Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’évaluation de confiance zéro vérifie la configuration de votre locataire et recommande des moyens d’améliorer la sécurité, comme décrit dans notre vue d’ensemble.
Prerequisites
- PowerShell 7. Pour l’installer, consultez Installer PowerShell sur Windows, Linux et macOS.
- Pour vous connecter et donner votre consentement aux autorisations requises la première fois, vous devez être administrateur général.
- Les exécutions suivantes peuvent utiliser le rôle Lecteur global .
- Si vous avez installé une version précédente de l’évaluation de confiance zéro, désinstallez-la avant de continuer.
Installer les modules PowerShell
Suivez ces étapes pour installer ou mettre à jour l’évaluation et vous connecter à Microsoft Graph et à votre locataire.
Ouvrez une nouvelle fenêtre PowerShell 7.
Exécutez la commande suivante pour installer le module
ZeroTrustAssessment:Install-Module ZeroTrustAssessment -Scope CurrentUser
Se connecter à Microsoft Graph et Microsoft Azure
Pour exécuter le module Zero Trust Assessment, vous vous connectez à Microsoft Graph et Microsoft Azure. Le module Zero Trust Assessment se connecte d’abord à Microsoft Graph, puis à Microsoft Azure.
Exécutez cette commande pour vous connecter à Microsoft Graph :
Connect-ZtAssessment
Lorsque vous vous connectez à l’aide de Microsoft Graph PowerShell, il demande ces autorisations :
- AuditLog.Read.All
- CrossTenantInformation.ReadBasic.All
- DeviceManagementApps.Read.All
- DeviceManagementConfiguration.Read.All
- DeviceManagementManagedDevices.Read.All
- DeviceManagementRBAC.Read.All
- DeviceManagementServiceConfig.Read.All
- Directory.Read.All
- DirectoryRecommendations.Read.All
- EntitlementManagement.Read.All
- IdentityRiskEvent.Read.All
- IdentityRiskyUser.Read.All
- Policy.Read.All
- Policy.Read.ConditionalAccess
- Policy.Read.PermissionGrant
- PrivilegedAccess.Read.AzureAD
- Reports.Read.All
- RoleManagement.Read.All
- UserAuthenticationMethod.Read.All
Note
L’invite de consentement s’affiche uniquement si l’application Microsoft Graph PowerShell ne dispose pas déjà de ces autorisations. La prochaine fois que vous vous connectez, vous n’avez pas besoin de consentir à nouveau aux autorisations.
Se connecter à Microsoft Graph
- Connectez-vous à Microsoft Graph en tant qu’administrateur général.
- Sélectionnez Accepter.
Se connecter à Microsoft Azure
Une deuxième fenêtre s’ouvre pour la connexion Microsoft Azure. Lorsque vous y êtes invité, connectez-vous à Microsoft Azure en tant qu’administrateur général.
La connexion Microsoft Azure est requise pour vérifier l’exportation des journaux d’audit et de connexion. Si vous n’avez pas Microsoft Azure, fermez la fenêtre sans vous connecter et ignorez l’avertissement. L’évaluation ignore le test qui s’appuie sur Microsoft Azure.
Si vous avez plusieurs abonnements, sélectionnez un locataire et un abonnement lorsque vous y êtes invité.
Exécuter l’évaluation
L’évaluation de confiance zéro est en lecture seule. Il s’exécute et stocke toutes les données localement sur le bureau. Il est recommandé de stocker le rapport d’évaluation en toute sécurité et de supprimer le dossier généré et son contenu du lecteur local une fois l’évaluation terminée.
Une fois que vous avez fourni le consentement de l’administrateur général aux autorisations lors de la première exécution, les exécutions suivantes peuvent être effectuées en tant que lecteur général.
Pour exécuter l’évaluation, utilisez cette commande :
Invoke-ZtAssessment
L’évaluation enregistre les résultats dans le dossier .\ZeroTrustReport\ZeroTrustAssessmentReport.htmlde travail actuel. Une fois l’évaluation terminée, le rapport s’ouvre automatiquement dans le navigateur par défaut.
Caution
Le rapport et le dossier d'export contiennent des informations sensibles sur le locataire que les cybercriminels peuvent utiliser à leur avantage. Partagez le rapport et le dossier uniquement avec le personnel autorisé de votre organisation.
Utilisez le -Path paramètre pour fournir un emplacement personnalisé pour stocker le rapport d’évaluation. Par exemple, la commande suivante enregistre le rapport dans le dossier C:/MyAssessment01/ZeroTrustAssessmentReport.html:
Invoke-ZtAssessment -Path C:\MyAssessment01
Conseil / Astuce
Pour les grands locataires, l’évaluation de confiance zéro peut prendre plus de 24 heures. N’arrêtez pas l’évaluation pendant son exécution, même si l’évaluation enregistre des avertissements ou des erreurs.
Examiner les résultats de l’évaluation
Une fois l’évaluation exécutée, le rapport ouvre l’onglet Vue d’ensemble dans votre navigateur par défaut. L’onglet Vue d’ensemble affiche les informations clés du modèle Zero Trust concernant le client.
Les onglets Identité et appareils affichent la liste des résultats des tests exécutés sur le locataire. Les résultats indiquent l’étatdes risques et des résultats de chaque test.
Pour plus d’informations sur un test, sélectionnez un résultat. Les détails décrivent ce qui a été testé et répertorier les actions de correction recommandées pour répondre à la configuration du locataire. Pour plus d’informations sur certains des termes utilisés dans chaque vérification, consultez notre glossaire.
Supprimer le module Évaluation de confiance zéro
Pour supprimer le module Zero Trust Assessment :
- Supprimez le module PowerShell.
- Supprimez l’inscription et le consentement de l’application.
- Supprimez le dossier créé par le module Zero Trust Assessment.
Questions fréquentes (FAQ)
Désinstaller les versions précédentes
Exécutez les commandes suivantes pour vous assurer que toutes les versions des modules passés sont désinstallées
Uninstall-Module ZeroTrustAssessment -Force -AllVersions
Redémarrez PowerShell et installez la dernière version.
Impossible de charger le fichier ou l’assembly Microsoft.Graph.Authentication
Cette erreur se produit lorsque vous avez installé des versions en conflit de Microsoft Graph PowerShell.
Pour corriger cette erreur, nous vous recommandons de désinstaller tous les modules Microsoft Graph PowerShell installés sur votre système. Vous pouvez utiliser un module d’assistance comme uninstall-graph.merill.net pour exécuter le nettoyage.
Lors de la désinstallation de Microsoft Graph, vous devez également désinstaller toutes les versions de l’évaluation de confiance zéro, redémarrer PowerShell, puis installer la dernière version.
Install-Module Uninstall-Graph
Uninstall-Module ZeroTrustAssessment -Force -AllVersions
Uninstall-Graph
Comment puis-je savoir ce que fait le script ?
Le code de cette évaluation est open source. Passez en revue https://github.com/microsoft/zerotrustassessment/tree/psnext/src/powershell.
Pourquoi ai-je obtenu l’erreur d’exception : « L’initialiseur de type pour "DuckDB.NET.Data.DuckDBConnectionStringBuilder" a levé une exception." ?
Sur une nouvelle installation de Windows, l’erreur suivante peut s’afficher :
L’initialiseur de type pour « DuckDB.NET.Data.DuckDBConnectionStringBuilder » a provoqué une exception. Exception interne : Impossible de charger la DLL « duckdb » ou l’une de ses dépendances : le module spécifié est introuvable. (0x8007007E) Type d’exception interne : DllNotFoundException
Cette erreur se produit parce que vous exécutez sur un système qui n’inclut Microsoft Visual C++ 2015-2022 Redistributable (x64) - Microsoft.VCRedist.2015+.x64pas . VCRedist installe généralement lorsque vous installez des produits Microsoft tels que Microsoft Office ou Microsoft Entra Connect Sync. Si vous utilisez un nouvel appareil, vous devrez peut-être installer ce composant manuellement. Consultez la dernière version redistribuable Microsoft Visual C++.
La prise en charge de Windows sur les appareils ARM64 n’est pas disponible pour l’instant.
Comment obtenir du support ?
Soulevez des problèmes de support sur le dépôt GitHub Confiance Zéro.