Implémenter la sécurité pour les identités de charge de travail
La protection des ID Microsoft Entra a protégé historiquement les utilisateurs avec la détection, l’examen et la correction des risques basés sur les identités. La protection des identités a étendu ces fonctionnalités aux identités de charge de travail pour protéger les applications, les principaux de service et les identités managées.
Une identité de charge de travail est une identité qui permet à une application ou à un principal de service d’accéder à des ressources, parfois dans le contexte d’un utilisateur. Ces identités de charge de travail diffèrent des comptes d’utilisateur traditionnels car elles :
- Ne peuvent pas effectuer d’authentification multifacteur.
- N’ont souvent aucun processus de cycle de vie formel.
- Elles doivent stocker leur informations d’identification ou secrets quelque part.
Ces différences font que les identités de charge de travail sont plus difficiles à gérer et plus faciles à compromettre.
Conditions requises pour utiliser la protection des identités de charge de travail
Pour utiliser le risque lié à l’identité de charge de travail, notamment le nouveau panneau Identités de charge de travail à risque (préversion) et l’onglet Détections d’identité de charge de travail dans le panneau Détections de risques, dans le portail Azure, vous devez disposer des éléments suivants.
Licences Microsoft Entra ID Premium P2
L’utilisateur connecté doit se voir attribuer :
- Administrateur général
- Administrateur de sécurité
- Opérateur de sécurité
- Lecteur de sécurité
Quels types de risques sont détectés ?
| Nom de la détection | Type de détection | Description |
|---|---|---|
| Veille des menaces Microsoft Entra | Hors connexion | Cette détection de risque indique une activité qui est cohérente avec les modèles d’attaque connus basés sur les sources d’informations sur les menaces internes et externes de Microsoft. |
| Connexions suspectes | Hors connexion | Cette détection de risque indique des propriétés de connexion ou des modèles inhabituels pour ce principal du service. |
| La détection apprend le comportement de connexion de référence pour les identités de charge de travail dans votre locataire en 2 à 60 jours, et se déclenche si une ou plusieurs des propriétés non familières suivantes apparaissent lors d’une connexion ultérieure : adresse IP/ASN, ressource cible, agent utilisateur, modification d’adresse IP d’hébergement/non-hébergement, pays IP, type d’informations d’identification. | ||
| Ajout inhabituel d’informations d’identification à une application OAuth | Hors connexion | Cette détection est découverte par les Applications Microsoft Defender pour le cloud. Cette détection identifie l’ajout suspect des informations d’identification privilégiées à une application OAuth. Cela peut indiquer qu’un attaquant a compromis l’application et l’utilise pour une activité malveillante. |
| Compte d’administrateur confirmé compromis | Hors connexion | Cette détection indique qu’un administrateur a sélectionné « Confirmer la compromission » dans l’interface utilisateur des identités de charge de travail à risque ou à l’aide de l’API riskyServicePrincipals. Pour voir quel administrateur a confirmé que ce compte est compromis, consultez l’historique des risques du compte (par le biais de l’interface utilisateur ou de l’API). |
| Informations d’identification divulguées (version préliminaire publique) | Hors connexion | Cette détection des risques indique que les informations d’identification valides du compte ont fuité. Cette fuite peut se produire lorsque quelqu’un archive les informations d’identification dans l’artefact de code public sur GitHub, ou lorsque les informations d’identification sont divulguées via une violation de données. |
Ajouter une protection par accès conditionnel
À l’aide de l’accès conditionnel pour les identités de charge de travail, vous pouvez bloquer l’accès à des comptes spécifiques que vous choisissez lorsque la protection des identités les marque « représentant un risque ». La stratégie peut être appliquée à des principaux de service à locataire unique qui ont été enregistrés dans votre locataire. Les applications SaaS tierces, les applications multilocataires et les identités managées sont hors de portée.