Cinq étapes pour sécuriser votre infrastructure d’identité

Si vous lisez ce document, c'est que vous connaissez l’importance de la sécurité. Vous êtes sans doute déjà responsable de la sécurisation de votre organisation. Si vous devez convaincre d’autres personnes de l’importance de la sécurité, envoyez-les pour lire la dernière Microsoft Digital Defense Report.

Ce document vous aide à obtenir une posture plus sécurisée à l'aide des fonctionnalités de Microsoft Entra ID en utilisant une liste de contrôle en cinq étapes pour améliorer la protection de votre organisation contre les cyber-attaques.

Cette liste de vérification vous aidera à déployer rapidement les actions recommandées critiques pour protéger votre organisation immédiatement, en expliquant comment :

• Renforcer vos informations d’identification
• Réduire votre surface d’attaque
• Automatiser la réponse aux menaces
• Utiliser l’intelligence cloud
• Activer le libre-service pour l’utilisateur final

Les recommandations contenues dans ce document sont alignées sur le score de sécurité Identity Secure Score, une évaluation automatisée de la configuration de sécurité des identités de votre locataire Microsoft Entra. Les organisations peuvent utiliser la page Identity Secure Score dans le centre d’administration Microsoft Entra pour trouver des lacunes dans leur configuration de sécurité actuelle afin de s’assurer qu’elles suivent les bonnes pratiques actuelles Microsoft pour la sécurité. Implémenter chaque recommandation de la page Secure Score augmente votre score et vous permet de suivre vos progrès, et vous aide également à comparer votre implémentation à celle d’autres organisations de taille comparable.

Avant de commencer : Protéger des comptes privilégiés avec l'authentification multifacteur (MFA)

Avant de commencer, assurez-vous de ne pas être compromis pendant que vous lisez cette liste de vérification. Dans Microsoft Entra nous observons 50 millions d’attaques par mot de passe quotidiennement, mais seulement une fraction d’utilisateurs et d’administrateurs utilisent des authentifications fortes telles que l’authentification multifacteur (MFA). Ces statistiques se basent sur les données en date d’août 2021. Dans Microsoft Entra ID, les utilisateurs qui ont des rôles privilégiés, tels que les administrateurs, sont la racine de confiance pour construire et gérer le reste de l’environnement. Mettez en œuvre les pratiques suivantes pour réduire les effets d'un compromis.

Les attaquants qui prennent le contrôle de comptes privilégiés peuvent causer des dégâts considérables. Il est donc essentiel de protéger ces comptes avant de continuer. Activez et exigez l’authentification multifacteur de Microsoft Entra (MFA) pour tous les administrateurs de votre organisation utilisant les valeurs par défaut de sécurité de Microsoft Entra ou Accès conditionnel. Cela est essentiel.

Vous êtes prêt ? Nous pouvons commencer la liste de vérification.

Étape 1 : Renforcer vos informations d’identification

Bien que d’autres types d’attaques apparaissent, y compris le hameçonnage de consentement et les attaques sur les identités non humaines, les attaques par mot de passe sur les identités des utilisateurs restent le vecteur le plus fréquent d’usurpation d’identité. Les campagnes de hameçonnage et de pulvérisation de mot de passe bien établies par les acteurs malveillants continuent à réussir contre les organisations qui n’implémentent pas l’authentification multifacteur (MFA) ou d’autres protections contre cette tactique commune.

Dans le cadre de votre organisation, vous devez vous assurer que vos identités sont validées et sécurisées avec MFA en tous points. En 2020, le Federal Bureau of Investigation (FBI) Internet Crime Complaint Center (IC3) Report a identifié le hameçonnage comme le type de crime le plus répandu dans les plaintes des victimes. Le nombre de rapports a doublé par rapport à l'année précédente. L’hameçonnage présente une menace importante pour les entreprises et les particuliers, et l’hameçonnage des informations d’identification a été utilisé dans un grand nombre des attaques les plus dévastatrices de l’année dernière. Microsoft Entra l’authentification multifacteur (MFA) permet de protéger l’accès aux données et aux applications, en fournissant une autre couche de sécurité à l’aide d’une deuxième forme d’authentification. Les organisations peuvent activer l’authentification multifacteur avec l’accès conditionnel pour adapter la solution à leurs besoins spécifiques. Consultez ce guide de déploiement pour découvrir comment plan, implémenter et déployer Microsoft Entra l’authentification multifacteur.

Vérifier que votre organisation utilise une authentification forte

Pour activer facilement le niveau de base de la sécurité des identités, vous pouvez utiliser l’activation à sélection unique avec Microsoft Entra valeurs par défaut de sécurité. Les paramètres de sécurité par défaut appliquent l'authentification multifacteur de Microsoft Entra pour tous les utilisateurs d'un locataire et bloquent les tentatives de connexion à l'échelle du locataire des protocoles hérités.

Si votre organisation dispose de licences P1 ou P2 Microsoft Entra ID, vous pouvez également utiliser le classeur Conditional Access insights and reporting pour vous aider à détecter les lacunes dans votre configuration et votre couverture. Sur la base de ces recommandations, vous pourrez aisément combler ces lacunes en créant une stratégie à l’aide de la nouvelle expérience en matière de modèles d’accès conditionnel. Les modèles d’accès conditionnel sont conçus pour fournir une méthode simple pour déployer de nouvelles stratégies qui s’alignent sur les pratiques recommandées par Microsoft, ce qui facilite le déploiement de stratégies courantes pour protéger vos identités et appareils.

Commencer à interdire des mots de passe couramment attaqués et à désactiver la complexité traditionnelle et les règles d’expiration.

De nombreuses organisations utilisent des règles traditionnelles en matière de complexité et d’expiration de mot de passe. Les recherches de Microsoft montrent, et les lignes directrices sur l'identité numérique de la publication spéciale 800-63B du National Institute of Standards and Technology (NIST) indiquent, que ces politiques obligent les utilisateurs à choisir des mots de passe plus faciles à deviner. Nous vous recommandons d’utiliser Microsoft Entra protection par mot de passe, une fonctionnalité dynamique de mot de passe interdit, utilisant le comportement actuel de l’attaquant pour empêcher les utilisateurs de définir des mots de passe facilement devinables. Cette fonctionnalité est toujours activée lorsque les utilisateurs sont créés dans le cloud, mais sont désormais disponibles pour les organisations hybrides lorsqu’elles déploient Microsoft Entra protection par mot de passe pour Windows Server Active Directory. En outre, nous vous recommandons de supprimer les stratégies d’expiration. La modification d’un mot de passe n’offre aucun avantage de confinement, car les cybercriminels utilisent presque toujours les informations d’identification dès qu’ils les compromettent. Reportez-vous à l’article suivant pour définir la stratégie d’expiration de mot de passe pour votre organisation.

Protégez-vous contre la fuite d’identifiants et améliorez la tolérance aux pannes.

La méthode la plus simple et recommandée pour activer l’authentification cloud pour les objets d’annuaire locaux dans Microsoft Entra ID consiste à activer password hash synchronization (PHS). Si votre organisation utilise une solution d’identité hybride avec authentification ou fédération directe, vous devez activer la synchronisation du hachage de mot de passe pour les deux raisons suivantes :

• Le rapport Utilisateurs avec des informations d'identification divulguées dans Microsoft Entra ID avertit des paires de noms d'utilisateur et de mots de passe exposées publiquement. Un volume incroyable de mots de passe fait l’objet d’une fuite via le hameçonnage, les programmes malveillants et la réutilisation de mot de passe sur des sites tiers qui sont ensuite victimes d’une violation de la sécurité. Microsoft trouve la plupart de ces informations d’identification divulguées et vous indique, dans ce rapport, s’ils correspondent aux informations d’identification de votre organisation, mais uniquement si vous activez la synchronisation de hachage password ou que vous avez des identités cloud uniquement.
• Si une panne locale se produit, comme une attaque par ransomware, vous pouvez switch sur l’utilisation de l’authentification cloud à l’aide de la synchronisation de hachage de mot de passe. Cette méthode d’authentification de sauvegarde vous permet de continuer à accéder aux applications configurées pour l’authentification avec Microsoft Entra ID, notamment Microsoft 365. Dans ce cas, l’équipe informatique n’a pas besoin de recourir à des comptes de messagerie personnels ou d’informatique fantôme pour partager des données en attendant que la panne locale soit résolue.

Les mots de passe ne sont jamais stockés en texte clair ou chiffrés avec un algorithme réversible dans Microsoft Entra ID. Pour plus d’informations sur le processus réel de la synchronisation de hachage de mot de passe, consultez Description détaillée du fonctionnement de la synchronisation de hachage de mot de passe.

Implémenter le verrouillage intelligent d'AD FS pour l'extranet

Le verrouillage intelligent empêche les personnes malveillantes de deviner vos mots de passe ou d’utiliser des méthodes de force brute pour rentrer dans vos systèmes. Le verrouillage intelligent peut reconnaître les connexions provenant d’utilisateurs validés et les traiter différemment de celles des attaquants et autres sources inconnues. Le verrouillage intelligent empêche les attaquants de pénétrer dans le système, tout en permettant à vos utilisateurs d’accéder à leurs comptes et de travailler. Les organisations, qui configurent les applications pour s’authentifier directement auprès de Microsoft Entra ID bénéficient de Microsoft Entra verrouillage intelligent. Les déploiements fédérés utilisant AD FS 2016 et AD FS 2019 peuvent bénéficier d’avantages similaires à ceux fournis par l’utilisation du verrouillage extranet et du verrouillage intelligent extranet AD FS.

Étape 2 : Réduire votre surface d’attaque

Étant donné l’omniprésence de la compromission des mots de passe, il est essentiel de réduire la surface d’attaque de votre organisation. Désactivez l’utilisation de protocoles plus anciens, moins sécurisés, limitez les points d’entrée d’accès, passez à l’authentification cloud, exercez un contrôle plus significatif de l’accès administratif aux ressources et adoptez Confiance nulle principes de sécurité.

Utiliser l’authentification cloud

Les informations d'identification constituent le premier vecteur d'attaque. Les pratiques présentées dans ce blog peuvent réduire la surface d’attaque en utilisant l’authentification cloud, en déployant la MFA et en utilisant des méthodes d’authentification sans mot de passe. Vous pouvez déployer des méthodes sans mot de passe telles que Windows Hello Entreprise, la connexion par téléphone avec l’application Microsoft Authenticator ou FIDO.

Bloquer l’authentification héritée

Les applications utilisant leurs propres méthodes héritées pour s’authentifier avec Microsoft Entra ID et accéder aux données de l’entreprise présentent un autre risque pour les organisations. Exemples d’applications utilisant une authentification héritée : clients POP3, IMAP4 ou SMTP. Les applications d’authentification héritées s’authentifient pour le compte de l’utilisateur et empêchent Microsoft Entra ID d’effectuer des évaluations avancées de sécurité. Une authentification alternative et moderne réduit les risques de sécurité, car elle prend en charge l’authentification multifacteur et l’accès conditionnel.

Nous vous recommandons les actions suivantes :

1. Découvrez l’authentification héritée dans votre organisation avec les journaux de connexion Microsoft Entra et les workbooks Log Analytics.
2. Configurez SharePoint Online et Exchange Online pour utiliser l’authentification moderne.
3. Si vous avez Microsoft Entra ID licences P1 ou P2, utilisez des stratégies d’accès conditionnel pour bloquer l’authentification héritée. Pour Microsoft Entra ID niveau Gratuit, utilisez les valeurs par défaut de sécurité Microsoft Entra.
4. Bloquez l’authentification héritée, si vous utilisez AD FS.
5. Bloquer l’authentification héritée avec Exchange Server 2019.
6. Désactivez l’authentification héritée dans Exchange Online.

Pour plus d’informations, consultez l’article Blocking legacy authentication protocols in Microsoft Entra ID.

Bloquer les points d’entrée d’authentification non valide

L’adoption du principe Vérifier explicitement doit vous permettre de réduire l’impact d’informations d’identification utilisateur compromises, le cas échéant. Pour chaque application de votre environnement, tenez compte des cas d’utilisation valides : quels groupes, réseaux, appareils et autres éléments sont autorisés, et bloquez le reste. Avec Accès conditionnel Microsoft Entra, vous pouvez contrôler la façon dont les utilisateurs autorisés accèdent à leurs applications et ressources en fonction de conditions spécifiques que vous définissez.

Pour plus d’informations sur l’utilisation de l’accès conditionnel pour vos applications cloud et actions utilisateur, consultez Accès conditionnel : applications, actions et contexte d’authentification cloud.

Examiner et régir les rôles d’administrateur

Un autre pilier Confiance nulle est la nécessité de minimiser la probabilité qu’un compte compromis puisse fonctionner avec un rôle privilégié. Ce contrôle s’accomplit en affectant les privilèges minimum requis à une identité. Si vous êtes nouveau dans les rôles Microsoft Entra, cet article vous aidera à comprendre les rôles Microsoft Entra.

Les rôles privilégiés dans Microsoft Entra ID doivent être des comptes cloud uniquement pour les isoler des environnements locaux et n’utiliser pas de coffres de mots de passe locaux pour stocker les informations d’identification.

Implémenter la gestion des accès privilégiés

Privileged Identity Management (PIM) fournit une activation de rôle basée sur le temps et basée sur l’approbation pour atténuer les risques d’autorisations d’accès excessives, inutiles ou incorrectes pour les ressources importantes. Ces ressources incluent des ressources dans Microsoft Entra ID, Azure et d’autres services en ligne Microsoft tels que Microsoft 365 ou Microsoft Intune.

Microsoft Entra Privileged Identity Management (PIM) vous aide à réduire les privilèges de compte en vous aidant à :

• Identifier et gérer les utilisateurs affectés aux rôles d’administration.
• Comprendre les rôles avec des privilèges inutilisés ou excessifs que vous devez supprimer.
• Établir des règles pour vous assurer que les rôles privilégiés sont protégés par l’authentification multifacteur.
• Établir des règles pour vous assurer que les rôles privilégiés ne sont accordés que pendant le temps nécessaire pour accomplir la tâche privilégiée.

Activez Microsoft Entra PIM, puis affichez les utilisateurs auxquels des rôles d’administration sont attribués et supprimez les comptes inutiles dans ces rôles. Pour les autres utilisateurs privilégiés, déplacez-les de l’état permanent à l’état éligible. Enfin, établissez des stratégies appropriées pour vous assurer que lorsque ces utilisateurs ont besoin d’accéder à ces rôles privilégiés, ils peuvent le faire en toute sécurité, avec le contrôle nécessaire des modifications.

Les rôles intégrés et personnalisés de Microsoft Entra, fonctionnent selon des concepts similaires à ceux des rôles du système de contrôle d'accès basé sur les rôles pour les ressources Azure (rôles Azure). La différence entre ces deux systèmes de contrôle d’accès en fonction du rôle est la suivante :

• Les rôles Microsoft Entra contrôlent l’accès aux ressources Microsoft Entra telles que les utilisateurs, les groupes et les applications à l’aide de l'API Graph de Microsoft.
• Azure rôles contrôlent l’accès aux ressources Azure telles que les machines virtuelles ou le stockage à l’aide de Azure Resource Management

Les deux systèmes contiennent des définitions de rôles et des attributions de rôles à l’usage similaire. Toutefois, les autorisations de rôle Microsoft Entra ne peuvent pas être utilisées dans les rôles personnalisés Azure et inversement. Dans le cadre du déploiement de votre processus de compte privilégié, suivez la meilleure pratique pour créer au moins deux comptes d’urgence pour vous assurer que vous avez toujours accès à Microsoft Entra ID si vous vous verrouillez vous-même.

Pour plus d’informations, consultez l’article Planer un déploiement Privileged Identity Management et sécuriser l’accès privilégié.

Limiter les opérations de consentement de l’utilisateur

Il est important de comprendre les différentes expériences de consentement de l’application Microsoft Entra, les types d’autorisations et de consentement, ainsi que leurs implications sur la posture de sécurité de votre organisation. Tout en permettant aux utilisateurs de consentir eux-mêmes permet aux utilisateurs d’acquérir facilement des applications utiles qui s’intègrent à Microsoft 365, Azure et d’autres services, il peut représenter un risque s’il n’est pas utilisé et surveillé avec soin.

Microsoft recommande de restreindre le consentement de l’utilisateur pour autoriser le consentement de l’utilisateur final uniquement pour les applications provenant d’éditeurs vérifiés et uniquement pour les autorisations que vous sélectionnez. Si le consentement de l’utilisateur final est restreint, les octrois de consentement préalables seront toujours respectés, mais toutes les opérations de consentement futures devront être effectuées par un administrateur. Dans les cas où la restriction s’applique, le consentement de l’administrateur peut être demandé par les utilisateurs via un flux de travail de requête d’autorisation d’administrateur intégré ou par le biais de vos propres processus de support. Avant de restreindre le consentement de l’utilisateur final, suivez nos recommandations pour planifier cette modification dans votre organisation. Pour les applications dont vous souhaitez autoriser l’accès à tous les utilisateurs, envisagez d’accorder un consentement au nom de tous les utilisateurs, ce qui garantit que les utilisateurs qui n’ont pas encore accepté individuellement pourront accéder à l’application. Si vous ne souhaitez pas que ces applications soient disponibles pour tous les utilisateurs dans tous les scénarios, utilisez l’affectation d’application et l’accès conditionnel pour restreindre l’accès des utilisateurs à des applications spécifiques.

Assurez-vous que les utilisateurs peuvent demander l’approbation de l’administrateur pour les nouvelles applications afin de réduire les frictions utilisateur, de réduire le volume de prise en charge et d’empêcher les utilisateurs de s’inscrire à des applications à l’aide d’informations d’identification non Microsoft Entra. Une fois que vous avez régulé vos opérations de consentement, les administrateurs doivent auditer régulièrement les autorisations de consentement et d’application.

Pour plus d’informations, consultez l’article Cadre de consentement Microsoft Entra.

Étape 3 : Automatiser la réponse aux menaces

Microsoft Entra ID dispose de nombreuses fonctionnalités qui interceptent automatiquement les attaques, afin de supprimer la latence entre la détection et la réponse. Vous pouvez limiter les coûts et les risques lorsque vous réduisez le temps dont les attaquants ont besoin pour s’insérer dans votre environnement. Voici les étapes concrètes que vous pouvez appliquer.

Pour plus d’informations, consultez l’article Guide pratique : Configurer et activer des stratégies de risque.

Implémenter la stratégie de connexion à risque

Un risque à la connexion reflète la probabilité que le propriétaire de l’identité n’ait pas autorisé la requête d’authentification. Une stratégie de connexion basée sur les risques peut être implémentée via l’ajout d’une condition de risque de connexion à vos stratégies d’accès conditionnel qui évalue le niveau de risque pour un utilisateur ou un groupe spécifique. Selon le niveau de risque (élevé, moyen, faible), une stratégie peut être configurée pour bloquer l’accès ou exiger l’authentification multifacteur. Nous vous recommandons d’exiger l’authentification multifacteur pour les connexions présentant un risque moyen ou plus élevé.

Implémenter une stratégie de sécurité en matière de risque des utilisateurs

Le risque utilisateur indique la probabilité que l'identité d'un utilisateur ait été compromise et est calculé en fonction des détections de risque utilisateur associées à l'identité d'un utilisateur. Une stratégie basée sur le risque utilisateur peut être implémentée via l’ajout d’une condition de risque utilisateur à vos stratégies d’accès conditionnel qui évalue le niveau de risque pour un utilisateur spécifique. Selon un niveau de risque Faible, Moyen ou Élevé, une stratégie peut être configurée pour bloquer l’accès ou exiger une modification du mot de passe sécurisée à l’aide de l’authentification multifacteur. Microsoft recommande d'exiger une modification sécurisée du mot de passe pour les utilisateurs à haut risque.

La détection du risque utilisateur inclut une vérification permettant de déterminer si les informations d’identification de l’utilisateur correspondent aux informations d’identification qui ont été divulguées par les cybercriminels. Pour fonctionner de manière optimale, il est important d’implémenter la synchronisation de hachage de mot de passe avec Microsoft Entra Connect Sync.

Intégrer Microsoft Defender XDR à Protection Microsoft Entra ID

Pour qu’Identity Protection puisse effectuer la meilleure détection de risques possible, il doit obtenir autant de signaux que possible. Il est donc important d’intégrer la suite complète de services Microsoft Defender XDR :

• Microsoft Defender pour Endpoint
• Microsoft Defender pour Office 365
• Microsoft Defender pour Identity
• Microsoft Defender pour les applications Cloud

En savoir plus sur Microsoft Protection contre les menaces et l’importance de l’intégration de différents domaines, dans la courte vidéo suivante.

Configurer la surveillance et les alertes

La surveillance et l’audit de vos journaux sont importants pour détecter un comportement suspect. Le portail Azure propose plusieurs façons d’intégrer des journaux d’activité Microsoft Entra à d’autres outils, tels que Microsoft Sentinel, Azure Monitor et d’autres outils SIEM. Pour plus d’informations, consultez le guide des opérations de sécurité Microsoft Entra.

Étape 4 : Utiliser l’intelligence cloud

L’audit et la journalisation des événements liés à la sécurité, de même que les alertes associées, constituent des composants essentiels dans une stratégie de protection efficace. Les journaux d'activité et les rapports de sécurité vous fournissent un enregistrement électronique des activités suspectes, et vous aident à détecter les motifs pouvant indiquer une tentative d’intrusion ou une intrusion externe effective sur le réseau, ainsi que les attaques internes. Vous pouvez avoir recours aux audits pour surveiller les activités des utilisateurs, documenter la conformité aux exigences réglementaires, effectuer des analyses d’investigation, etc. Les alertes fournissent des notifications des événements de sécurité. Vérifiez que vous disposez d’une stratégie de rétention des journaux de journalisation à la fois pour vos journaux de connexion et vos journaux d’audit pour Microsoft Entra ID en exportant dans Azure Monitor ou un outil SIEM.

Surveiller Microsoft Entra ID

Microsoft Azure services et fonctionnalités vous fournissent des options d’audit et de journalisation de sécurité configurables pour vous aider à identifier les lacunes dans vos stratégies et mécanismes de sécurité et à résoudre ces lacunes pour empêcher les violations. Vous pouvez utiliser Journalisation et audit Azure et les Rapports d’activité d’audit dans le centre d’administration Microsoft Entra. Consultez le guide Microsoft Entra Opérations de sécurité pour plus d’informations sur la surveillance des comptes d’utilisateurs, des comptes privilégiés, des applications et des appareils.

Surveiller Microsoft Entra Connect Health dans des environnements hybrides

Monitoring AD FS avec Microsoft Entra Connect Health vous offre un meilleur aperçu des problèmes potentiels et de la visibilité des attaques sur votre infrastructure AD FS. Vous pouvez désormais afficher les connexions ADFS pour une plus grande profondeur de surveillance. Microsoft Entra Connect Health fournit des alertes avec des détails, des étapes de résolution et des liens vers la documentation associée ; l’analytique de l’utilisation pour plusieurs métriques liées au trafic d’authentification ; surveillance des performances et rapports. Utilisez le classeur de rapport sur les adresses IP à risque pour ADFS qui vous aidera à identifier la norme pour votre environnement et vous avertira en cas de modification. Toute infrastructure hybride doit être surveillée en tant que ressource de niveau 0. Vous trouverez des conseils détaillés sur la surveillance de ces ressources dans le Guide des opérations de sécurité pour l’infrastructure.

Surveiller les événements de Protection Microsoft Entra ID

Protection Microsoft Entra ID fournit deux rapports importants que vous devez surveiller quotidiennement :

1. Les rapports de connexions à risque mettent en évidence les activités de connexion des utilisateurs que vous devriez examiner pour vérifier si elles ont été effectuées par le propriétaire légitime.
2. Les rapports d'utilisateurs à risque mettent en avant les comptes qui pourraient être compromis, par exemple des informations d'identification compromises ayant été détectées ou une connexion utilisateur depuis différents emplacements, provoquant un scénario de déplacement impossible.

Applications d’audit et autorisations accordées

Les utilisateurs peuvent être trompés et accéder à un site web ou à des applications compromis, qui obtiendront un accès à leurs informations de profil et à leurs données utilisateur, comme leur adresse e-mail. Un intervenant malveillant peut utiliser les autorisations accordées pour chiffrer le contenu de leur boîte aux lettres et leur demander une rançon pour récupérer les données de leur boîte aux lettres. Les administrateurs doivent examiner et auditer les autorisations données par les utilisateurs. Outre l’audit des autorisations fournies par les utilisateurs, vous pouvez localiser les applications OAuth risquées ou indésirables dans les environnements Premium.

Étape 5 : Activer le libre-service pour l’utilisateur final

Vous devez, autant que possible, équilibrer la sécurité avec la productivité. En vous efforçant d’établir une base pour la sécurité, vous pouvez éliminer les frictions dans votre organisation en donnant à vos utilisateurs les moyens d’agir tout en restant vigilant et en réduisant vos coûts d’exploitation.

Mettre en œuvre la réinitialisation du mot de passe libre-service

Microsoft Entra ID propose la fonction réinitialisation de mot de passe en libre-service (SSPR), permettant aux administrateurs informatiques d'offrir aux utilisateurs un moyen simple pour réinitialiser ou déverrouiller leurs mots de passe ou comptes sans intervention du support technique ou de l'administrateur. Le système inclut une reporting détaillé, qui suit les moments où des utilisateurs ont réinitialisé leurs mots de passe, ainsi que des notifications pour vous avertir de toute utilisation malveillante ou abusive.

Implémenter l’accès en libre-service aux groupes et aux applications

Microsoft Entra ID pouvez autoriser les non-administrateurs à gérer l’accès aux ressources, à l’aide de groupes de sécurité, de groupes Microsoft 365, de rôles d’application et de catalogues de packages d’accès. La gestion des groupes en libre-service permet aux propriétaires de groupes de gérer leurs propres groupes sans se voir attribuer de rôle d’administrateur. Les utilisateurs peuvent également créer et gérer des groupes Microsoft 365 sans compter sur les administrateurs pour gérer leurs demandes et les groupes inutilisés expirent automatiquement. Microsoft Entra gestion des droits d’utilisation permet davantage la délégation et la visibilité, avec des flux de travail de demande d’accès complets et une expiration automatique. Vous pouvez déléguer à des non-administrateurs la possibilité de configurer leurs propres packages d'accès pour les groupes, Teams, les applications et les sites SharePoint Online qu'ils possèdent, avec des stratégies personnalisées définissant qui doit approuver l'accès, y compris en configurant les responsables d'employés et les sponsors partenaires commerciaux comme approbateurs.

Implémenter des révisions d’accès Microsoft Entra

Avec les révisions d’accès Microsoft Entra, vous pouvez gérer le package d’accès et les appartenances à un groupe, l’accès aux applications d’entreprise et les affectations de rôle privilégié pour veiller à maintenir une norme de sécurité. Une supervision régulière par les utilisateurs eux-mêmes, des propriétaires de ressources et d’autres réviseurs garantit que les utilisateurs ne conservent pas l’accès pendant des périodes prolongées quand ils n’en ont plus besoin.

Implémenter le provisionnement automatique des utilisateurs

Le provisionnement et le déprovisionnement sont les processus qui garantissent la cohérence des identités numériques entre plusieurs systèmes. Ces processus sont généralement appliqués dans le cadre de la gestion du cycle de vie des identités.

Le provisionnement est le processus de création d’une identité dans un système cible en fonction de certaines conditions. Le désapprovisionnement est le processus de suppression de l’identité du système cible, lorsque les conditions ne sont plus remplies. La synchronisation est le processus qui consiste à conserver l’objet provisionné à jour, afin que l’objet source et l’objet cible soient similaires.

Microsoft Entra ID fournit actuellement trois domaines d’approvisionnement automatisé. Il s’agit de :

• Provisionnement depuis un système d’enregistrement faisant autorité externe autre qu’un annuaire vers Microsoft Entra ID, via le provisionnement piloté par les RH
• Approvisionnement depuis Microsoft Entra ID vers les applications via provisionnement d’application
• Provisionnement entre des services Microsoft Entra ID et Active Directory, via le provisionnement inter-annuaires

En savoir plus ici : Qu’est-ce que l’approvisionnement avec Microsoft Entra ID ?

Résumé

Une infrastructure d’identité sécurisée peut présenter de nombreux aspects, mais cette liste de vérification en cinq étapes vous aidera à obtenir rapidement une infrastructure d’identité plus sûre et sécurisée :

• Renforcer vos informations d’identification
• Réduire votre surface d’attaque
• Automatiser la réponse aux menaces
• Utiliser l’intelligence cloud
• Activer le libre-service pour l’utilisateur final

Nous sommes heureux de l’importance que vous accordez à la sécurité et nous espérons que ce document constituera une feuille de route utile pour renforcer la sécurité de votre organisation.

Étapes suivantes

Si vous avez besoin d’aide pour planifier et déployer les recommandations, reportez-vous aux plans de déploiement de projet Microsoft Entra ID pour obtenir de l’aide.

Si vous êtes certain que toutes ces étapes sont terminées, utilisez Microsoft'Identity Secure Score, qui vous permet de vous tenir informé des meilleures pratiques les meilleures pratiques les plus récentes et les menaces de sécurité.