Phase 1 : Sécuriser le plan de contrôle d’identité

Cet article fait partie du guide de solution Implémenter une architecture d’accès privilégié .

L’accès privilégié présente un risque de sécurité critique dans la plupart des organisations, car il permet un contrôle direct sur les systèmes d’identité, les plans de contrôle cloud et les ressources critiques pour l’entreprise.

Découvrez comment une architecture d’accès privilégié sécurisé joue un rôle essentiel dans votre scénario métier - Protéger les ressources métier critiques - en réduisant ce risque et en renforçant le contrôle sur les systèmes sensibles.

Cet article vous aide à implémenter la phase 1 de la solution Implémenter une solution d’architecture d’accès privilégié . Cette phase sécurise le plan de contrôle d’identité en définissant et en protégeant les identités privilégiées, les attributions de rôles et les chemins d’élévation autorisés.

Il est important d’implémenter d’abord la phase 1. Les phases ultérieures qui sécurisent les appareils d’accès privilégié, appliquent des stratégies d’accès conditionnel et surveillent l’accès privilégié dépendent d’un plan de contrôle d’identité propre et bien régi.

Objectifs de protection

La phase 1 garantit que l’accès privilégié est :

Explicite : accordez uniquement des privilèges via des chemins d’élévation définis. Ne jamais le rendre implicite ou accidentel.
Temporaire : le privilège expire automatiquement.
Fortement authentifié : exiger une authentification forte pour l’élévation.
Auditable : journaliser toutes les modifications et élévations de privilèges.
Récupérable : fournir un accès d’urgence sans affaiblir les contrôles.

Étendue de protection

La phase 1 se concentre sur deux composants fondamentaux de l’accès privilégié :

Identités privilégiées : identités qui peuvent effectuer des actions privilégiées, notamment :
- Comptes d’utilisateurs administratifs dédiés
- Groupes d’administration
- Principaux de service et identités managées
- Attributions de rôles Azure RBAC
- Comptes d’accès d’urgence (de secours) (s’ils n’existent pas déjà).
Chemins d’élévation autorisés : mécanismes permettant aux utilisateurs de passer d’états non privilégiés à des états privilégiés, tels que :
- Activation de rôle liée au temps à l’aide de - Privileged Identity Management (PIM)
- Flux de travail d’approbation pour les rôles sensibles
- Sessions d’administration explicites
Accès de récupération d’urgence : configurer des comptes brise-glace s’ils n’existent pas déjà.

Ces composants opèrent dans le plan de contrôle. S’ils sont compromis, les attaquants peuvent se accorder un accès privilégié sans toucher des appareils ou des stratégies d’accès.

Risques atténués

Risque	Pourquoi cela importe	Mesures d’atténuation de la phase 1
Création non contrôlée d’identités privilégiées	Les attaquants créent discrètement de nouveaux comptes administrateur ou des assignations de rôles.	Établissez des identités et des rôles privilégiés faisant autorité. Restreindre les personnes pouvant gérer les systèmes d’identité. Traitez les systèmes d’identité comme des ressources privilégiées.
Escalade des privilèges silencieux	Privilèges obtenus via des groupes, RBAC ou des affectations imbriquées.	Rationalisez les rôles, utilisez des affectations basées sur des groupes, supprimez l’accès permanent.
Accès administratif persistant (permanent)	Les identifiants volés conservent des privilèges permanents.	Remplacez le privilège permanent par une élévation limitée dans le temps.
Chemins d’élévation faibles ou implicites	Les attaquants utilisent les mêmes chemins que les administrateurs.	Définir des flux de travail d’élévation sécurisés, explicites et auditables
Contournement des protections en aval	Privilège acquis avant l’application de l’appareil ou de la stratégie.	Le plan de contrôle d’identité est sécurisé en premier.
Compromission de l’identité irrécupérable	Aucun moyen sûr de reprendre le contrôle.	Créez des comptes d’accès d’urgence protégés.
Faible niveau de sécurité des identités	Les contrôles d’identité faibles sapent toutes les phases ultérieures.	Augmentez les systèmes d’identité au niveau de sécurité le plus élevé.

Résultats de phase

Une fois cette phase terminée :

Tous les accès privilégiés sont liés aux identités et rôles connus et explicites.
Tous les privilèges sont temporaires, auditables et intentionnels.
L’accès administratif permanent est supprimé.
Les systèmes d’identité sont traités comme des ressources privilégiées.
La récupération à partir d’une compromission d’identité est possible sans affaiblir les contrôles.
Aucun nouveau risque privilégié n’est introduit lors de la modernisation.

Cette phase arrête également la création de nouveaux risques privilégiés pendant que l’audit et la modernisation continuent.

Prerequisites

Avant de commencer à configurer la phase 1, notez les conditions préalables suivantes :

Passez en revue la documentation :

Passez en revue l’article de vue d’ensemble de cette solution.
Parcourez l’article de planification pour accepter les rôles et identités qui effectuent un travail privilégié.

Au sein de votre organisation :

Vérifiez que vous disposez d’un locataire Microsoft Entra ID actif dont vous êtes propriétaire. Nous vous recommandons Microsoft Entra ID P2 (pour la gouvernance des identités privilégiées).
Cette solution suppose que vous avez Microsoft 365 Entreprise E5. Pour plus d’informations, consultez Microsoft 365 Licences Entreprise.
Vérifiez que vous avez au moins deux comptes d’accès d’urgence définis.
Propriété claire pour la gouvernance des identités et la gestion des rôles.
La création de comptes d’administrateur sécurisés les expose à la station de travail utilisée lors de l’installation. Vérifiez que la configuration initiale est effectuée à partir d’un appareil connu et sécurisé.

Étape 1 : Auditer l’accès privilégié

Établissez un inventaire complet des identités privilégiées et des chemins d’accès. Auditez les sources suivantes.

Source	Détails
rôles d’annuaire Microsoft Entra	Identifiez les rôles privilégiés qui peuvent directement ou indirectement mener à la domination du locataire en modifiant les limites d’identité, d’accès ou d’approbation dans le plan de contrôle d’identité. Pour chaque rôle : - Identifier les affectations directes et basées sur des groupes. - Identifier les affectations permanentes et éligibles à PIM - Capturer l’état d’activation actuel.
Privilèges basés sur un groupe	Découvrez qui dispose indirectement de privilèges et passerait inaperçu si vous ne regardez que les utilisateurs. - Passer en revue l’appartenance à un groupe imbriqué - Identifier les utilisateurs, les principaux de service et les identités managées - Enregistrez la façon dont les privilèges sont hérités.
Rôles RBAC Azure	Découvrez ce que ces identités privilégiées peuvent faire en dehors du répertoire lui-même. Auditez les affectations au niveau du groupe d’administration, de l’abonnement et des étendues de ressources. Identifiez les identités avec des autorisations étendues ou en cascade.
Identités non humaines	Découvrez quelles identités non humaines font partie du chemin d’accès privilégié, notamment : Principaux de service et identités managées Comptes Automation et scripts Autorisations d’application avec contrôle par le locataire ou la ressource.

Le résultat est un inventaire d’identité privilégié faisant autorité.

Identifier les rôles de répertoire

Auditez qui peut modifier l’identité, l’authentification ou la configuration à l’échelle du locataire.

Dans le Centre d’administration Microsoft Entra, accédez à Entra IDRoles & Administrateurs.
Sélectionnez Tous les rôles. Cette page répertorie tous les rôles d’annuaire de Microsoft Entra intégrés et personnalisés, y compris les rôles d’administrateur à l’échelle du locataire, tels que l’administrateur général et l’administrateur de rôle privilégié.
- Les rôles privilégiés sont tous ceux qui peuvent attribuer des rôles, modifier la sécurité/authentification, ou gérer des applications, des appareils ou des stratégies de sécurité.
- Une liste complète des rôles intégrés privilégiés est également disponible dans la documentation.
Pour chaque rôle privilégié, vérifiez d’abord les affectations directes. Pour chaque principal directement affecté (utilisateur, groupe ou principal de service (application/identité managée)), vérifiez comment le rôle est accordé et l’état actuel.
- Une affectation permanente signifie que le rôle est toujours actif. Une identité se connecte et dispose déjà d’un accès privilégié avec le statut Actif (permanent). Il s’agit évidemment d’un risque élevé.
- Une attribution éligible PIM signifie que le rôle est disponible, mais qu’il n’est pas actif tant qu’il n’est pas activé. L’utilisateur doit activer le rôle. Il est généralement limité dans le temps et nécessite souvent une justification. L’état peut être actif ou éligible si l’utilisateur peut devenir privilégié, mais n’est pas actuellement activé.
Passez maintenant aux attributions de groupe. Cela est important, car il vérifie les privilèges qui sont indirectement attribués via des groupes.
Ouvrez chaque groupe auquel le rôle privilégié est attribué.
Développez les membres du groupe, développez les groupes imbriqués et enregistrez les utilisateurs, les principaux de service et les identités managées.
Pour chaque identité, vérifiez la façon dont le privilège est conservé :
- Le rôle est-il attribué via un groupe ou un groupe imbriqué ?
- Le rôle est-il permanent ou éligible à PIM ?
- Quel est l’état actuel ?

Une fois cette étape terminée, vous avez capturé le plan de contrôle d'identité et vous disposez d'un inventaire d'identité privilégié faisant autorité pour Microsoft Entra.

Identifier les rôles RBAC Azure

Maintenant que vous savez quelles identités sont privilégiées, vérifions ce qu'elles peuvent faire en dehors du répertoire Microsoft Entra. Où d’autres ont-ils le contrôle et à quelle portée ?

Pour chaque principal privilégié que vous avez identifié, déterminez les rôles.
Commencez à l’étendue la plus élevée (groupes d’administration).
1. Dans le portail Azure, sous >Groupes de gestion, accédez à **Contrôle d’accès (IAM) >Attributions de rôle.
2. Utilisez le Filtre>Assigné à et recherchez le nom du principal.
3. Enregistrez tous les résultats, y compris le nom et l’étendue du rôle.
Si vous trouvez des identités ici, cela indique qu’elles disposent d’un contrôle étendu sur Azure, car les rôles Azure RBAC attribués au niveau du groupe d’administration s’appliquent à tous les abonnements et à toutes les ressources enfants.
Suivez maintenant les mêmes procédures pour Azure portail >Subscriptions.

Les identités auxquelles des rôles Azure RBAC ont été attribués au niveau de l’abonnement sont privilégiées et peuvent accorder ou déléguer l’accès.
Si les identités n’ont pas été trouvées au niveau du groupe d’administration ou de l’abonnement, vous pouvez effectuer la même vérification au niveau des groupes de ressources dans le portail Azure >Resource groups.
Vous pouvez également vérifier si les principaux ont un contrôle sur des ressources individuelles stratégiques telles que les coffres de clés, les comptes de stockage, les machines virtuelles ou les comptes Automation. Pour ce faire, vérifiez le contrôle d’accès (IAM)>Affecté à chaque ressource individuelle.

Enregistrer les résultats

Pour chaque compte que vous avez identifié, capturez les détails d’audit dans une table de mappage.

Identifiez les comptes à haut risque avec des privilèges étendus et créez une table de mappage qui fournira des informations sur l’étendue du rôle (rayon d’explosion) et le type de travail.

Compte	Rôle Entra	rôle RBAC Azure	Étendue	Travail privilégié
alice@contoso.com	Administrateur global	Propriétaire	Sub1, Sub2	Gérer les utilisateurs, les rôles, les abonnements.

Si vous souhaitez en ajouter davantage sur le comportement observé pour un compte, vous pouvez :
1. Passez en revue les journaux de connexion pour plus d’informations sur les applications, les points de terminaison client et les flux d’authentification.
2. Mettre en corrélation les informations avec les journaux d’audit et d’activité pour vérifier si un compte est utilisé et s’il a modifié une stratégie, des ressources ou des abonnements, ou effectué une autre activité.

Étape 2 : Évaluer votre configuration existante

Avec votre inventaire en place, vous pouvez utiliser l’outil d’évaluation Confiance nulle pour évaluer la configuration de l’accès privilégié dans votre environnement et identifier les lacunes dans le contrôle.

Bien que l’outil d’évaluation ne remplace pas un inventaire complet, il utilise des données de rôle et de stratégie comme entrée pour vous aider à comprendre si :

Les rôles privilégiés sont protégés (MFA, accès conditionnel).
L’accès privilégié est régi (modèles PIM, JIT/JEA).
Les stratégies sont appliquées de manière cohérente.
Les lacunes existent entre les identités, les appareils et les stratégies d’accès.

En savoir plus sur l’évaluation de l’identité avec l’outil.

Étape 3 : Établir des identités administratives dédiées

Supprimez les rôles privilégiés des comptes d’utilisateur standard.

Créez des comptes d’administration dédiés qui :

Sont utilisés uniquement pour les tâches privilégiées
N’avez pas d’accès à la productivité (e-mail, Teams, navigation)
Sont éligibles au privilège via PIM, et ne sont pas attribués définitivement

Supprimez toutes les attributions de rôles privilégiées des identités utilisateur standard.

Créer des comptes d’administrateur

Dans le Centre d’administration Microsoft Entra, accédez à Microsoft Entra ID>Users.
Sélectionnez Nouvel utilisateur et configurez les paramètres utilisateur. puis sélectionnez Créer.
- Nom : Administrateur de station de travail sécurisé.
- Nom d’utilisateur principal :secure-ws-admin@contoso.com
- Méthode d’authentification : mot de passe (temporaire).
- Rôles de répertoire : Ne pas attribuer.
- Lieu d’utilisation : défini comme emplacement opérationnel.

Cela vous fournit une identité d’administrateur propre sans privilège.

Étape 4 : Créer des identités pour les PW

Dans les procédures ultérieures, vous configurez une station de travail d’administration privilégiée (PAW).

Si vous souhaitez définir des identités qui peuvent accéder aux PPM, mais qui ne peuvent pas effectuer d’actions privilégiées, vous pouvez :

Créez une identité qui ne peut se connecter qu’à des PAW.
Créez un groupe de sécurité qui contrôle les personnes autorisées à se connecter aux PW.
- Ce groupe n’accorde jamais de droits d’administrateur. Il est utilisé pour :
  - Accès conditionnel, y compris autoriser uniquement les utilisateurs des stations de travail sécurisées à se connecter aux PW et bloquer d’autres utilisateurs.
  - Application d’une licence PAW en fonction d’un groupe spécifique.
- Les membres typiques de ce groupe incluent des analystes SOC, des opérateurs et des auditeurs.

Dans le Centre d’administration Microsoft Entra, accédez à Microsoft Entra ID>Users.
Sélectionnez Nouvel utilisateur et configurez les paramètres utilisateur. Sélectionnez ensuite Créer.
- Nom : Utilisateur de station de travail sécurisé
- Nom d’utilisateur principal :secure-ws-user@contoso.com
- Rôles d’annuaire : Ne pas attribuer

Créer un groupe de sécurité d’accès PAW

Configurer un groupe qui définit qui peut se connecter aux PAWs

Dans le Centre d’administration Microsoft Entra, accédez à Microsoft Entra ID>Groups>New group.
Configurez les paramètres du groupe, puis sélectionnez Créer.
- Type de groupe : Sécurité
- Nom du groupe : Utilisateurs de station de travail sécurisés
- Appartenance : affecté
Ajoutez uniquement des identités de connexion PAW au groupe, et non aux administrateurs par défaut.

Étape 5 : Créer des groupes de contrôle d’administration

Créez des groupes de sécurité qui définissent qui est éligible pour les rôles privilégiés. Ces groupes :

Sont marqués comme pouvant se voir attribuer un rôle
Sont gérés via PIM
N’accordez pas de privilèges sur la seule base de l’appartenance
Servir de limites d’autorisation pour l’élévation

Les modifications d’appartenance sont traitées comme des actions privilégiées et examinées régulièrement

Dans le Centre d’administration Microsoft Entra, accédez à Microsoft Entra ID>Groups>New group.
Configurez les paramètres du groupe, puis sélectionnez Créer.
- Type de groupe : Sécurité
- Nom : Administrateurs de stations de travail sécurisées
- Type d’appartenance : Attribué
Ajoutez des identités d’administrateur dédiées. N’utilisez pas de comptes standard et traitez les modifications d’appartenance comme sensibles. Passez régulièrement en revue.

Ce groupe sera plus tard :

Marqué comme pouvant être attribué à un rôle
Rôles d’annuaire attribués via PIM comme éligibles (non actifs)
Utiliser comme mécanisme de ciblage principal pour les stratégies d’accès privilégié

Étape 6 : Configurer PIM

Si Privileged Identity Management n'est pas déjà activé, faites-le maintenant.

Vérifiez que vous êtes connecté en tant qu’administrateur général ou administrateur de rôle privilégié.

Activer PIM pour les rôles d’annuaire

Dans le centre d’administration Microsoft Entra, accédez à Gouvernance des identités>Privileged Identity Management.
Sélectionnez les rôles Microsoft Entra.

Supprimer des rôles permanents

Dans Microsoft Entra rôles, sélectionnez Roles.
Ouvrez des rôles d’accès privilégié identifiés pour votre organisation.

L’ensemble minimal recommandé par Microsoft est le suivant : - Administrateur général - Administrateur de rôle privilégié - Administrateur de sécurité - administrateur Exchange - administrateur SharePoint
Sélectionnez Affectations.
Pour chaque affectation active (permanente) :
- Supprimer l’affectation permanente
- Rajoutez l’utilisateur ou le groupe en tant que éligible.

Après cela, les utilisateurs n’ont pas de privilèges d’administrateur, sauf s’ils les activent.

Configurer les paramètres d’activation

Pour chaque rôle privilégié, procédez comme suit :

Dans PIM>rôles Microsoft Entra, sélectionnez Paramètres.
Sélectionnez le rôle >Modifier.
Configurer les paramètres :
- Activation requise
- Exiger l’authentification multifacteur lors de l’activation
- Exiger une justification
- Définir la durée maximale d’activation (par exemple : 1 à 4 heures pour les rôles à impact élevé)
- Exiger une approbation (pour l’administrateur général, l’administrateur de rôle privilégié, l’administrateur de sécurité)
- Sélectionner un ou plusieurs approbateurs
Sélectionnez Mettre à jour.

Utiliser des attributions de rôles basées sur des groupes

Nous vous recommandons d’attribuer des rôles à des groupes, et non à des utilisateurs individuels, pour la mise à l’échelle et la gouvernance.

Créez un groupe de sécurité assignable de rôle et affectez-le à un rôle Entra (par exemple, Exchange Admin). Gérez ensuite l’appartenance (qui peut obtenir le rôle) via votre processus de gouvernance, et éventuellement via PIM pour les groupes.

Créez un groupe de sécurité avec le paramètre les rôles Microsoft Entra peuvent être attribués à ce groupe activé.
Dans PIM >rôles Microsoft Entra, sélectionnez Ajouter des affectations.
Affectez le groupe comme éligible pour le rôle.
Ajoutez ou supprimez des utilisateurs du groupe au lieu de modifier directement les attributions de rôles.

Ce groupe devient la limite d’autorisation pour l’accès privilégié.

À l’étape 6, les éléments suivants sont configurés :

Aucun accès administratif permanent
Le privilège est demandé, approuvé, lié au temps, journalisé
Les chemins d’élévation sont explicites et modifiables

Étape 7 : Configurer des comptes d’urgence

Si vous n’avez pas encore de comptes d’accès d’urgence en place, configurez-les maintenant. Ils sont nécessaires pour sortir de situations de blocage d’identité provoquées par l’Accès conditionnel, des pannes de MFA ou une mauvaise configuration.

Vérifiez que vous êtes connecté en tant qu’administrateur général ou administrateur de rôle privilégié pour créer au moins deux comptes d’accès d’urgence.

Dans le Centre d’administration Microsoft Entra, accédez à Utilisateurs> Tous les utilisateurs.
Sélectionnez Nouvel utilisateur et créez un utilisateur cloud uniquement.

Utiliser le domaine *.onmicrosoft.com
Utilisez un nom peu explicite (pas « break glass »)

Attribuez le rôle Administrateur général.

Ne rendez pas ce rôle éligible à PIM, il doit être permanent.
Utilisez un mot de passe fort et long, stocké en toute sécurité hors connexion.
Configurer l’authentification résistante au hameçonnage (par exemple, FIDO2 / passkey ou authentification basée sur un certificat)
Ne liez pas l’authentification multifacteur à un téléphone personnel ou à une adresse e-mail.

Répétez cette opération pour créer un deuxième compte d’urgence.

Exclure les comptes d’urgence de l’accès conditionnel

Cela garantit que la récupération est toujours possible.

Dans le Centre d’administration Microsoft Entra, accédez à Protection>Conditional Access.
Pour chaque stratégie :
- Modifier les attributions.
- Excluez au moins un compte d’accès d’urgence.

Veillez à ne pas exclure les comptes d’administrateur standard : seuls les comptes d’urgence.

Surveiller l’utilisation du compte d’urgence

Activer les alertes sur :
- Connexions par comptes d’urgence
- Modifications de rôle impliquant ces comptes
Traitez toute utilisation en tant qu’incident de sécurité, sauf si elle est pré-approuvée.
Passez régulièrement en revue l’utilisation.

À l’étape 7, les éléments suivants sont configurés :

Le plan de contrôle d’identité est récupérable
Les phases ultérieures (PW, accès conditionnel) ne risqueront pas de verrouillage permanent
L’accès d’urgence est isolé, surveillé et rarement utilisé

Étapes suivantes

Après avoir sécurisé le plan de contrôle d’identité, limitez l’emplacement où les privilèges peuvent être exercés avec des stations de travail d’accès privilégié sécurisées (PAW).

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-06-01