Planifier un déploiement d’Identity Protection

Microsoft Entra ID Protection détecte les risques liés à l’identité et les signale, tout en permettant aux administrateurs d’examiner et de corriger ces risques pour assurer la sécurité des organisations. Les risques peuvent également être transmis à des outils tels que l’Accès conditionnel pour prendre des décisions en matière d’accès, ou renvoyés à un outil SIEM (Security Information and Event Management) pour un examen plus approfondi.

Ce plan de déploiement approfondit des concepts introduits dans le plan de déploiement de l’accès conditionnel.

Prérequis

• Un locataire Microsoft Entra fonctionnel avec Microsoft Entra ID P2 ou des licences d'essai activées. Si nécessaire, créez-en un gratuitement.
  • Microsoft Entra ID P2 est nécessaire pour inclure le risque Identity Protection dans les stratégies d’accès conditionnel.
• Les administrateurs interagissant avec Identity Protection doivent avoir une ou plusieurs des attributions de rôles suivantes en fonction des tâches effectuées. Pour suivre la Confiance nulle du principe du privilège minimum, songez à utiliser Privileged Identity Management (PIM) pour activer juste-à-temps les attributions de rôles privilégiés.
  • Prendre connaissance des stratégies et configurations d’Identity Protection et d’accès conditionnel
    • Lecteur de sécurité
    • Lecteur général
  • Gérer Identity Protection
    • Opérateur de sécurité
    • Administrateur de la sécurité
  • Créer ou modifier des stratégies d’accès conditionnel
    • Administrateur de l’accès conditionnel
    • Administrateur de la sécurité
• Un utilisateur test (non-administrateur) qui vous permet de vérifier que les stratégies fonctionnent comme prévu avant le déploiement vers des utilisateurs réels. Si vous devez créer un utilisateur, consultez Démarrage rapide : ajouter de nouveaux utilisateurs à Microsoft Entra ID.
• Un groupe dont l’utilisateur non-administrateur est membre. Si vous devez créer un groupe, consultez Créer un groupe et ajouter des membres dans Microsoft Entra ID.

Impliquer les parties prenantes appropriées

Lorsque des projets technologiques échouent, cela est souvent dû à des attentes qui ne correspondent pas à l’effet, aux résultats et aux responsabilités. Pour éviter ces pièges, songez à impliquer les parties prenantes appropriées et à ce qu’elles comprennent bien leurs rôles dans le projet. Pour ce faire, dressez une liste de leurs contributions et de leurs responsabilités.

Communication des modifications

La communication est essentielle à la réussite de toute nouvelle fonctionnalité. Vous devez communiquer de manière proactive avec vos utilisateurs sur ce qui va changer dans leur expérience, à quel moment les changements seront appliqués et comment ils peuvent obtenir de l’aide en cas de problème.

Étape 1 : Examiner les rapports existants

Il est important d’examiner les rapports Identity Protection avant de déployer des stratégies d’accès conditionnel basées sur les risques. Cette évaluation donne l’occasion d’examiner les comportements suspects existants que vous avez peut-être manqués et d’ignorer ou de confirmer que ces utilisateurs sont sûrs, si vous avez déterminé qu’ils ne courent aucun risque.

• Examiner les détections de risques
• Corriger les risques et débloquer les utilisateurs
• Apporter des modifications en bloc au moyen de Microsoft Graph PowerShell

Pour plus d’efficacité, nous vous recommandons de permettre aux utilisateurs de corriger eux-mêmes les risques par le biais de stratégies décrites à l’étape 3.

Étape 2 : Planifier les stratégies de risque pour l’accès conditionnel

Identity Protection envoie des signaux de risque à l’accès conditionnel, pour permettre de prendre des décisions et appliquer des stratégies organisationnelles telles que la nécessité d’une authentification multifacteur ou d’un changement de mot de passe. Les organisations doivent planifier plusieurs éléments avant la création de leurs stratégies.

Exclusions de stratégie

Les stratégies d’accès conditionnel sont des outils puissants. Nous vous recommandons donc d’exclure les comptes suivants de vos stratégies :

• Comptes d’accès d’urgence ou de secours pour empêcher le verrouillage du compte sur l’ensemble du locataire. Dans le scénario improbable où tous les administrateurs seraient verrouillés hors de votre locataire, votre compte administratif d’accès d’urgence peut être utilisé pour vous connecter au locataire et prendre les mesures nécessaires pour récupérer l’accès.
  • Pour obtenir plus d’informations, consultez l’article Gérer les comptes d’accès d’urgence dans Microsoft Entra ID.
• Comptes de service et principaux de service, tels que le compte de synchronisation Microsoft Entra Connect. Les comptes de service sont des comptes non interactifs qui ne sont liés à aucun utilisateur particulier. Ils sont généralement utilisés par des services back-end autorisant l’accès par programmation aux applications, mais ils le sont également pour se connecter aux systèmes à des fins administratives. Les comptes de service comme ceux-ci doivent être exclus, car l’authentification MFA ne peut pas être effectuée par programme. Les appels effectués par les principaux de service ne seront pas bloqués par les stratégies d’accès conditionnel destinées aux utilisateurs. Utilisez l’accès conditionnel des identités de charge de travail pour élaborer des stratégies ciblant les principaux de service.
  • Si votre organisation utilise ces comptes dans des scripts ou du code, envisagez de les remplacer par des identités managées. Pour contourner provisoirement le problème, vous pouvez exclure ces comptes spécifiques de la stratégie de base.

Authentification multifacteur

Toutefois, pour que les utilisateurs puissent corriger eux-mêmes les risques, ils doivent s’inscrire à l’authentification multifacteur Microsoft Entra avant de courir des risques. Pour plus d’informations, consultez l’article Planifier un déploiement authentification multifacteur Microsoft Entra.

Emplacements réseau connus

La configuration des emplacements nommés dans l’accès conditionnel est importante, tout comme l’ajout de vos plages VPN à Defender for Cloud Apps. Les connexions depuis des emplacements nommés, marqués comme approuvés ou connus, améliorent la précision des calculs de risques de Microsoft Entra ID Protection. Ces connexions réduisent le risque pour un utilisateur lorsqu’il s’authentifie depuis un emplacement marqué comme approuvé ou connu. Cette pratique diminue les faux positifs pour certaines détections dans votre environnement.

Mode rapport seul

Le Mode rapport seul est un état de la stratégie d’accès conditionnel qui permet aux administrateurs d’évaluer l’effet des stratégies d’accès conditionnel avant de les appliquer dans leur environnement.

Étape 3 : Configurez vos stratégies

Stratégie d’inscription de l’authentification multifacteur pour la protection des identités

Utilisez la stratégie d’inscription à l’authentification multifacteur Identity Protection pour aider vos utilisateurs à s’inscrire à l’authentification multifacteur Microsoft Entra avant d’avoir besoin de s’en servir. Suivez les étapes de l’article Guide pratique pour configurer la stratégie d’inscription à l’authentification multifacteur Microsoft Entra pour activer cette stratégie.

Stratégies d’accès conditionnel

Risque lié à la connexion : La plupart des utilisateurs ont un comportement normal pouvant être suivi. Lorsqu’ils ne respectent pas cette norme, il peut être risqué de les autoriser à simplement se connecter. Vous pouvez bloquer ces utilisateurs ou simplement leur demander d’effectuer une authentification multifacteur pour prouver qu’ils sont bien ceux qu’ils prétendent être. Vous pouvez commencer par étendre ces stratégies uniquement aux administrateurs.

Risque pour l'utilisateur : Microsoft travaille avec des chercheurs, les forces de l’ordre, les différentes équipes de sécurité de Microsoft et d’autres sources approuvées pour rechercher les paires nom d’utilisateur/mot de passe divulguées. Lorsque ces utilisateurs vulnérables sont identifiés, nous vous recommandons de leur demander d’activer l’authentification multifacteur, puis de réinitialiser leur mot de passe.

L’article Configurer et activer des stratégies à risque fournit des conseils pour la création de stratégies d’accès conditionnel pour résoudre ces risques.

Étape 4 : Surveillance et besoins opérationnels continus

Notifications par e-mail

Activez les notifications pour pouvoir répondre lorsqu’un utilisateur est marqué comme étant à risque et commencer à enquêter immédiatement. Vous pouvez également configurer des e-mails de synthèse hebdomadaires pour vous donner une vue d’ensemble des risques de la semaine.

Surveiller et enquêter

Le classeur Identity Protection vous permet de surveiller et de rechercher des modèles dans votre locataire. Surveillez ce classeur à la recherche de tendances et également des résultats du mode Rapport uniquement de l’accès conditionnel pour voir si des modifications doivent être apportées, comme les ajouts aux emplacements nommés.

Microsoft Defender for Cloud Apps fournit une infrastructure d’investigation que les organisations peuvent utiliser comme point de départ. Pour plus d’informations, lire l’article Guide pratique pour enquêter sur les alertes de détection d’anomalie.

Vous pouvez également utiliser les API Identity Protection pour exporter des informations sur les risques vers d’autres outils, pour permettre à votre équipe de sécurité de surveiller et d’alerter sur les événements à risque.

Pendant le test, vous souhaitez peut-être simuler certaines menaces pour tester vos processus d’investigation.

Étapes suivantes

Qu’est-ce que le risque ?