose de contrôles d'identité qui prennent en charge les initiatives Zero Trust. Avec Microsoft Office 365 ou Azure, Microsoft Entra ID est un fournisseur d'identité (IdP). Connectez vos applications et ressources à Microsoft Entra ID en tant que système d'identité à l'échelle de votre entreprise.

Exigences relatives à l’authentification unique

Le mémo ne demande qu’une seule connexion des utilisateurs pour accéder aux applications. Avec l’authentification unique (SSO) Microsoft, les utilisateurs se connectent qu’une seule fois avant d’avoir accès aux services cloud et aux applications. Voir Authentification unique transparente Microsoft Entra.

Intégration entre les agences

Utilisez la collaboration Microsoft Entra B2B pour répondre à l’exigence de faciliter l’intégration et la collaboration entre les agences. Les utilisateurs peuvent résider dans un tenant (locataire/client) Microsoft du même cloud. Les tenants peuvent se trouver sur un autre cloud Microsoft ou dans un tenant non Azure AD (fournisseur d’identité SAML/WS-Fed).

Grâce aux paramètres d'accès multi-locataires de Microsoft Entra, les agences gèrent la manière dont elles collaborent avec d'autres organisations Microsoft Entra et d'autres cloud Microsoft Azure :

  • Limiter l’accès des utilisateurs tenants Microsoft
  • Paramètres pour l’accès des utilisateurs externes, y compris l’application de l’authentification multifacteur et le signal d’appareil

En savoir plus :

Connexion d’applications

Pour consolider et utiliser Microsoft Entra ID comme système d’identité à l’échelle de l’entreprise, examinez les actifs concernés.

Documenter les applications et services

Créez un inventaire d’applications et de services auxquels les utilisateurs ont accès. Un système de gestion des identités ne protège que ce qu’il connaît.

Classification des ressources :

  • La confidentialité des données contenues
  • Lois et réglementations relatives à la confidentialité, à l’intégrité ou à la disponibilité des données et/ou des informations dans les principaux systèmes
    • Lois et réglementations qui s’appliquent aux exigences de protection des informations système

Pour votre inventaire d’applications, déterminez les applications qui utilisent des protocoles prêts pour le cloud ou des protocoles d’authentification hérités :

  • Les applications prêtes pour le cloud prennent en charge les protocoles modernes pour l’authentification :
    • SAML
    • WS-Trust/WS-Federation
    • OpenID Connect (OIDC)
    • OAuth 2.0.
  • Les applications d’authentification héritées s’appuient sur des méthodes d’authentification plus anciennes ou propriétaires :
    • Kerberso/NTLM (authentification Windows)
    • Authentification basée sur l’en-tête
    • LDAP
    • Authentification de base

En savoir plus sur les intégrations Microsoft Entra avec les protocoles d'authentification.

Outils de découverte d’applications et de services

Microsoft propose les outils suivants pour prendre en charge la découverte des applications et des services.

Outil Utilisation
Analyse de l’utilisation pour Services ADFS (AD FS) Analyse le trafic d’authentification de serveur fédéré. Voir Surveiller AD FS à l’aide de Microsoft Entra Connect Health
Microsoft Defender for Cloud Apps Analyse les journaux de pare-feu pour détecter les applications cloud, les services IaaS (Infrastructure as a Service) et les services PaaS (Platform as a Service) que votre organisation utilise. Intégrez des applications Microsoft Defender pour le cloud à Defender for Endpoint pour découvrir des données analysées d’appareils clients Windows. Consultez Vue d’ensemble des applications Microsoft Defender pour le cloud
Feuille de calcul Découverte des applications Documentez les états actuels de vos applications. Consultez Feuille de calcul Découverte des applications

Vos applications peuvent se trouver dans des systèmes autres que ceux de Microsoft, et les outils Microsoft peuvent ne pas pouvoir découvrir ces applications. Veillez à disposer d’un inventaire complet. Les fournisseurs ont besoin de mécanismes pour découvrir les applications qui utilisent leurs services.

Hiérarchiser les applications pour la connexion

Après avoir découvert les applications de votre environnement, migrez-les en priorité. Considérez les aspects suivants :

  • Caractère critique pour l’entreprise
  • Profils utilisateur
  • Usage
  • Durée de vie

En savoir plus : Migrer l'authentification des applications vers Microsoft Entra ID.

Connectez vos applications prêtes pour le cloud dans l’ordre de priorité. Déterminez quelles applications utilisent des protocoles d’authentification hérités.

Pour les applications qui utilisent des protocoles d’authentification hérités :

  • Pour les applications dotées d'une authentification moderne, reconfigurez-les pour utiliser Microsoft Entra ID
  • Pour les applications sans authentification moderne, deux options s’offrent à vous :
    • Mettre à jour le code de l’application pour qu’elle utilise les protocoles modernes en intégrant la bibliothèque d’authentification Microsoft (MSAL)
    • Utilisez le proxy d'application Microsoft Entra ou l'accès partenaire hybride sécurisé pour un accès sécurisé
  • Désactivation de l’accès aux applications qui ne sont plus nécessaires ou qui ne sont pas prises en charge

En savoir plus

Connexion d’appareils

Une partie de la centralisation d’un système de gestion des identités consiste à permettre aux utilisateurs de se connecter à des appareils physiques et virtuels. Vous pouvez connecter des appareils Windows et Linux dans votre système Microsoft Entra centralisé, ce qui élimine plusieurs systèmes d'identité distincts.

Lors de votre inventaire et de votre cadrage, identifiez les appareils et l'infrastructure à intégrer à Microsoft Entra ID. L'intégration centralise votre authentification et votre gestion à l'aide de politiques d'accès conditionnel avec une authentification multifacteur appliquée via Microsoft Entra ID.

Outils pour découvrir les appareils

Vous pouvez utiliser les comptes d’automation Azure pour identifier les appareils via le regroupement d’inventaires connecté à Azure Monitor. Microsoft Defender for Endpoint dispose de fonctionnalités d’inventaire des appareils. Découvrez les appareils pour lesquels Defender for Endpoint est configuré et ceux qui ne le sont pas. L’inventaire des appareils provient de systèmes locaux tels que Configuration Manager System Center ou d’autres systèmes qui gèrent des appareils et des clients.

En savoir plus :

Intégrer des appareils avec Microsoft Entra ID

Les appareils intégrés à Microsoft Entra ID sont des appareils joints hybrides ou des appareils joints à Microsoft Entra. Séparez l’intégration des appareils par les appareils de clients et d’utilisateurs, et par les ordinateurs physiques et virtuels qui fonctionnent en tant qu’infrastructure. Pour plus d’informations sur la stratégie de déploiement pour les appareils utilisateur, consultez les conseils suivants.

Étapes suivantes

Les articles suivants font partie de cet ensemble de documentation :