Stratégie de confiance zéro DoD pour le pilier de l’appareil

2024-05-08

Stratégie et feuille de route de Confiance Zéro du DoD décrit un parcours pour les composants DoD (Department of Defense) et des partenaires DIB (Defense Industrial Base) pour adopter un nouveau cadre de cybersécurité basé sur les principes de Confiance Zéro. Confiance Zéro élimine les hypothèses traditionnelles de périmètre et de confiance, ouvrant la voie à une architecture plus efficace qui améliore la sécurité, les expériences utilisateur et les performances des missions.

Ce guide contient des recommandations pour les 152 activités de Confiance Zéro de la feuille de route d’exécution des capacités Confiance Zéro du DoD. Les sections correspondent aux sept piliers du modèle Confiance Zéro du DoD.

Utiliser les liens suivants pour accéder aux sections du guide.

2 Appareil

Cette section contient des conseils et des recommandations Microsoft pour les activités de Confiance Zéro du DoD dans le pilier Appareil. Pour plus d’informations, consultez Sécurisation des points de terminaison avec Confiance Zéro.

2.1 Inventaire des appareils

Microsoft Intune et Microsoft Defender pour point de terminaison configurent, évaluent l’intégrité et découvrent des vulnérabilités logicielles pour les appareils. Utilisez Microsoft Entra ID et l’intégration de Microsoft Intune pour appliquer des stratégies d’appareil conformes pour l’accès aux ressources.

Description et résultat de l’activité DoD	Conseils et recommandations de Microsoft
`Target` 2.1.1 Analyse des écarts de l’outil d’intégrité des appareils Les organisations DoD développent un inventaire manuel des appareils au sein de l’environnement. Les attributs d’appareil suivis dans l’inventaire activent les fonctionnalités décrites dans le niveau cible ZTA. Résultat: - L’inventaire manuel des appareils est créé par organisation avec des propriétaires	Microsoft Entra ID Inscrire les appareils des utilisateurs finaux auprès de Microsoft Entra ID et gérer les identités des appareils depuis le centre d’administration Microsoft Entra. La page Vue d’ensemble des appareils suit les ressources d’appareil, l’état de gestion, le système d’exploitation, le type de jointure et le propriétaire. - Appareils inscrits - Appareils joints hybrides - Répertorier les appareils - Gérer les identités des appareils Microsoft Entra Connect Sync Utiliser Connect Sync pour synchroniser les appareils gérés Active Directory avec Microsoft Entra ID. - Appareils joints hybrides Microsoft Intune Afficher les informations sur les appareils gérés à partir du Centre d’administration Microsoft Intune. Récupérez les diagnostics des appareils Windows à l’aide de l’action Collecter les diagnostics à distance. - Détails de l’appareil - Diagnostics des appareils Windows Microsoft Endpoint Configuration Manager Utiliser la cogestion pour attacher un déploiement Configuration Manager au cloud Microsoft 365. - Cogestion Microsoft Defender pour point de terminaison Afficher les appareils protégés par Defender pour point de terminaison dans le portail Microsoft Defender. - Inventaire des appareils
`Target` 2.1.2 Entité autre qu’une personne/PKI, appareil sous gestion Les organisations DoD utilisent la solution/service DoD Enterprise PKI pour déployer des certificats x509 sur tous les appareils pris en charge et gérés. D’autres entités non personnelles (NPE) qui prennent en charge les certificats x509 sont affectées dans les systèmes PKI et/ou IdP. Résultat: - Les entités non personnelles sont gérées via l’infrastructure à clé publique d’organisation (Org PKI) et le fournisseur d’identité d’organisation (Org IDP)	Microsoft Intune Ajouter Intune Certificate Connector pour l’approvisionnement de certificats sur les points de terminaison. - Certificate connector - Certificats d'authentification Utiliser les profils réseau Intune pour aider les appareils gérés à s'authentifier sur votre réseau. Ajouter un certificat SCEP (Simple Certificate Inscription Protocol). - Paramètres Wi-Fi des appareils - Paramètres réseau câblés des appareils Windows Intégrer Intune aux partenaires de contrôle d’accès réseau (NAC) pour sécuriser vos données lorsque les appareils accèdent aux ressources locales. - Intégration NAC Stratégie de gestion des applications Configurer la stratégie de gestion des applications client pour restreindre les informations d’identification d’application aux certificats émis par l’infrastructure à clé publique d’entreprise (PKI). Consulter les conseils Microsoft 1.9.1 dans Utilisateur. Azure IoT Hub Configurer Azure IoT Hub pour utiliser et appliquer l’authentification X.509. - Authentifier des identités avec des certificats x509 Microsoft Defender pour Identity Si votre organisation héberge son infrastructure à clé publique avec Active Directory Certificate Services (AD CS), déployez Defender pour Identity sensors et configurez l’audit pour AD CS. - Capteur AD CS - Configurer des audits pour les AD CS
`Target` 2.1.3 Fournisseur d’identité d’entreprise – Partie 1 Le fournisseur d’identité d’entreprise DoD, en utilisant une technologie centralisée ou des technologies organisationnelles fédérées, intègre des entités autres que des personnes, telles que des appareils et des comptes de service. L’intégration est suivie dans la solution Gestion des appareils d’entreprise, le cas échéant, pour déterminer s’il est intégré ou non. Les serveurs NPE ne peuvent pas être intégrés au fournisseur d’identité sont marqués pour la mise hors service ou à l’exception d’une approche méthode basée sur les risques. Résultat: - Les serveurs réseau, y compris les appareils, sont intégrés au fournisseur d’identité d’entreprise	Inscription d’appareils joints à Microsoft Entra Utiliser des appareils joints à Microsoft Entra pour les appareils clients Windows nouveaux et re-image. Les appareils joints à Microsoft Entra ont une expérience utilisateur améliorée pour la connexion aux applications cloud telles que Microsoft 365. Les utilisateurs accèdent aux ressources locales à l’aide d’appareils joints à Microsoft Entra. - Appareils joints - L’authentification unique à des ressources locales sur des appareils joints Microsoft Intune Configurer l’inscription automatique pour les appareils Windows 10 ou 11 joints à un locataire Microsoft Entra. - Inscription automatique Microsoft Entra Connect Sync Si votre organisation synchronise Active Directory avec Microsoft Entra ID à l’aide de Connect Sync. Pour inscrire automatiquement des appareils auprès de Microsoft Entra ID, configurez les appareils joints hybrides. - Appareils joints hybrides Applications Microsoft Entra Inscrire des applications auprès de Microsoft Entra et utiliser des principaux de service pour l’accès par programmation aux API Microsoft Entra et protégées comme Microsoft Graph. Configurer des stratégies de gestion des applications pour restreindre les types d’informations d’identification de l’application. Consulter les conseils Microsoft 2.1.2. ID de charge de travail Microsoft Entra Utiliser la fédération des identités de charge de travail pour accéder aux ressources protégées Microsoft Entra dans les actions GitHub et d’autres scénarios pris en charge. - Fédération des identités de charge de travail Identités managées Utiliser des identités managées pour les ressources Azure prises en charge et les machines virtuelles avec Azure Arc. - Identités managées pour les ressources Azure - Serveurs avec Azure Arc Azure IoT Hub Utiliser Microsoft Entra ID pour authentifier les demandes auprès des API de service Azure IoT Hub. - Contrôler l’accès à l'IoT Hub
`Advanced` 2.1.4 Fournisseur d’identité d’entreprise – Partie 2 Le fournisseur d’identité d’entreprise DoD, en utilisant une technologie centralisée ou des technologies organisationnelles fédérées, ajoute des attributs dynamiques supplémentaires pour les entités autres que des personnes, telles qu’un emplacement, des modèles d’utilisation, etc. Résultat: - Les attributs d’appareil conditionnel font partie du profil IdP	Microsoft Defender pour point de terminaison Déployer Defender pour point de terminaison sur les appareils de bureau des utilisateurs finaux, les appareils mobiles gérés et les serveurs. - Intégrer des appareils - Defender pour point de terminaison sur des appareils avec Intune - Intégrer des serveurs Windows Microsoft Intune Gérer les appareils des utilisateurs finaux avec Intune. Configurez des stratégies de conformité Intune pour les appareils gérés. Inclure le score de risque de l’ordinateur Microsoft Defender pour point de terminaison dans les stratégies de conformité Intune. - Planifier les stratégies de conformité - Stratégie de conformité pour le niveau de risque des appareils - Stratégies de conformité personnalisées - Configurer des appareils Windows dans Intune - Android Configuration de la sécurité d’entreprise - Appareils iOS et iPadOS dans Intune Si votre organisation utilise une solution MTD (Mobile Threat Defense) tierce, configurez le connecteur Intune. - Configuration MTD Gestion des applications mobiles Utiliser la gestion des applications mobiles Intune pour les appareils non inscrits pour configurer et sécuriser les applications pour apporter vos propres appareils (BYOD). - Gestion des applications

2.2 Détection et conformité des appareils

Les stratégies de conformité Microsoft Intune garantissent que les appareils respectent les normes organisationnelles. Les stratégies de conformité peuvent évaluer la configuration des appareils par rapport à une base de référence de sécurité. Les stratégies utilisent l’état Microsoft Defender for Endpoint Protection et le score de risque de l’ordinateur pour déterminer la conformité. L'accès conditionnel utilise l'état de conformité des appareils pour prendre des décisions d'accès dynamiques pour les utilisateurs et les appareils, y compris les appareils personnels (BYOD).

Description et résultat de l’activité DoD Conseils et recommandations de Microsoft

Target 2.2.1 Implémenter l’autorisation réseau basée sur C2C/la conformité – Partie 1
L’entreprise DoD, en collaboration avec les organisations, élabore une stratégie, une norme et des exigences en matière de conformité pour la connexion (Comply to Connect). Une fois l’accord atteint, l’approvisionnement de la solution est démarré, un ou plusieurs fournisseurs sont sélectionnés et l’implémentation commence par les fonctionnalités de niveau de base dans les environnements ZT Target (faible risque). Les vérifications de base sont mis en œuvre dans la nouvelle solution « Comply to Connection », ce qui permet de répondre aux fonctionnalités cibles de la ZTA.

Résultats:
- C2C est appliqué au niveau de l’entreprise pour les environnements à faible risque et de test
- Les vérifications des appareils de base sont implémentées à l’aide de C2C Microsoft Intune
Gérer les appareils avec Intune et configurer des stratégies de conformité des appareils. Utiliser la gestion des applications mobiles Intune (GAM) pour sécuriser les applications sur BYOD non inscrit.

Consultez les conseils Microsoft dans 2.1.4.

Accès conditionnel
Utiliser les signaux d’appareil conformes à Intune, l’emplacement et les signaux de risque de connexion dans les stratégies d’accès conditionnel. Utilisez des filtres d’appareil pour les stratégies d’accès conditionnel, en fonction des attributs de l’appareil.
- Exiger des appareils de conformité
- Conditions
- Filtre pour les appareils
- L’accès conditionnel avec Intune

Microsoft Entra Workload ID
Créer des stratégies d’accès conditionnel pour les identités de charge de travail à l’aide de contrôles de risque et d’emplacement.
- Accès conditionnel pour les identités de charge de travail
- Identités de charge de travail sécurisées

Advanced 2.2.2 Implémenter l’autorisation réseau basée sur C2C/la conformité – Partie 2
Les organisations DoD étendent le déploiement et l’utilisation de la conformité pour la connexion (Comply to Connect) à tous les environnements pris en charge qui doivent répondre aux fonctionnalités avancées ZT. Se conformer aux équipes Connect intègrent leur ou leurs solutions aux passerelles d’identité d’entreprise et d’autorisation pour mieux gérer l’accès et les autorisations aux ressources.

Résultats:
- C2C est appliqué dans tous les environnements pris en charge
- Les vérifications avancées des appareils sont effectuées et intégrées à l’accès dynamique, au fournisseur d’identité d’entreprise et au ZTNA. Applications Microsoft Entra
Intégrer des applications et régir l’accès utilisateur à Microsoft Entra ID.

Consultez les conseils Microsoft 1.2.4 dans Utilisateur.

Microsoft Intune et Microsoft Defender pour point de terminaison
Gérer les appareils avec Intune, déployer Defender pour point de terminaison et configurer une stratégie de conformité des appareils à l’aide du score de risque de l’ordinateur Defender pour point de terminaison.

Consultez les conseils Microsoft 2.1.4 dans cette section.

L’accès conditionnel
Créer des stratégies d’accès conditionnel nécessitant un appareil conforme pour l’accès aux applications.

Consultez les conseils Microsoft dans 2.2.1.

Proxy d’application Microsoft Entra
Déployer le proxy d’application ou une solution partenaire d’accès hybride sécurisé (SHA) pour activer l’accès conditionnel pour les applications locales et héritées via l’accès réseau de confiance zéro (ZTNA).
- SHA avec l’intégration de Microsoft Entra

Microsoft Tunnel
Tunnel est une solution de passerelle de réseau privé virtuel (VPN) pour les appareils gérés par Intune et les appareils non inscrits avec des applications gérées par Intune. Tunnel utilise Microsoft Entra ID pour l’authentification et les stratégies d’accès conditionnel pour l’accès aux appareils mobiles aux applications locales.
- Tunnel pour Intune

Description et résultat de l’activité DoD	Conseils et recommandations de Microsoft
`Target` 2.2.1 Implémenter l’autorisation réseau basée sur C2C/la conformité – Partie 1 L’entreprise DoD, en collaboration avec les organisations, élabore une stratégie, une norme et des exigences en matière de conformité pour la connexion (Comply to Connect). Une fois l’accord atteint, l’approvisionnement de la solution est démarré, un ou plusieurs fournisseurs sont sélectionnés et l’implémentation commence par les fonctionnalités de niveau de base dans les environnements ZT Target (faible risque). Les vérifications de base sont mis en œuvre dans la nouvelle solution « Comply to Connection », ce qui permet de répondre aux fonctionnalités cibles de la ZTA. Résultats: - C2C est appliqué au niveau de l’entreprise pour les environnements à faible risque et de test - Les vérifications des appareils de base sont implémentées à l’aide de C2C	Microsoft Intune Gérer les appareils avec Intune et configurer des stratégies de conformité des appareils. Utiliser la gestion des applications mobiles Intune (GAM) pour sécuriser les applications sur BYOD non inscrit. Consultez les conseils Microsoft dans 2.1.4. Accès conditionnel Utiliser les signaux d’appareil conformes à Intune, l’emplacement et les signaux de risque de connexion dans les stratégies d’accès conditionnel. Utilisez des filtres d’appareil pour les stratégies d’accès conditionnel, en fonction des attributs de l’appareil. - Exiger des appareils de conformité - Conditions - Filtre pour les appareils - L’accès conditionnel avec Intune Microsoft Entra Workload ID Créer des stratégies d’accès conditionnel pour les identités de charge de travail à l’aide de contrôles de risque et d’emplacement. - Accès conditionnel pour les identités de charge de travail - Identités de charge de travail sécurisées
`Advanced` 2.2.2 Implémenter l’autorisation réseau basée sur C2C/la conformité – Partie 2 Les organisations DoD étendent le déploiement et l’utilisation de la conformité pour la connexion (Comply to Connect) à tous les environnements pris en charge qui doivent répondre aux fonctionnalités avancées ZT. Se conformer aux équipes Connect intègrent leur ou leurs solutions aux passerelles d’identité d’entreprise et d’autorisation pour mieux gérer l’accès et les autorisations aux ressources. Résultats: - C2C est appliqué dans tous les environnements pris en charge - Les vérifications avancées des appareils sont effectuées et intégrées à l’accès dynamique, au fournisseur d’identité d’entreprise et au ZTNA.	Applications Microsoft Entra Intégrer des applications et régir l’accès utilisateur à Microsoft Entra ID. Consultez les conseils Microsoft 1.2.4 dans Utilisateur. Microsoft Intune et Microsoft Defender pour point de terminaison Gérer les appareils avec Intune, déployer Defender pour point de terminaison et configurer une stratégie de conformité des appareils à l’aide du score de risque de l’ordinateur Defender pour point de terminaison. Consultez les conseils Microsoft 2.1.4 dans cette section. L’accès conditionnel Créer des stratégies d’accès conditionnel nécessitant un appareil conforme pour l’accès aux applications. Consultez les conseils Microsoft dans 2.2.1. Proxy d’application Microsoft Entra Déployer le proxy d’application ou une solution partenaire d’accès hybride sécurisé (SHA) pour activer l’accès conditionnel pour les applications locales et héritées via l’accès réseau de confiance zéro (ZTNA). - SHA avec l’intégration de Microsoft Entra Microsoft Tunnel Tunnel est une solution de passerelle de réseau privé virtuel (VPN) pour les appareils gérés par Intune et les appareils non inscrits avec des applications gérées par Intune. Tunnel utilise Microsoft Entra ID pour l’authentification et les stratégies d’accès conditionnel pour l’accès aux appareils mobiles aux applications locales. - Tunnel pour Intune

2.3 Autorisation de l’appareil avec inspection en temps réel

L’accès conditionnel est le moteur de stratégie Confiance Zéro pour les produits et services cloud Microsoft. L’évaluation des stratégies confiance zéro au niveau du fournisseur d’identité avance le modèle de conformité à la connexion (C2C) en appliquant des contrôles adaptatifs avant l’accès aux ressources. Les stratégies d’accès conditionnel utilisent des signaux de sécurité provenant de Microsoft Entra ID, de Microsoft Defender XDR et de Microsoft Intune.

Les composants Microsoft Defender XDR évaluent les niveaux de risque des appareils et des identités en utilisant des détections d'apprentissage automatique (Machine Learning) et en permettant des décisions dynamiques basées sur le risque pour autoriser, bloquer ou contrôler l'accès aux données, aux applications, aux actifs et aux services (DAAS).

Description et résultat de l’activité DoD	Conseils et recommandations de Microsoft
`Advanced` 2.3.1 Surveillance de l’activité des entités – Partie 1 En utilisant les bases de référence élaborées pour les utilisateurs et les appareils, les organisations DoD utilisent la solution UEBA (User and Entity Behavioral Activity) implémentée pour intégrer les bases de référence. Les attributs et les bases de référence d’appareil UEBA sont disponibles pour les détections d’autorisation d’appareil. Résultats : - Les attributs UEBA sont intégrés pour la base de référence de l’appareil - Les attributs UEBA sont disponibles pour l’utilisation avec l’accès aux appareils	Microsoft Intune et Microsoft Defender pour point de terminaison Gérer les appareils avec Intune, déployer Defender pour point de terminaison et configurer une stratégie de conformité des appareils à l’aide du score de risque de l’ordinateur Defender pour point de terminaison. Consultez les conseils Microsoft dans 2.1.4. L’accès conditionnel Créer des stratégies d’accès conditionnel qui nécessitent un appareil conforme pour l’accès aux applications. Consultez les conseils Microsoft dans 2.2.1. Microsoft Entra ID Protection Configurer des stratégies d’accès conditionnel pour les niveaux de risque d’identité dans Microsoft Entra ID Protection. Consultez les conseils Microsoft 1.6.1 dans Utilisateur.
`Advanced` 2.3.2 Surveillance de l’activité des entités – Partie 2 Les organisations DoD utilisent la solution UEBA (User and Entity Behavior Activity) avec des solutions d’accès réseau pour imposer des attributs UEBA (par exemple l’intégrité de l’appareil, des modèles d’ouverture de session, etc.) pour accéder aux environnements et aux ressources. Résultat: - Les attributs UEBA sont obligatoires pour l’accès aux appareils	Accès conditionnel Utiliser l’état de l’appareil conforme à Intune, l’emplacement et les signaux de risque d’identité dans les stratégies d’accès conditionnel. Utiliser des filtres d’appareil pour cibler des stratégies d’accès conditionnel en fonction des attributs de l’appareil. Consultez les conseils Microsoft dans 2.2.1 et dans 2.3.1.
`Target`2.3.3 Implémenter des outils de contrôle des applications et de surveillance de l’intégrité des fichiers Les organisations DoD se procurent et implémentent des solutions de surveillance de l’intégrité des fichiers et de contrôle des applications. FIM poursuit le développement et l’expansion de la surveillance dans le pilier données. Le contrôle d’application est déployé dans des environnements à faible risque dans un mode moniteur uniquement qui établit des allocations de référence. Les équipes de contrôle d’application qui s’intègrent aux environnements PKI d’entreprise et d’organisation utilisent des certificats pour les allocations d’application. NextGen AV couvre tous les services et applications possibles Résultats: - Les outils AppControl et FIM sont implémentés sur tous les services/applications critiques - Les outils EDR couvrent la quantité maximale de services/applications - Les données AppControl et FIM sont envoyées à C2C si nécessaire	Microsoft Defender for Endpoint Defender for Endpoint agrège les signaux provenant de la supervision de l’intégrité des fichiers (FIM), du contrôle d’application, de l’antivirus de nouvelle génération (NGAV) et bien plus encore pour le score de risque de machine. - Protection de nouvelle génération - Antivirus pour les appareils gérés - Accès contrôlé aux dossiers Microsoft Intune Configurer les stratégies de sécurité du point de terminaison du contrôle des applications dans Microsoft Intune. - Applications approuvées avec le contrôle des applications pour Entreprise - Stratégie et règles de fichier Windows Defender AppControl Accès conditionnel Pour obtenir le modèle C2C (comply-to-connect), intégrez des applications à Microsoft Entra ID et exigez un contrôle de l’octroi d’appareils conformes dans l’accès conditionnel. Consultez les conseils Microsoft dans 2.2.2.
`Advanced` 2.3.4 Intégrer des outils antivirus de nouvelle génération – C2C Les organisations DoD se procurent et implémentent des solutions antivirus et anti-programmes malveillants de nouvelle génération en fonction des besoins. Ces solutions sont intégrées au déploiement initial de Conform to Connect pour les vérifications d’état de référence des signatures, mises à jour, etc. Résultats: - Les données NextGen AV critiques sont envoyées à C2C pour les vérifications - Les outils NextGen AV sont implémentés sur tous les services/applications critiques	Microsoft Intune Créer des stratégies de conformité des appareils pour l’antivirus et le score de risque de l’ordinateur Microsoft Defender pour point de terminaison. - Stratégie antivirus pour la sécurité des points de terminaison Consultez les conseils Microsoft dans 2.2.2.
`Advanced` 2.3.5 Intégrer complètement et façon appropriée la pile de sécurité des appareils à C2C Les organisations DoD continuent le déploiement du contrôle des applications sur tous les environnements et en mode prévention. La surveillance de l'intégrité des fichiers (FIM) et l'analyse des contrôles des applications sont intégrées dans Comply to Connect pour un accès élargi aux points de données de prise de décision. La conformité à Connect Analytics est évaluée pour obtenir d’autres points de données de pile de sécurité d’appareil/point de terminaison tels que UEDM et sont intégrés si nécessaire. Résultats: - Le déploiement AppControl et FIM est étendu à tous les services/applications nécessaires - Les données restantes des outils Sécurité de l’appareil sont implémentées avec le C2C	Activité complète 2.3.4. Microsoft Defender pour Cloud Apps Identifiez et contrôlez les applications cloud risquées avec des stratégies Defender for Cloud Apps. - Contrôler les applications cloud avec des stratégies
`Advanced` 2.3.6 PKI d’entreprise – Partie 1 L’infrastructure à clé publique d’entreprise DoD est étendue de façon à inclure l’ajout de certificats d’entités autres que des personnes et d’appareils. Les serveurs NPE et les appareils qui ne prennent pas en charge les certificats PKI sont marqués pour le démarrage de la mise hors service et de la désactivation. Résultats: - Les appareils qui ne peuvent pas avoir de certificats sont supprimés et/ou déplacés vers des environnements d’accès minimal : tous les appareils et les serveurs réseau ont des certificats installés pour l’authentification dans l’infrastructure à clé publique d’entreprise (PKI)	Microsoft Intune Utiliser Microsoft Intune pour déployer des certificats PKI DoD sur des appareils. Consultez les conseils Microsoft dans 2.1.2. Stratégie de gestion des applications Configurer la stratégie de gestion des applications client pour restreindre les informations d’identification d’application aux certificats émis par l’infrastructure à clé publique d’entreprise. Consultez les conseils Microsoft 1.5.3 dans Utilisateur. Microsoft Defender pour Cloud Apps Configurer les stratégies d’accès pour exiger des certificats clients pour l’accès aux applications et bloquer l’accès aux appareils non autorisés. - Stratégies d’accès
`Advanced` 2.3.7 PKI d’entreprise – Partie 2 Les organisations DoD utilisent des certificats pour l’authentification des appareils et des communications de machine à machine. Les appareils non pris en charge terminent la mise hors service et les exceptions sont approuvés à l’aide d’une approche méthode basée sur les risques. Résultat: : les appareils doivent s’authentifier pour communiquer avec d’autres services et appareils	Microsoft Intune et l’accès conditionnel Intégrer des applications à Microsoft Entra ID, gérer des appareils avec Intune, protéger des appareils avec Microsoft Defender pour point de terminaison et configurer des stratégies de conformité. Incluez une stratégie de conformité pour le score de risque de l’ordinateur Defender pour point de terminaison. Exiger un contrôle d’octroi conforme dans les stratégies d’accès conditionnel. Consultez les conseils Microsoft dans 2.2.2.

2.4 Accès à distance

Microsoft Entra ID est un fournisseur d’identité par défaut (IDP). Si vous utilisez Microsoft Entra pour la connexion aux applications, les utilisateurs authentifient et passent des vérifications de stratégie d’accès conditionnel avant que Microsoft Entra autorise l’accès. Vous pouvez utiliser Microsoft Entra ID pour protéger les applications hébergées dans le cloud ou localement.

Description et résultat de l’activité DoD	Conseils et recommandations de Microsoft
`Target` 2.4.1 Refuser les appareils par défaut Les organisations DoD bloquent tous les accès des appareils distants et locaux non gérés aux ressources. Les appareils gérés conformes sont fournis avec un accès méthode basé sur les risques suivant les concepts de niveau cible ZTA. Résultats: - Les composants peuvent bloquer l’accès aux appareils par défaut aux ressources (applications/données) et autoriser explicitement les appareils conformes par stratégie - L’accès à distance est activé en suivant une approche « Refuser l’appareil par défaut »	Applications Microsoft Entra ID L’accès aux applications et aux ressources protégées par Microsoft Entra ID est refusé par défaut. L’accès aux ressources nécessite l’authentification, le droit actif et l’autorisation par les stratégies d’accès conditionnel. - Intégrer des applications - Intégration d’applications Microsoft Intune Gérer les appareils avec Intune. Configurez les stratégies de conformité des appareils. Exiger un appareil conforme dans les stratégies d’accès conditionnel pour tous les utilisateurs et applications. Consultez les conseils Microsoft dans 2.2.1.
`Target` 2.4.2 Support géré et limité pour BYOD et IOT Les organisations DoD utilisent UEDM (Unified Endpoint and Device Management) et des solutions similaires pour que les appareils BYOD (Bring Your Own Device) et IoT (Internet of Things) gérés soient entièrement intégrés au fournisseur d’identité d’entreprise, et que l’autorisation basée sur les utilisateurs et les appareils soit prise en charge. L’accès aux appareils pour toutes les applications nécessite des stratégies d’accès dynamique. Résultats: - Toutes les applications nécessitent un accès aux autorisations dynamiques pour les appareils - Les autorisations d’appareil BYOD et IOT sont planifiées et intégrées au fournisseur d’identité d’entreprise (IDP)	Activité complète 2.4.1. Microsoft Intune Utiliser la gestion des appareils Intune et la gestion des applications mobiles pour apporter votre propre appareil (BYOD). - Gestion des applications mobiles pour les appareils non inscrits - Stratégies de protection des applications Accès conditionnel Exiger une stratégie de protection des appareils et/ou des applications conforme dans l’accès conditionnel pour tous les utilisateurs et applications. - Application cliente approuvée ou stratégie de protection des applications - Stratégie de protection des applications sur les appareils Windows ID externe Microsoft Entra Configurer les paramètres d’accès entre clients pour approuver les contrôles d’appareil conformes des partenaires approuvés. - Paramètres d’accès entre clients pour la collaboration B2B Microsoft Defender pour IoT Déployer des capteurs Defender pour IoT pour une visibilité, et pour surveiller et protéger les appareils IoT et les technologies opérationnelles (OT). Vérifiez que le logiciel de l’appareil est à jour et modifiez les mots de passe locaux. N’utilisez pas de mots de passe par défaut. - Defender pour IoT - IoT et OT avec Confiance Zéro - Stratégie de cybersécurité nationale des États-Unis pour sécuriser IoT
`Advanced` 2.4.3 Prise en charge gérée et complète de BYOD et d’IoT – Partie 1 Les organisations DoD utilisent UEDM (Unified Endpoint and Device Management) et des solutions similaires pour permettre l’accès des appareils gérés et approuvés aux services/applications critiques et opérationnels en utilisant des stratégies d’accès dynamique. Les appareils BYOD et Internet des objets (IoT) doivent respecter les vérifications de référence standard avant l’autorisation. Résultats: - Seuls les appareils BYOD et IOT qui répondent aux normes de configuration obligatoires autorisées à accéder aux ressources - Les services critiques nécessitent un accès dynamique pour les appareils	Activité complète 2.4.2. Microsoft Defender for Cloud Apps Configurez les stratégies d'accès pour exiger des certificats clients pour l'accès aux applications. Bloquer l’accès à partir d’appareils non autorisés. Consultez les conseils Microsoft dans 2.3.6.
`Advanced` 2.4.4 Prise en charge gérée et complète de BYOD et d’IoT – Partie 2 Les organisations DoD utilisent UEDM (Unified Endpoint and Device Management) et des solutions similaires pour permettre l’accès des appareils non gérés répondant aux vérifications des appareils et aux bases de référence standard. Tous les services/applications possibles sont intégrés pour autoriser l’accès aux appareils gérés. Les appareils non managés sont intégrés aux services/applications en fonction de l’approche d’autorisation méthode pilotée par les risques. Résultat: - Tous les services possibles nécessitent un accès dynamique pour les appareils	Azure Virtual Desktop Déployer Azure Virtual Desktop (AVD) pour prendre en charge l’accès à distance à partir d’appareils non managés. Combinez des machines virtuelles hôtes de session AVD à Microsoft Entra et gérez la conformité avec Microsoft Intune. Autorisez la connexion à AVD avec un authentificateur sans mot de passe ou un authentificateur sans hameçonnage à partir d’appareils non gérés. - Machines virtuelles jointes à Microsoft Entra dans AVD - Force d’authentification Microsoft Defender pour Cloud Apps Utiliser le contrôle de session Defender pour Cloud Apps pour surveiller et restreindre les sessions web à partir d’appareils non gérés. - Stratégies de session

2.5 Gestion partiellement et entièrement automatisée des ressources, des vulnérabilités et des correctifs

Microsoft Endpoint Manager prend en charge les solutions cloud et hybrides (cogestion) pour la gestion des appareils. Les stratégies de configuration et de conformité garantissent que les appareils répondent aux exigences de configuration des correctifs et de la sécurité pour votre organisation.

Description et résultat de l’activité DoD Conseils et recommandations de Microsoft

Target 2.5.1 Implémenter des outils de gestion des ressources, des vulnérabilités et des correctifs
Les organisations DoD implémentent des solutions pour la gestion des ressources/configurations des appareils, des vulnérabilités et des correctifs. L’utilisation de normes de conformité minimales (par exemple, des STIG, etc.) pour les équipes peut confirmer ou refuser la conformité des appareils gérés. Dans le cadre du processus d’approvisionnement et d’implémentation des solutions, les API ou d’autres interfaces programmatiques seront dans l’étendue des niveaux futurs d’automatisation et d’intégration.

Résultats:
- Les composants peuvent confirmer si les appareils respectent les normes de conformité minimales ou non
- Les composants ont des systèmes de gestion des ressources, de vulnérabilité et de mise à jour corrective avec des API qui permettront l’intégration entre les systèmes Microsoft Intune
Gérer les appareils dans Intune.

Consulter les conseils Microsoft dans la section 2.1.4.

Utiliser la cogestion Microsoft Endpoint Manager pour les appareils de point de terminaison hérités.
- Gestion des points de terminaison
- Cogestion

Configurer et mettre à jour des stratégies pour les plateformes d’appareils gérées avec Intune.
- Stratégies de mise à jour logicielle iOS et iPadOS
- Stratégies de mise à jour logicielle macOS
- Mises à jour Android FOTA
- Mises à jour Windows 10 et 11

Microsoft Defender for Endpoint
Intégrer Microsoft Defender for Endpoint à Microsoft Intune. Corriger des vulnérabilités de point de terminaison avec des stratégies de configuration Microsoft Intune.
- Gestion des vulnérabilités Microsoft Defender
- Utiliser Microsoft Intune et des vulnérabilités identifiées par Microsoft Defender for Endpoint

Description et résultat de l’activité DoD	Conseils et recommandations de Microsoft
`Target` 2.5.1 Implémenter des outils de gestion des ressources, des vulnérabilités et des correctifs Les organisations DoD implémentent des solutions pour la gestion des ressources/configurations des appareils, des vulnérabilités et des correctifs. L’utilisation de normes de conformité minimales (par exemple, des STIG, etc.) pour les équipes peut confirmer ou refuser la conformité des appareils gérés. Dans le cadre du processus d’approvisionnement et d’implémentation des solutions, les API ou d’autres interfaces programmatiques seront dans l’étendue des niveaux futurs d’automatisation et d’intégration. Résultats: - Les composants peuvent confirmer si les appareils respectent les normes de conformité minimales ou non - Les composants ont des systèmes de gestion des ressources, de vulnérabilité et de mise à jour corrective avec des API qui permettront l’intégration entre les systèmes	Microsoft Intune Gérer les appareils dans Intune. Consulter les conseils Microsoft dans la section 2.1.4. Utiliser la cogestion Microsoft Endpoint Manager pour les appareils de point de terminaison hérités. - Gestion des points de terminaison - Cogestion Configurer et mettre à jour des stratégies pour les plateformes d’appareils gérées avec Intune. - Stratégies de mise à jour logicielle iOS et iPadOS - Stratégies de mise à jour logicielle macOS - Mises à jour Android FOTA - Mises à jour Windows 10 et 11 Microsoft Defender for Endpoint Intégrer Microsoft Defender for Endpoint à Microsoft Intune. Corriger des vulnérabilités de point de terminaison avec des stratégies de configuration Microsoft Intune. - Gestion des vulnérabilités Microsoft Defender - Utiliser Microsoft Intune et des vulnérabilités identifiées par Microsoft Defender for Endpoint

2.6 Gestion unifiée des points de terminaison et gestion des appareils mobiles

Les stratégies de configuration et de conformité de Microsoft Intune garantissent que les appareils répondent aux exigences de configuration de sécurité de l’organisation. Intune évalue les stratégies de conformité et marque les appareils comme conformes ou non conformes. Les stratégies d’accès conditionnel peuvent utiliser l’état de conformité des appareils pour empêcher les utilisateurs disposant d’appareils non conformes d’accéder aux ressources protégées par Microsoft Entra ID.

Les paramètres d'accès inter-locataires d’ID externe Microsoft Entra comprennent des paramètres de confiance pour la collaboration avec les invités. Ces paramètres peuvent être personnalisés pour chaque partenaire locataire. Lorsque vous faites confiance à des appareils conformes d'un autre locataire, les invités qui utilisent des appareils conformes dans leur locataire d'origine satisfont aux politiques d'accès conditionnel exigeant des appareils conformes dans votre locataire. Vous n’avez pas besoin de faire des exceptions aux stratégies d’accès conditionnel pour éviter de bloquer les invités externes.

Descriptions et résultats des activités du DoD	Conseils et recommandations de Microsoft
`Target` 2.6.1 Implémenter des outils UEDM ou équivalents Les organisations DoD collaborent étroitement avec l’activité « Implémenter des outils de gestion des ressources, des vulnérabilités et des correctifs » pour obtenir et implémenter une solution UEDM (Unified Endpoint and Device Management) garantissant que les exigences sont intégrées au processus d’approvisionnement. Une fois qu’une solution est achetée, les équipes UEDM garantissent que les fonctionnalités cibles ZT critiques telles que la conformité minimale, la gestion des ressources et la prise en charge des API sont en place. Résultats: - Les composants peuvent confirmer si les appareils respectent les normes de conformité minimales ou non - Les composants ont des systèmes de gestion des ressources pour les appareils utilisateur (téléphones, ordinateurs de bureau, ordinateurs portables) qui conservent la conformité informatique, qui est signalée jusqu’à DoD enterprise - Les systèmes de gestion des ressources des composants peuvent par programme, c’est-à-dire, API, fournir l’état de conformité des appareils et s’il répond aux normes minimales	Activité complète 2.3.2. Microsoft Intune L’état de conformité de l’appareil Microsoft Intune est intégré au fournisseur d’identité (IdP), à Microsoft Entra ID, par des signaux de conformité Intune dans Accès conditionnel. Affichez l’état de conformité des appareils dans le Centre d’administration Microsoft Entra ou à l’aide de l’API Microsoft Graph. - Stratégies de conformité - Rapports Intune ID externe Microsoft Entra Pour étendre les stratégies de conformité des appareils aux utilisateurs externes à l’organisation, configurez les paramètres d’accès entre clients pour approuver l’authentification multifacteur (MFA) et les revendications d’appareil conformes à partir de locataires DoD approuvés. - Accès entre clients API Microsoft Graph l’état de conformité des appareils API Microsoft Graph. - API de conformité et de confidentialité
`Target` 2.6.2 Gestion des appareils d’entreprise – Partie 1 Les organisations DoD migrent l’inventaire manuel des appareils vers une approche automatisée en utilisant la solution UEDM. Les appareils approuvés peuvent être gérés indépendamment de l’emplacement. Les appareils qui font partie des services critiques sont mandatés pour être gérés par la solution point de terminaison unifié et gestion des périphériques prenant en charge l’automatisation. Résultats: - L’inventaire manuel est intégré à une solution de gestion automatisée pour les services critiques - Activer ZT Device Management (à partir de n’importe quel emplacement avec ou sans accès à distance)	Microsoft Intune et l’accès conditionnel Gérer les appareils avec Microsoft Intune. Configurez les stratégies de conformité des appareils. Exiger des stratégies d’accès conditionnel d’appareil conformes. Consultez les conseils Microsoft dans 2.1.4.
`Target` 2.6.3 Gestion des appareils d’entreprise – Partie 2 Les organisations DoD migrent les appareils restants dans la solution Gestion des appareils d’entreprise. La solution Gestion des périphériques d’entreprise (EDM) est intégrée aux solutions relatives à la conformité et aux risques, le cas échéant. Résultat : – l’inventaire manuel est intégré à une solution de gestion automatisée pour tous les services	Microsoft Intune et l’accès conditionnel Gérer des appareils avec Microsoft Intune. Configurez les stratégies de conformité des appareils. Exigez la conformité des appareils dans les stratégies d’accès conditionnel. Consultez les conseils Microsoft dans la section 2.1.4.

2.7 Point de terminaison et détection et réponse étendues (EDR et XDR)

La suite de défense unifiée Microsoft Defender XDR coordonne la détection, la prévention, l’investigation et la réponse entre les points de terminaison, les identités, les e-mails et les applications. Les composants XDR Microsoft Defender détectent et défendent contre les attaques sophistiquées.

L’intégration des composants Microsoft Defender XDR étend la protection au-delà des appareils. Consultez les exemples d’événements de détection qui contribuent au niveau de risque utilisateur dans Microsoft Entra ID Protection :

Modèles d’envoi de courrier suspects détectés par Microsoft Defender pour Office
Détections de voyage impossibles dans Microsoft Defender pour Cloud Apps
Tentatives d’accès au jeton d’actualisation principal détecté par Microsoft Defender pour point de terminaison

Les stratégies d’accès conditionnel basées sur les risques peuvent sécuriser, limiter ou bloquer l’accès aux services cloud pour l’utilisateur à risque, même s’ils utilisent un appareil conforme sur un réseau approuvé.

Pour plus d’informations, consultez activer Composants Microsoft Defender XDR et quels sont les risques ?

Description et résultat de l’activité DoD	Conseils et recommandations de Microsoft
`Target` 2.7.1 Implémenter des outils de détection et de réponse des points de terminaison et les intégrer à C2C Les organisations DOD se procurent et implémentent des solutions de détection et de réponse des points de terminaison dans les environnements. EDR protège, surveille et répond aux activités malveillantes et anormales qui permettent la fonctionnalité cible ZT et envoie des données à la solution Conformité à la connexion pour des vérifications étendues des appareils et des utilisateurs. Résultats: - L’outil de détection des points de terminaison et de réponse est implémenté - Les données EDR critiques sont envoyées à C2C pour les vérifications - Les outils NextGen AV couvrent la quantité maximale de services/applications	Microsoft Defender for Endpoint Déployer Defender for Endpoint pour les appareils des utilisateurs finaux. Consultez les conseils Microsoft 2.3.1 dans cette section. Microsoft Intune Configurer des stratégies de conformité des appareils Intune. Inclure le score de risque de machine Defender for Endpoint pour la conformité des stratégies. Consultez les conseils Microsoft 2.1.4. et dans 2.3.2. Microsoft Defender pour le cloud Activer Microsoft Defender pour serveur pour les abonnements disposant de machines virtuelles dans Azure. Les plans Defender pour serveur incluent Defender pour le cloud pour les serveurs. - Defender pour serveurs Utiliser des serveurs avec Azure Arc pour gérer et protéger les serveurs physiques Windows et Linux et les machines virtuelles en dehors d’Azure. Déployer l’agent Azure Arc pour les serveurs hébergés en dehors d’Azure. Intégrer des serveurs avec Arc à un abonnement protégé par Microsoft Defender pour serveur. - Serveurs avec Azure Arc - L’agent Azure Connected Machine
`Target` 2.7.2 Implémenter des outils XDR (Extended Detection & Response) et les intégrer à C2C – Partie 1 Les organisations DoD se procurent et implémentent des solutions XDR (Extended Detection & Response). Les points d’intégration avec les fonctionnalités de piliers croisés sont identifiés et hiérarchisés en fonction du risque. Les points d’intégration les plus risqués sont actionnés et l’intégration est démarrée. EDR poursuit la couverture des points de terminaison pour inclure le nombre maximal de services et d’applications dans le cadre de l’implémentation XDR. Les analyses de base sont envoyées de la pile de solutions XDR à SIEM. Résultats: - Les points d’intégration ont été identifiés par capacité - Les points d’intégration les plus risqués ont été intégrés avec XDR - Les alertes de base sont en place avec SIEM et/ou d’autres mécanismes	Microsoft Defender XDR Piloter et déployer les composants et services Microsoft Defender XDR. - Defender XDR - Sentinel et Defender XDR pour Confiance Zéro Configurer les intégrations des composants Microsoft Defender XDR déployés. - Microsoft Defender for Endpoint avec Defender for Cloud Apps - Microsoft Defender pour Identity et Defender for Cloud Apps - Purview Information Protection et Defender for Cloud Apps Microsoft Sentinel Configurer des connecteurs de données Sentinel pour Microsoft Defender XDR. Activer les règles d’analyse. - Installer Defender XDR - Connecter des données Defender XDR à Sentinel
`Advanced` 2.7.3 Implémenter des outils XDR (Extended Detection & Response) et les intégrer à C2C – Partie 2 La pile de solutions XDR effectue l’identification des points d’intégration en étendant la couverture au maximum possible. Les exceptions sont suivies et gérées à l’aide d’une approche méthode basée sur les risques pour une opération continue. L’analytique étendue activant les fonctionnalités ZT Advanced est intégrée à SIEM et à d’autres solutions appropriées. Résultats: - Les points d'intégration restants ont été intégrés comme il se doit - Les alertes et les réponses étendues sont activées avec d’autres outils Analytics au moins à l’aide de SIEM	Microsoft Defender XDR Utiliser Microsoft Defender XDR dans votre stratégie d’opérations de sécurité. - Intégrer Defender XDR dans les opérations de sécurité

Étapes suivantes

Configurer les services cloud Microsoft pour la stratégie Confiance Zéro du DoD :