Vue d’ensemble de la sécurité et de la gestion des identités Azure

La gestion des identités est le processus d’authentification et d’autorisation des principaux de sécurité. Elle implique également le contrôle des informations relatives à ces principaux (identités). Les principaux de sécurité (identités) peuvent inclure des services, des applications, des utilisateurs, des groupes, etc. Les solutions de gestion des identités et des accès de Microsoft aident les services informatiques à protéger l’accès aux applications et aux ressources dans le centre de données de l’entreprise, mais aussi dans le cloud. Cette protection offre des niveaux supplémentaires de validation, notamment l’authentification multifacteur et les stratégies d’accès conditionnel. En surveillant les activités suspectes via les fonctions avancées de reporting, d’audit et d’alertes de sécurité, vous êtes en mesure de limiter les problèmes de sécurité potentiels. Microsoft Entra ID P1 ou P2 fournit une authentification unique (SSO) à des milliers d’applications cloud Software as a Service (SaaS) et assure un accès aux applications web que vous exécutez en local.

Microsoft Entra ID vous offre de nombreux avantages en termes de sécurité :

• Création et gestion d’une identité unique pour chaque utilisateur de l’entreprise hybride, tout en maintenant la synchronisation des utilisateurs, des groupes et des appareils
• Accès par authentification unique (SSO) à vos applications, notamment à des milliers d’applications SaaS pré-intégrées
• Sécurisation de l’accès aux applications en appliquant une authentification multifacteur basée sur des règles pour les applications aussi bien locales que cloud
• Accès à distance sécurisé aux applications web locales via le proxy d’application Microsoft Entra

Cet article vise à fournir une vue d’ensemble des principales fonctionnalités de sécurité Azure liées à la gestion des identités. Il contient également des liens vers des articles fournissant des informations complémentaires sur chaque fonctionnalité.

Cet article se concentre sur les principales fonctionnalités de gestion d’identité Azure, à savoir :

• Authentification unique
• Proxy inversé
• Authentification multifacteur
• Contrôle d’accès en fonction du rôle Azure (Azure RBAC)
• Surveillance de la sécurité, alertes et rapports Machine Learning
• Gestion des identités et des accès des consommateurs
• Enregistrement de l’appareil
• Privileged Identity Management
• Identity Protection
• Gestion des identités hybrides/Azure AD Connect
• Révision d’accès à Microsoft Entra

Authentification unique

Avec l’authentification unique (SSO), vous pouvez accéder à toutes les applications et à toutes les ressources dont vous avez besoin pour travailler, en vous connectant une seule fois avec un seul compte d’utilisateur. Une fois connecté, vous pouvez accéder à toutes les applications dont vous avez besoin sans devoir vous authentifier à nouveau (par exemple, taper un mot de passe).

De nombreuses entreprises s’appuient sur des applications SaaS, comme Microsoft 365, Box et Salesforce, pour accroître la productivité de l’utilisateur. Historiquement, le personnel informatique devait créer et mettre à jour chaque compte d’utilisateur dans chaque application SaaS et les utilisateurs devaient mémoriser un mot de passe pour chaque application SaaS.

Microsoft Entra ID étend les environnements Active Directory locaux dans le cloud, ce qui permet aux utilisateurs d’utiliser leur compte professionnel principal, non seulement pour se connecter à leurs appareils liés au domaine et aux ressources de l’entreprise, mais aussi à toutes les applications SaaS et web nécessaires à leurs travaux.

Non seulement les utilisateurs n’ont plus besoin de gérer plusieurs noms d’utilisateur et mots de passe, mais vous pouvez activer ou désactiver automatiquement l’accès aux applications en fonction des groupes de l’organisation et de leur statut d’employé. Microsoft Entra ID ajoute des contrôles de sécurité et de gouvernance de l’accès qui vous permettent de gérer de manière centralisée l’accès des utilisateurs sur les différentes applications SaaS.

En savoir plus :

• Vue d’ensemble de l’authentification unique
• Vidéo présentant les concepts de base de l’authentification
• Série de guides de démarrage rapide sur la gestion des applications

Proxy inversé

Le proxy d’application Microsoft Entra vous permet de publier des applications telles que des sites SharePoint, Outlook Web App et des applications IIS à l’intérieur de votre réseau privé et offre un accès sécurisé aux utilisateurs à l’extérieur de votre réseau. Le proxy d’application assure l’accès à distance et l’authentification unique (SSO) pour de nombreux types d’applications web locales, avec les milliers d’applications SaaS prises en charge par Microsoft Entra ID. Les employés peuvent se connecter à vos applications depuis leur domicile sur leurs propres appareils et s’authentifier par le biais de ce proxy cloud.

En savoir plus :

• Activer le proxy d’application Microsoft Entra
• Publier des applications à l’aide du proxy d’application Microsoft Entra
• Authentification unique avec le proxy d’application
• Utilisation de l’accès conditionnel

Authentification multifacteur

L’authentification multifacteur Microsoft Entra est une méthode d'authentification qui fait appel à plusieurs méthodes de vérification et ajoute une deuxième couche critique de sécurité aux connexions et transactions des utilisateurs. Elle contribue à sécuriser l’accès aux données et aux applications, tout en proposant un processus d’authentification simple et conforme à la demande des utilisateurs. Cette méthode fournit une authentification forte par le biais de diverses options de vérification : appels téléphoniques, SMS, notifications par application mobile ou codes de vérification et jetons OAuth tiers.

En savoir plus : Fonctionnement de l’authentification multifacteur Microsoft Entra

Azure RBAC

Azure RBAC est un système d’autorisation basé sur Azure Resource Manager qui propose une gestion affinée des accès aux ressources dans Azure. Il vous permet de contrôler de façon granulaire le niveau d’accès dont disposent les utilisateurs. Par exemple, vous pouvez décider d’autoriser un utilisateur à gérer uniquement les réseaux virtuels et un autre utilisateur à gérer toutes les ressources d’un groupe de ressources. Azure inclut plusieurs rôles intégrés que vous pouvez utiliser. Voici les quatre rôles fondamentaux intégrés : Les trois premiers s’appliquent à tous les types de ressources.

• Propriétaire : dispose d’un accès total à toutes les ressources, ainsi que le droit de déléguer l’accès à d’autres personnes.
• Contributeur : peut créer et gérer tous les types de ressource Azure mais ne peut pas octroyer l’accès à d’autres personnes.
• Lecteur : peut consulter les ressources Azure existantes.
• Administrateur de l’accès utilisateur : vous permet de gérer l’accès des utilisateurs aux ressources Azure.

En savoir plus :

• Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (RBAC Azure) ?
• Rôles intégrés Azure

Surveillance de la sécurité, alertes et rapports Machine Learning

Vous pouvez protéger votre entreprise grâce à la surveillance de la sécurité, aux alertes et aux rapports Machine Learning qui identifient les comportements d’accès incohérents. Vous pouvez utiliser les rapports d’accès et d’utilisation Microsoft Entra ID pour obtenir une visibilité complète sur l’intégrité et la sécurité du répertoire de votre société. Grâce à ces informations, un administrateur de répertoire est capable de déterminer plus précisément les risques de sécurité potentiels et donc de les atténuer au maximum.

Dans le portail Azure, les rapports sont classés dans les catégories suivantes :

• Rapports d’anomalies : contiennent des événements de connexion qui peuvent nous sembler anormaux. Notre objectif est de vous faire part de ces activités et de vous permettre de décider si un événement est suspect.
• Rapports d’application intégrée : fournissent des insights sur l’utilisation des applications cloud dans votre organisation. Microsoft Entra ID permet d’intégrer des milliers d'applications du cloud.
• Rapports d’erreurs : indiquent les erreurs qui peuvent survenir quand vous provisionnez des comptes sur des applications externes.
• Rapports spécifiques à l’utilisateur : affichent les données d’activité relatives aux connexions de l’appareil d’un utilisateur spécifique.
• Journaux d’activité : contiennent un enregistrement de tous les événements audités durant les dernières 24 heures, les derniers 7 jours ou les derniers 30 jours, des modifications d’activité de groupes, et des activités d’enregistrement et de réinitialisation de mot de passe.

En savoir plus : Guide sur la génération de rapports Microsoft Entra ID

Gestion des identités et des accès des consommateurs

Azure AD B2C est un service de gestion de l’identité, global et hautement disponible pour les applications destinées aux consommateurs gérant des centaines de millions d’identités. Le service peut être intégré sur l’ensemble des plateformes web et mobiles. Vos consommateurs peuvent se connecter à toutes vos applications par le biais d’expériences personnalisables en utilisant leurs comptes de réseaux sociaux existants ou en créant des comptes avec de nouvelles informations d’identification.

Auparavant, les développeurs d’applications qui souhaitaient inscrire et connecter les clients à leurs applications auraient écrit leur propre code. Et ils auraient utilisé des systèmes ou des bases de données locaux pour stocker les noms d'utilisateur et les mots de passe. Azure AD B2C offre à votre organisation un meilleur moyen d’intégrer la gestion des identités des consommateurs dans vos applications grâce à une plateforme sécurisée reposant sur des normes et à un ensemble complet de stratégies extensibles.

Lorsque vous utilisez Azure AD B2C, vos consommateurs peuvent s’inscrire auprès de vos applications à l’aide de leurs comptes sociaux existants (Facebook, Google, Amazon, LinkedIn) ou en créant des informations d’identification (adresse de messagerie et mot de passe, ou nom d’utilisateur et mot de passe).

En savoir plus :

• Qu’est-ce qu’Azure Active Directory B2C ?
• Azure Active Directory B2C : types d’applications

Enregistrement de l’appareil

L’inscription d’appareils Microsoft Entra constitue la base des scénarios d’accès conditionnel basé sur les appareils. Lors de l’inscription d’un appareil, Microsoft Entra Device Registration fournit une identité à l’appareil, qui sera utilisée pour l’authentifier lors de la connexion d’un utilisateur. L’appareil authentifié et ses attributs peuvent alors être utilisés pour appliquer des stratégies d’accès conditionnel pour les applications qui sont hébergées sur le cloud et localement.

Quand ils sont associés à une solution de gestion des périphériques mobiles comme Intune, les attributs de l’appareil dans Microsoft Entra ID sont mis à jour avec des informations supplémentaires sur l’appareil. Vous pouvez ainsi créer des règles d’accès conditionnel qui imposent que l’accès à partir des appareils réponde à vos critères de sécurité et de conformité.

En savoir plus :

• Démarrage avec l’inscription d’appareils Microsoft Entra
• Inscription automatique d’appareils auprès de Microsoft Entra ID pour les appareils joints à un domaine Windows

Privileged Identity Management

Le service Microsoft Entra Privileged Identity Management vous permet de gérer, de contrôler et de surveiller vos identités privilégiées et l’accès aux ressources dans Microsoft Entra ID et dans d’autres services en ligne Microsoft, tels que Microsoft 365 et Microsoft Intune.

Les utilisateurs doivent parfois effectuer des opérations privilégiées dans des ressources Azure ou Microsoft 365, ou dans d'autres applications SaaS. Cela signifie souvent que les entreprises doivent leur donner un accès privilégié permanent à Microsoft Entra ID. Un tel accès constitue un risque de sécurité croissant pour les ressources hébergées dans le cloud, car les entreprises ne peuvent pas suffisamment surveiller ce que ces utilisateurs font avec leurs privilèges d'administrateur. En outre, si un compte d’utilisateur disposant d’un accès privilégié est compromis, cette seule faille peut affecter la sécurité globale du cloud de l’organisation. Microsoft Entra Privileged Identity Management contribue à minimiser ce risque.

Avec Microsoft Entra Privileged Identity Management, vous pouvez :

• Identifier les utilisateurs qui ont un rôle d’administrateur Microsoft Entra.
• Activer à la demande un accès administrateur « juste à temps » (JIT) aux services Microsoft comme Microsoft 365 et Intune.
• Obtenir des rapports sur l'historique des accès administrateur et sur les modifications apportées aux affectations de l'administrateur.
• Recevoir des alertes sur l'accès à un rôle privilégié.

En savoir plus :

• Qu’est-ce que Microsoft Entra Privileged Identity Management ?
• Attribuer des rôles d’annuaire Microsoft Entra dans PIM

Protection de l’identité

Microsoft Entra ID Protection est un service de sécurité offrant une vue centralisée des détections des risques et des vulnérabilités potentielles qui affectent les identités de votre organisation. Identity Protection tire parti des fonctions de détection d’anomalie Microsoft Entra existantes, disponibles via les rapports d’activités anormales Microsoft Entra. Identity Protection inclut également de nouveaux types de détection des risques capables de détecter les anomalies en temps réel.

En savoir plus : Microsoft Entra ID Protection

Gestion des identités hybrides (Microsoft Entra Connect)

Les solutions d'identité de Microsoft regroupent des fonctionnalités, locales et cloud, de création d'une identité d'utilisateur unique pour l'authentification et l'autorisation d'accès à toutes les ressources, indépendamment de l'emplacement. Nous appelons cette identité « identité hybride ». Microsoft Entra Connect est l'outil Microsoft conçu pour atteindre et atteindre vos objectifs d'identité hybride. Cela vous permet de fournir une identité commune à vos utilisateurs pour les applications Microsoft 365, Azure et SaaS intégrées à Microsoft Entra ID. Elle fournit les fonctionnalités suivantes :

• Synchronization
• Intégration AD FS et de fédération
• Authentification directe
• Surveillance de l’intégrité

En savoir plus :

• Livre blanc sur les identités hybrides
• Microsoft Entra ID

Révision d’accès à Microsoft Entra

Les révisions d’accès de Microsoft Entra permettent aux organisations de gérer efficacement les appartenances à des groupes, les accès aux applications d’entreprise et les attributions de rôles privilégiés.

En savoir plus : Révisions d’accès Microsoft Entra