Meilleures pratiques en matière de sécurité du contrôle d’accès et de la gestion des identités AzureAzure Identity Management and access control security best practices

Dans cet article, nous étudions une collection de bonnes pratiques en matière de sécurité du contrôle d’accès et de la gestion des identités Azure.In this article, we discuss a collection of Azure identity management and access control security best practices. Ces meilleures pratiques sont issues de notre expérience avec Azure AD, mais également de celle des clients, comme vous.These best practices are derived from our experience with Azure AD and the experiences of customers like yourself.

Pour chaque bonne pratique, nous détaillons les éléments suivants :For each best practice, we explain:

  • Nature de la bonne pratiqueWhat the best practice is
  • Raison pour laquelle activer cette bonne pratiqueWhy you want to enable that best practice
  • Conséquence possible en cas de non-utilisation de la bonne pratiqueWhat might be the result if you fail to enable the best practice
  • Alternatives possibles à la meilleure pratiquePossible alternatives to the best practice
  • Comment apprendre à utiliser la bonne pratiqueHow you can learn to enable the best practice

Cet article repose sur un consensus, ainsi que sur les fonctionnalités et ensembles de fonctions de la plateforme Azure disponibles lors de l’écriture.This Azure identity management and access control security best practices article is based on a consensus opinion and Azure platform capabilities and feature sets, as they exist at the time this article was written.

Cet article a pour objectif de fournir une feuille de route générale dans une démarche de sécurité renforcée après le déploiement, à l’aide de notre liste de contrôle « Cinq étapes pour sécuriser votre infrastructure d’identité », qui vous guide tout au long de nos principaux services et fonctionnalités.The intention in writing this article is to provide a general roadmap to a more robust security posture after deployment guided by our “5 steps to securing your identity infrastructure” checklist, which walks you through some of our core features and services.

Les opinions et avis évoluent au fil du temps ; cet article sera régulièrement mis à jour de manière à tenir compte de ces changements.Opinions and technologies change over time and this article will be updated on a regular basis to reflect those changes.

Dans cet article, nous allons étudier les points suivants :Azure identity management and access control security best practices discussed in this article include:

  • Traiter l’identité en tant que périmètre de sécurité principalTreat identity as the primary security perimeter
  • La centralisation de la gestion des identitésCentralize identity management
  • Gérer les locataires connectésManage connected tenants
  • Activer l’authentification uniqueEnable single sign-on
  • Activer l’accès conditionnelTurn on Conditional Access
  • Planifier les améliorations de la sécurité de routinePlan for routine security improvements
  • Activer la gestion des mots de passeEnable password management
  • Appliquer la vérification multifacteur pour les utilisateursEnforce multi-factor verification for users
  • Utiliser le contrôle d’accès en fonction du rôleUse role-based access control
  • Exposition réduite des comptes privilégiésLower exposure of privileged accounts
  • Contrôle des emplacements où se trouvent les ressourcesControl locations where resources are located
  • Utiliser Azure AD pour l’authentification du stockageUse Azure AD for storage authentication

Traiter l’identité en tant que périmètre de sécurité principalTreat identity as the primary security perimeter

Beaucoup de gens considèrent l’identité comme le périmètre principal pour la sécurité.Many consider identity to be the primary perimeter for security. Il s’agit d’un changement par rapport à l’objectif traditionnel sur la sécurité réseau.This is a shift from the traditional focus on network security. Les périmètres de réseau continuent d’être plus poreux et la défense du périmètre ne peut plus être aussi efficace qu’avant l’explosion des appareils BYOD et des applications cloud.Network perimeters keep getting more porous, and that perimeter defense can’t be as effective as it was before the explosion of BYOD devices and cloud applications.

Azure Active Directory (Azure AD) est la solution Azure pour la gestion des identités et des accès.Azure Active Directory (Azure AD) is the Azure solution for identity and access management. Azure AD est un service multilocataire basé sur le cloud pour la gestion des identités et des annuaires par Microsoft.Azure AD is a multitenant, cloud-based directory and identity management service from Microsoft. Il associe des services d’annuaires principaux, la gestion de l’accès aux applications et la protection des identités dans une même solution.It combines core directory services, application access management, and identity protection into a single solution.

Les sections suivantes répertorient les meilleures pratiques pour la sécurité des identités et des accès à l’aide d’Azure AD.The following sections list best practices for identity and access security using Azure AD.

Bonne pratique : Centrez les contrôles et les détections de sécurité autour des identités d’utilisateur et de service.Best practice: Center security controls and detections around user and service identities. Détail : Utilisez Azure AD pour colocaliser des contrôles et des identités.Detail: Use Azure AD to collocate controls and identities.

La centralisation de la gestion des identitésCentralize identity management

Dans un scénario d’identité hybride, nous vous recommandons d’intégrer vos répertoires cloud et locaux.In a hybrid identity scenario we recommend that you integrate your on-premises and cloud directories. L’intégration permet à votre équipe informatique de gérer des comptes depuis un emplacement, quel que soit l’endroit où un compte est créé.Integration enables your IT team to manage accounts from one location, regardless of where an account is created. L’intégration améliore également la productivité de vos utilisateurs en leur fournissant une identité commune pour accéder aux ressources cloud et locales.Integration also helps your users be more productive by providing a common identity for accessing both cloud and on-premises resources.

Bonne pratique : Établir une instance Azure AD unique.Best practice: Establish a single Azure AD instance. La cohérence et une source d’autorité unique offrent plus de clarté et réduisent les risques de sécurité résultant d’erreurs humaines et de la complexité de la configuration.Consistency and a single authoritative sources will increase clarity and reduce security risks from human errors and configuration complexity. Détail : Désignez un annuaire Azure AD unique comme source d’autorité pour les comptes professionnels.Detail: Designate a single Azure AD directory as the authoritative source for corporate and organizational accounts.

Bonne pratique : Intégrez vos répertoires locaux à Azure AD.Best practice: Integrate your on-premises directories with Azure AD.
Détail : Utilisez Azure AD Connect pour synchroniser votre annuaire local avec votre annuaire cloud.Detail: Use Azure AD Connect to synchronize your on-premises directory with your cloud directory.

Notes

Certains facteurs impactent les performances d’Azure AD Connect.There are factors that affect the performance of Azure AD Connect. Assurez-vous qu'Azure AD Connect a une capacité suffisante pour empêcher des systèmes peu performants de perturber la sécurité et la productivité.Ensure Azure AD Connect has enough capacity to keep underperforming systems from impeding security and productivity. Les organisations complexes ou de grande taille (celles devant provisionner plus de 100 000 objets) devraient suivre les recommandations pour optimiser leur implémentation d’Azure AD Connect.Large or complex organizations (organizations provisioning more than 100,000 objects) should follow the recommendations to optimize their Azure AD Connect implementation.

Bonne pratique : Ne synchronisez pas de comptes qui ont des privilèges élevés dans votre instance Active Directory existante vers Azure AD.Best practice: Don’t synchronize accounts to Azure AD that have high privileges in your existing Active Directory instance. Détail : Ne modifiez pas la valeur par défaut Configuration Azure AD Connect qui exclut ces comptes.Detail: Don’t change the default Azure AD Connect configuration that filters out these accounts. Cette configuration réduit le risque de passage contradictoire dans le cloud de ressources locales (ceci pouvant être à l’origine d’un incident majeur).This configuration mitigates the risk of adversaries pivoting from cloud to on-premises assets (which could create a major incident).

Bonne pratique : Activez la synchronisation de hachage de mot de passe.Best practice: Turn on password hash synchronization.
Détail : La synchronisation de hachage de mot de passe est une fonctionnalité permettant de synchroniser des code de hachage des mots de passe utilisateur entre une instance Active Directory locale et une instance cloud Azure AD.Detail: Password hash synchronization is a feature used to synch user password hashes from an on-premises Active Directory instance to a cloud-based Azure AD instance. Cette synchronisation contribue à empêcher la relecture d’informations d’identification ayant fait l’objet de fuites lors d’attaques précédentes.This sync helps to protect against leaked credentials being replayed from previous attacks.

Même si vous décidez d’utiliser la fédération avec Active Directory Federation Services (AD FS) ou d’autres fournisseurs d’identité, vous pouvez éventuellement configurer la synchronisation de hachage de mot de passe en tant que sauvegarde au cas où vos serveurs locaux connaîtraient une défaillance ou deviendraient temporairement non disponibles.Even if you decide to use federation with Active Directory Federation Services (AD FS) or other identity providers, you can optionally set up password hash synchronization as a backup in case your on-premises servers fail or become temporarily unavailable. Cette synchronisation permet aux utilisateurs de se connecter au service à l’aide du mot de passe qu’ils utilisent pour se connecter à leur instance Active Directory locale.This sync enables users to sign in to the service by using the same password that they use to sign in to their on-premises Active Directory instance. Cela permet également à la protection d’identité de détecter les informations d’identification compromises en comparant des codes de hachage de mot de passe synchronisés avec des mots de passe connus pour être compromis, si un utilisateur a utilisé les mêmes adresse de messagerie et mot de passe sur d’autres services qui ne sont pas connectés à Azure AD.It also allows Identity Protection to detect compromised credentials by comparing synchronized password hashes with passwords known to be compromised, if a user has used the same email address and password on other services that aren't connected to Azure AD.

Pour plus d’informations, consultez Implémenter la synchronisation de hachage du mot de passe avec la synchronisation Azure AD Connect.For more information, see Implement password hash synchronization with Azure AD Connect sync.

Bonne pratique : Pour développer une nouvelle application, utilisez Azure AD pour l’authentification.Best practice: For new application development, use Azure AD for authentication. Détail : Utilisez les fonctionnalités appropriées pour prendre en charge l’authentification :Detail: Use the correct capabilities to support authentication:

  • Azure AD pour les employésAzure AD for employees
  • Azure AD B2B pour les utilisateurs invités et les partenaires externesAzure AD B2B for guest users and external partners
  • Azure AD B2C pour contrôler la façon dont les clients s’inscrivent, se connectent et gèrent leurs profils lorsqu’ils utilisent vos applicationsAzure AD B2C to control how customers sign up, sign in, and manage their profiles when they use your applications

Les organisations qui n’intègrent pas leur identité locale avec leur identité cloud peuvent avoir une charge plus importante dans la gestion des comptes.Organizations that don’t integrate their on-premises identity with their cloud identity can have more overhead in managing accounts. Cette surcharge augmente la probabilité d’erreurs et de failles de sécurité.This overhead increases the likelihood of mistakes and security breaches.

Notes

Vous devez choisir dans quels répertoires les comptes critiques résideront, et si la station de travail d’administrateur utilisée sera gérée par de nouveaux service cloud ou par des processus existants.You need to choose which directories critical accounts will reside in and whether the admin workstation used is managed by new cloud services or existing processes. L’utilisation de processus d’administration et d’approvisionnement d’identités existants peut réduire certains risques, mais également présenter un risque de compromission d’un compte local par un attaquant et de passage dans le cloud.Using existing management and identity provisioning processes can decrease some risks but can also create the risk of an attacker compromising an on-premises account and pivoting to the cloud. Vous souhaiterez peut-être utiliser une stratégie différente pour différents rôles (par exemple, administrateur IT vs administrateur d’unité).You might want to use a different strategy for different roles (for example, IT admins vs. business unit admins). Vous avez le choix entre deux options.You have two options. La première option consiste à créer des comptes Azure AD qui ne sont pas synchronisées avec votre instance Active Directory locale.First option is to create Azure AD Accounts that aren’t synchronized with your on-premises Active Directory instance. Reliez votre station de travail d’administrateur à Azure AD. L’administration et l’application de correctifs sont possibles avec Microsoft Intune.Join your admin workstation to Azure AD, which you can manage and patch by using Microsoft Intune. La seconde option consiste à utiliser des comptes d’administrateur existants en synchronisant avec votre instance Active Directory locale.Second option is to use existing admin accounts by synchronizing to your on-premises Active Directory instance. Utilisez des stations de travail existantes dans votre domaine Active Directory pour l’administration et la sécurité.Use existing workstations in your Active Directory domain for management and security.

Gérer les locataires connectésManage connected tenants

Votre organisation de sécurité a besoin de visibilité pour évaluer les risques et déterminer si les stratégies de votre organisation et les exigences réglementaires sont respectées.Your security organization needs visibility to assess risk and to determine whether the policies of your organization, and any regulatory requirements, are being followed. Vous devez vous assurer que votre organisation de sécurité a une visibilité de tous les abonnements connectés à votre environnement de production et à votre réseau (via Azure ExpressRoute ou VPN site à site).You should ensure that your security organization has visibility into all subscriptions connected to your production environment and network (via Azure ExpressRoute or site-to-site VPN). Un Administrateur général/Administrateur de société dans Azure AD peuvent élever leurs privilèges d’accès au rôle d’Administrateur d’accès utilisateur et voir tous les abonnements et groupes managés connectés à votre environnement.A Global Administrator/Company Administrator in Azure AD can elevate their access to the User Access Administrator role and see all subscriptions and managed groups connected to your environment.

Voir Élever les privilèges d’accès pour gérer tous les abonnements et groupes d’administration Azure pour vous assurer que vous et votre groupe de sécurité pouvez afficher tous les abonnements ou groupes d’administration connectés à votre environnement.See elevate access to manage all Azure subscriptions and management groups to ensure that you and your security group can view all subscriptions or management groups connected to your environment. Vous devez supprimer ces privilèges d’accès élevés une fois que vous avez évalué les risques.You should remove this elevated access after you’ve assessed risks.

Activer l’authentification uniqueEnable single sign-on

Dans un monde où mobilité et cloud occupent le premier plan, vous souhaitez activer l’authentification unique (SSO) sur tous les appareils, les applications et les services afin que vos utilisateurs soient être productifs où qu’ils soient et à tout moment.In a mobile-first, cloud-first world, you want to enable single sign-on (SSO) to devices, apps, and services from anywhere so your users can be productive wherever and whenever. La gestion de plusieurs solutions d’identité pose un problème d’administration, non seulement pour l’informatique, mais également pour les utilisateurs qui auront à mémoriser plusieurs mots de passe.When you have multiple identity solutions to manage, this becomes an administrative problem not only for IT but also for users who have to remember multiple passwords.

En utilisant la même solution d’identité pour toutes vos applications et vos ressources, vous pouvez obtenir une authentification unique.By using the same identity solution for all your apps and resources, you can achieve SSO. Vos utilisateurs peuvent utiliser le même jeu d’informations d’identification pour s’authentifier et accéder aux ressources dont ils ont besoin, qu’elles soient situées en local ou dans le cloud.And your users can use the same set of credentials to sign in and access the resources that they need, whether the resources are located on-premises or in the cloud.

Bonne pratique : Activez l’authentification unique.Best practice: Enable SSO.
Détail : Azure AD étend les versions locales d’Active Directory sur le cloud.Detail: Azure AD extends on-premises Active Directory to the cloud. Les utilisateurs peuvent utiliser leur compte professionnel ou scolaire principal pour leurs appareils joints au domaine, les ressources de l’entreprise et toutes les applications web et SaaS dont ils ont besoin pour accomplir leur travail.Users can use their primary work or school account for their domain-joined devices, company resources, and all of the web and SaaS applications that they need to get their jobs done. Les utilisateurs n’ont plus besoin de gérer plusieurs combinaisons de nom d’utilisateur et mot de passe et l’accès aux applications peut être automatiquement mis en service (ou au contraire retiré) en fonction de leur appartenance aux groupes de l’entreprise et de leur statut en tant qu’employé.Users don’t have to remember multiple sets of usernames and passwords, and their application access can be automatically provisioned (or deprovisioned) based on their organization group memberships and their status as an employee. Vous pouvez en outre contrôler l’accès aux applications de la galerie ou aux applications en local que vous avez développées et publiées via le proxy d’application Azure AD.And you can control that access for gallery apps or for your own on-premises apps that you’ve developed and published through the Azure AD Application Proxy.

L’authentification unique permet aux utilisateurs d’accéder à leurs applications SaaS avec leur compte professionnel ou scolaire dans Azure AD.Use SSO to enable users to access their SaaS applications based on their work or school account in Azure AD. Ceci s’applique non seulement aux applications SaaS de Microsoft, mais également à d’autres applications, telles que Google Apps et Salesforce.This is applicable not only for Microsoft SaaS apps, but also other apps, such as Google Apps and Salesforce. Vous pouvez configurer votre application pour utiliser Azure AD comme fournisseur d’identité SAML.You can configure your application to use Azure AD as a SAML-based identity provider. Pour contrôler la sécurité, Azure AD n’émet pas de jetons permettant aux utilisateurs de se connecter à l’application avant que l’accès n’ait été octroyé par Azure AD.As a security control, Azure AD does not issue a token that allows users to sign in to the application unless they have been granted access through Azure AD. Les utilisateurs peuvent accorder un accès direct ou via un groupe dont ils sont membres.You can grant access directly, or through a group that users are a member of.

Les organisations qui ne créent pas une identité commune pour établir l’authentification unique pour leurs utilisateurs et les applications sont davantage exposées à des scénarios où les utilisateurs disposent de plusieurs mots de passe.Organizations that don’t create a common identity to establish SSO for their users and applications are more exposed to scenarios where users have multiple passwords. Ces scénarios augmentent les chances qu’ils réutilisent des mots de passe ou qu’ils choisissent des mots de passe faibles.These scenarios increase the likelihood of users reusing passwords or using weak passwords.

Activer l’accès conditionnelTurn on Conditional Access

Les utilisateurs peuvent accéder aux ressources de votre organisation en utilisant différents appareils et applications, n’importe où.Users can access your organization's resources by using a variety of devices and apps from anywhere. En tant qu’administrateur, vous souhaitez vous assurer que ces appareils répondent à vos normes de sécurité et de conformité.As an IT admin, you want to make sure that these devices meet your standards for security and compliance. Contrôler les personnes autorisées à accéder à une ressource ne suffit plus.Just focusing on who can access a resource is not sufficient anymore.

Afin d’équilibrer la sécurité et la productivité, vous devez aussi tenir compte des moyens d’accéder à une ressource avant de pouvoir prendre une décision relative au contrôle d’accès.To balance security and productivity, you need to think about how a resource is accessed before you can make a decision about access control. L’accès conditionnel Azure AD vous permet de satisfaire cette exigence.With Azure AD Conditional Access, you can address this requirement. Avec l’accès conditionnel, vous pouvez prendre des décisions de contrôle d’accès automatisées basées sur les conditions d’accès à vos applications cloud.With Conditional Access, you can make automated access control decisions based on conditions for accessing your cloud apps.

Bonne pratique : Gérez et contrôlez l’accès aux ressources de l’entreprise.Best practice: Manage and control access to corporate resources.
Détail : Configurez des stratégies courantes d’accès conditionnel Azure AD en fonction du groupe, de l’emplacement et du niveau de confidentialité des applications SaaS et de celles connectées à Azure AD.Detail: Configure common Azure AD Conditional Access policies based on a group, location, and application sensitivity for SaaS apps and Azure AD–connected apps.

Bonne pratique : Bloquez les protocoles d’authentification hérités.Best practice: Block legacy authentication protocols. Détail : Les attaquants exploitent chaque jour les failles de protocoles plus anciens, en concernant les attaques par pulvérisations de mots de passe.Detail: Attackers exploit weaknesses in older protocols every day, particularly for password spray attacks. Configurez l’accès conditionnel pour bloquer les protocoles hérités.Configure Conditional Access to block legacy protocols.

Planifier les améliorations de la sécurité de routinePlan for routine security improvements

La sécurité est en constante évolution, et il est important d’intégrer à votre infrastructure de gestion du cloud et des identités un moyen de montrer régulièrement la croissance et de découvrir de nouvelles façons de sécuriser votre environnement.Security is always evolving, and it is important to build into your cloud and identity management framework a way to regularly show growth and discover new ways to secure your environment.

Identity Secure Score est un ensemble de contrôles de sécurité recommandés que Microsoft publie et qui vise à vous fournir un score numérique pour mesurer objectivement votre posture de sécurité et vous aider à planifier les futures améliorations de sécurité.Identity Secure Score is a set of recommended security controls that Microsoft publishes that works to provide you a numerical score to objectively measure your security posture and help plan future security improvements. Vous pouvez également consulter votre score par rapport à celui d’autres secteurs d’activité ainsi que vos propres tendances au fil du temps.You can also view your score in comparison to those in other industries as well as your own trends over time.

Bonne pratique : Planifiez des révisions et des améliorations de sécurité de routine basées sur les bonnes pratiques de votre secteur d’activité.Best practice: Plan routine security reviews and improvements based on best practices in your industry. Détail : Utilisez la fonctionnalité Score d’identité sécurisée pour classer vos améliorations dans le temps.Detail: Use the Identity Secure Score feature to rank your improvements over time.

Activer la gestion des mots de passeEnable password management

Si vous avez plusieurs locataires ou si vous voulez permettre aux utilisateurs de réinitialiser leurs mots de passe, il est important d’utiliser des stratégies de sécurité appropriées afin d’éviter les abus.If you have multiple tenants or you want to enable users to reset their own passwords, it’s important that you use appropriate security policies to prevent abuse.

Bonne pratique : Configurez la réinitialisation de mot de passe en libre-service pour vos utilisateurs.Best practice: Set up self-service password reset (SSPR) for your users.
Détail : Utilisez la fonctionnalité de réinitialisation de mot de passe en libre-service d’Azure AD.Detail: Use the Azure AD self-service password reset feature.

Bonne pratique : Effectuez un monitoring de l’utilisation réelle de la réinitialisation de mot de passe en libre-service.Best practice: Monitor how or if SSPR is really being used.
Détail : Effectuez un monitoring des utilisateurs qui s’inscrivent avec le Rapport d’activité d’inscription à la réinitialisation de mot de passe Azure AD.Detail: Monitor the users who are registering by using the Azure AD Password Reset Registration Activity report. La fonctionnalité de création de rapports fournie par Azure AD vous aide à répondre aux questions à l’aide de rapports prédéfinis.The reporting feature that Azure AD provides helps you answer questions by using prebuilt reports. Si vous disposez d’une licence appropriée, vous pouvez également créer des requêtes personnalisées.If you're appropriately licensed, you can also create custom queries.

Bonne pratique : Étendez des stratégies de mot de passe basé sur le cloud à votre infrastructure locale.Best practice: Extend cloud-based password policies to your on-premises infrastructure. Détail : Améliorez les stratégies de mot de passe de votre organisation en effectuant les mêmes vérifications pour les modifications de mots de passe en local, que celles que vous feriez pour les modifications de mots de passe basés sur le cloud.Detail: Enhance password policies in your organization by performing the same checks for on-premises password changes as you do for cloud-based password changes. Installez la protection de mot de passe Azure AD pour les agents Windows Server Active Directory en local afin d’étendre de listes de mots de passe interdits à votre infrastructure existante.Install Azure AD password protection for Windows Server Active Directory agents on-premises to extend banned password lists to your existing infrastructure. Les utilisateurs et les administrateurs qui modifient, définissent ou réinitialisent des mots de passe localement doivent se conformer à la même stratégie de mot de passe que les utilisateurs cloud uniquement.Users and admins who change, set, or reset passwords on-premises are required to comply with the same password policy as cloud-only users.

Appliquer la vérification multifacteur pour les utilisateursEnforce multi-factor verification for users

Nous vous recommandons d’exiger une vérification en deux étapes pour tous vos utilisateurs.We recommend that you require two-step verification for all of your users. Cela inclut les administrateurs et les autres membres de votre organisation (par exemple, les responsables financiers) dont la compromission de leur compte pourrait avoir un impact significatif si leur compte est compromis.This includes administrators and others in your organization who can have a significant impact if their account is compromised (for example, financial officers).

Il existe plusieurs options pour exiger une vérification en deux étapes.There are multiple options for requiring two-step verification. La meilleure option pour vous dépend de vos objectifs, de l’édition d’Azure AD utilisée et de votre programme de licence.The best option for you depends on your goals, the Azure AD edition you’re running, and your licensing program. Consultez Comment exiger la vérification en deux étapes pour un utilisateur pour déterminer la meilleure option pour vous.See How to require two-step verification for a user to determine the best option for you. Consultez les pages de tarification Azure AD et Authentification multifacteur Azure pour plus d’informations concernant les licences et la tarification.See the Azure AD and Azure Multi-Factor Authentication pricing pages for more information about licenses and pricing.

Voici les options et les avantages de la vérification en deux étapes :Following are options and benefits for enabling two-step verification:

Option 1 : Activez l’authentification multifacteur pour tous les utilisateurs et les méthodes de connexion avec l’avantage offert par les paramètres de sécurité par défaut d’Azure AD : Cette option vous permet d’intégrer aisément et rapidement Azure MFA pour tous les utilisateurs de votre environnement à une stratégie rigoureuse :Option 1: Enable MFA for all users and login methods with Azure AD Security Defaults Benefit: This option enables you to easily and quickly enforce MFA for all users in your environment with a stringent policy to:

  • Contester les comptes d’administration et les mécanismes d’ouverture de session d’administrationChallenge administrative accounts and administrative logon mechanisms
  • Exiger une stimulation MFA via Microsoft Authenticator pour tous les utilisateursRequire MFA challenge via Microsoft Authenticator for all users
  • Restreindre les protocoles d’authentification hérités.Restrict legacy authentication protocols.

Cette méthode est disponible pour tous les niveaux de licence, mais elle ne peut pas être combinée à des stratégies d’accès conditionnel existantes.This method is available to all licensing tiers but is not able to be mixed with existing Conditional Access policies. Vous trouverez plus d’informations dans la section Valeurs par défaut de la sécurité Azure ADYou can find more information in Azure AD Security Defaults

Option 2 : Activez Multi-Factor Authentication en modifiant l’état de l’utilisateur.Option 2: Enable Multi-Factor Authentication by changing user state.
Avantage : C’est la méthode traditionnelle pour exiger une vérification en deux étapes.Benefit: This is the traditional method for requiring two-step verification. Elle fonctionne avec l’authentification multifacteur Azure dans le cloud et le serveur Multi-Factor Authentication Azure.It works with both Azure Multi-Factor Authentication in the cloud and Azure Multi-Factor Authentication Server. Cette méthode nécessite que les utilisateurs effectuent la vérification en deux étapes chaque fois qu’ils se connectent, puis remplace les stratégies d’accès conditionnel.Using this method requires users to perform two-step verification every time they sign in and overrides Conditional Access policies.

Pour déterminer où Multi-Factor Authentication doit être activé, consultez Quelle version d’Azure MFA est adaptée à mon organisation ?.To determine where Multi-Factor Authentication needs to be enabled, see Which version of Azure MFA is right for my organization?.

Option 3 : Activez Multi-Factor Authentication avec stratégie d’accès conditionnel.Option 3: Enable Multi-Factor Authentication with Conditional Access policy. Avantage : Cette option permet de demander une vérification en deux étapes sous certaines conditions à l’aide de l’accès conditionnel.Benefit: This option allows you to prompt for two-step verification under specific conditions by using Conditional Access. Les conditions spécifiques peuvent être une connexion de l’utilisateur à partir d’emplacements différents, d’appareils non approuvés ou d’applications que vous considérez comme risquées.Specific conditions can be user sign-in from different locations, untrusted devices, or applications that you consider risky. Le fait de définir des conditions spécifiques pour une vérification en deux étapes vous permet d’éviter de la demander continuellement à vos utilisateurs, ce qui peut être désagréable.Defining specific conditions where you require two-step verification enables you to avoid constant prompting for your users, which can be an unpleasant user experience.

Il s’agit de la méthode la plus souple pour activer la vérification en deux étapes pour vos utilisateurs.This is the most flexible way to enable two-step verification for your users. Activer une stratégie d’accès conditionnel fonctionne uniquement pour l’authentification multifacteur Azure dans le cloud, et c’est une fonctionnalité payante d’Azure AD.Enabling a Conditional Access policy works only for Azure Multi-Factor Authentication in the cloud and is a premium feature of Azure AD. Vous pouvez trouver plus d’informations sur cette méthode dans Déployer une authentification multifacteur Azure basée sur le cloud.You can find more information on this method in Deploy cloud-based Azure Multi-Factor Authentication.

Option 4 : Activez Multi-Factor Authentication avec des stratégies d’accès conditionnel en évaluant des stratégies d’accès conditionnel en fonction des risques.Option 4: Enable Multi-Factor Authentication with Conditional Access policies by evaluating Risk-based Conditional Access policies.
Avantage : Cette option permet de :Benefit: This option enables you to:

  • Détecter des vulnérabilités potentielles qui affectent les identités de votre organisation.Detect potential vulnerabilities that affect your organization’s identities.
  • Configurer des réponses automatiques aux actions suspectes détectées qui sont liées aux identités de votre organisation.Configure automated responses to detected suspicious actions that are related to your organization’s identities.
  • Examiner les incidents suspects et prendre les mesures appropriées pour les résoudre.Investigate suspicious incidents and take appropriate action to resolve them.

Cette méthode utilise l’évaluation de risques d’Azure AD Identity Protection pour déterminer si la vérification en deux étapes est exigée en se basant sur les risques de l’utilisateur et de la connexion pour toutes les applications cloud.This method uses the Azure AD Identity Protection risk evaluation to determine if two-step verification is required based on user and sign-in risk for all cloud applications. Cette méthode requiert une licence Azure Active Directory P2.This method requires Azure Active Directory P2 licensing. Vous trouverez plus d’informations sur cette méthode dans Azure Active Directory Identity Protection.You can find more information on this method in Azure Active Directory Identity Protection.

Notes

Option 2 : l’activation de Multi-Factor Authentication en changeant l’état de l’utilisateur remplace les stratégies d’accès conditionnel.Option 2, enabling Multi-Factor Authentication by changing the user state, overrides Conditional Access policies. Étant donné que les options 3 et 4 utilisent des stratégies d’accès conditionnel, vous ne pouvez pas utiliser l’option 2 avec elles.Because options 3 and 4 use Conditional Access policies, you cannot use option 2 with them.

Les organisations qui n’ajoutent pas de couche supplémentaire de protection d’identité, comme la vérification en deux étapes, sont plus sensibles au vol d’informations d’identification.Organizations that don’t add extra layers of identity protection, such as two-step verification, are more susceptible for credential theft attack. Le vol d’informations d’identification peut entraîner une compromission des données.A credential theft attack can lead to data compromise.

Utiliser le contrôle d’accès en fonction du rôleUse role-based access control

Il est vital pour toute organisation qui utilise le cloud de pouvoir gérer les accès aux ressources situées dans cloud.Access management for cloud resources is critical for any organization that uses the cloud. Le contrôle d’accès en fonction du rôle Azure (RBAC Azure) permet de gérer les utilisateurs ayant accès aux ressources Azure, les modes d’utilisation des ressources par ces derniers et les zones auxquelles ils ont accès.Azure role-based access control (Azure RBAC)helps you manage who has access to Azure resources, what they can do with those resources, and what areas they have access to.

Désigner des groupes ou des rôles individuels avec des fonctions spécifiques dans Azure aide à éviter une confusion pouvant entraîner des erreurs humaines et d’automatisation qui sont à l’origine de risques de sécurité.Designating groups or individual roles responsible for specific functions in Azure helps avoid confusion that can lead to human and automation errors that create security risks. Restreindre l’accès en fonction des principes du besoin de connaître et du privilège minimum est impératif pour les organisations désireuses d’appliquer des stratégies de sécurité pour l’accès aux données.Restricting access based on the need to know and least privilege security principles is imperative for organizations that want to enforce security policies for data access.

Votre équipe de sécurité a besoin d’une visibilité sur vos ressources Azure afin d’évaluer le risque et d’y remédier.Your security team needs visibility into your Azure resources in order to assess and remediate risk. Si l’équipe de sécurité a des responsabilités opérationnelles, elle a besoin d’autorisations supplémentaires pour faire son travail.If the security team has operational responsibilities, they need additional permissions to do their jobs.

Vous pouvez utiliser la fonction de contrôle d’accès en fonction du rôle (RBAC) pour affecter des autorisations aux utilisateurs, groupes et applications à une certaine étendue.You can use RBAC to assign permissions to users, groups, and applications at a certain scope. L’étendue d’une attribution de rôle peut être une seule ressource, un groupe de ressources ou un abonnement.The scope of a role assignment can be a subscription, a resource group, or a single resource.

Bonne pratique : Séparez les tâches au sein de votre équipe et accorder aux utilisateurs uniquement les accès nécessaires pour accomplir leur travail.Best practice: Segregate duties within your team and grant only the amount of access to users that they need to perform their jobs. Plutôt que de donner à tous des autorisations illimitées au sein de votre abonnement ou de vos ressources Azure, autorisez uniquement certaines actions sur une étendue donnée.Instead of giving everybody unrestricted permissions in your Azure subscription or resources, allow only certain actions at a particular scope. Détail : Vous pouvez utiliser des rôles intégrés Azure dans Azure pour attribuer des privilèges aux utilisateurs.Detail: Use Azure built-in roles in Azure to assign privileges to users.

Notes

Des autorisations spécifiques créent une complexité et une confusion inutiles, qui s’accumulent dans une configuration « héritée » qui est difficile à corriger sans craindre de perturber quelque chose.Specific permissions create unneeded complexity and confusion, accumulating into a “legacy” configuration that’s difficult to fix without fear of breaking something. Évitez les autorisations spécifiques aux ressources.Avoid resource-specific permissions. Au lieu de cela, utilisez des groupes d’administration pour des autorisations au niveau de l’entreprise et des groupes de ressources pour des autorisations au sein d’abonnements.Instead, use management groups for enterprise-wide permissions and resource groups for permissions within subscriptions. Évitez les autorisations spécifiques à des utilisateurs.Avoid user-specific permissions. Au lieu de cela, attribuez l’accès à des groupes dans Azure AD.Instead, assign access to groups in Azure AD.

Bonne pratique : Accordez l’accès à des équipes de sécurité avec des responsabilités Azure pour voir les ressources Azure afin de pouvoir évaluer les risques et y remédier.Best practice: Grant security teams with Azure responsibilities access to see Azure resources so they can assess and remediate risk. Détail : Accordez à des équipes de sécurité le rôle RBAC de lecteur sécurité.Detail: Grant security teams the RBAC Security Reader role. Vous pouvez utiliser le groupe d’administration racine ou le groupe d’administration de segment, selon l’étendue des responsabilités :You can use the root management group or the segment management group, depending on the scope of responsibilities:

  • Groupe d’administration racine pour les équipes responsables de toutes les ressources d’entrepriseRoot management group for teams responsible for all enterprise resources
  • Groupe d’administration de segment pour les équipes avec une portée limitée (généralement en raison de limites organisationnelles réglementaires ou autres)Segment management group for teams with limited scope (commonly because of regulatory or other organizational boundaries)

Bonne pratique : Accordez les autorisations appropriées aux équipes de sécurité ayant des responsabilités opérationnelles directes.Best practice: Grant the appropriate permissions to security teams that have direct operational responsibilities. Détail : Passez en revue les rôles intégrés RBAC pour l’attribution de rôle appropriée.Detail: Review the RBAC built-in roles for the appropriate role assignment. Si les rôles intégrés ne répondent pas aux besoins de votre organisation, vous pouvez créer des rôles personnalisés Azure.If the built-in roles don't meet the specific needs of your organization, you can create Azure custom roles. Comme avec les rôles intégrés, vous pouvez affecter des rôles personnalisés à des utilisateurs, des groupes et des principaux de service dans l’étendue des abonnements, des groupes de ressources et des ressources.As with built-in roles, you can assign custom roles to users, groups, and service principals at subscription, resource group, and resource scopes.

Bonnes pratiques : Permettez aux rôles de sécurité qui en ont besoin d’accéder à Azure Security Center.Best practices: Grant Azure Security Center access to security roles that need it. Security Center permet aux équipes de sécurité d’identifier rapidement les risques et d’y remédier.Security Center allows security teams to quickly identify and remediate risks. Détail : Ajoutez des équipes de sécurité qui en ont besoin au rôle RBAC Administrateur de sécurité afin qu’elles puissent afficher des états de sécurité, modifier des stratégies de sécurité, afficher des alertes et des suggestions ainsi qu’ignorer les alertes et les suggestions.Detail: Add security teams with these needs to the RBAC Security Admin role so they can view security policies, view security states, edit security policies, view alerts and recommendations, and dismiss alerts and recommendations. Pour ce faire, vous pouvez utiliser le groupe d’administration racine ou le groupe d’administration de segment, selon l’étendue des responsabilités.You can do this by using the root management group or the segment management group, depending on the scope of responsibilities.

Les organisations qui n’appliquent aucun contrôle d’accès aux données en utilisant des fonctionnalités telles que RBAC risquent d’octroyer plus de privilèges que nécessaire à leurs utilisateurs.Organizations that don’t enforce data access control by using capabilities like RBAC might be giving more privileges than necessary to their users. Le fait d’autoriser des utilisateurs à accéder à des types de données (par exemple, des données HBI), auxquelles ils ne devraient pas avoir accès, peut conduire à la compromission de celles-ci.This can lead to data compromise by allowing users to access types of data (for example, high business impact) that they shouldn’t have.

Exposition réduite des comptes privilégiésLower exposure of privileged accounts

La sécurisation de l’accès privilégié est une première étape essentielle pour protéger les ressources d’entreprise.Securing privileged access is a critical first step to protecting business assets. Limiter le nombre de personnes qui ont accès aux informations ou aux ressources sécurisées réduit le risque qu’un utilisateur malveillant accède à ces données ou qu’une ressource sensible soit accidentellement affectée par un utilisateur autorisé.Minimizing the number of people who have access to secure information or resources reduces the chance of a malicious user getting access, or an authorized user inadvertently affecting a sensitive resource.

Les comptes privilégiés sont ceux qui administrent et gèrent des systèmes informatiques.Privileged accounts are accounts that administer and manage IT systems. Les pirates informatiques ciblent ces comptes pour accéder aux données et aux systèmes d’une organisation.Cyber attackers target these accounts to gain access to an organization’s data and systems. Pour sécuriser l’accès privilégié, vous devez isoler les comptes et les systèmes contre les risques d’exposition à un utilisateur malveillant.To secure privileged access, you should isolate the accounts and systems from the risk of being exposed to a malicious user.

Nous vous recommandons de créer et de suivre une feuille de route pour sécuriser l’accès privilégié contre les cybercriminels.We recommend that you develop and follow a roadmap to secure privileged access against cyber attackers. Pour plus d’informations sur la création d’un programme détaillé pour sécuriser les identités et les accès gérés ou signalés dans Azure AD, Microsoft Azure, Office 365 et d’autres services cloud, passez en revue l’article Sécurisation de l’accès privilégié pour les déploiements hybrides et cloud dans Azure AD.For information about creating a detailed roadmap to secure identities and access that are managed or reported in Azure AD, Microsoft Azure, Office 365, and other cloud services, review Securing privileged access for hybrid and cloud deployments in Azure AD.

Les éléments suivants résument les meilleures pratiques indiquées dans Sécurisation de l’accès privilégié pour les déploiements hybrides et cloud dans Azure AD :The following summarizes the best practices found in Securing privileged access for hybrid and cloud deployments in Azure AD:

Bonne pratique : Gérez, contrôlez et effectuez le monitoring de l’accès aux comptes privilégiés.Best practice: Manage, control, and monitor access to privileged accounts.
Détail : Activez Azure AD Privileged Identity Management.Detail: Turn on Azure AD Privileged Identity Management. Après avoir activé Privileged Identity Management, vous recevez des notifications par courrier électronique de changements de rôles d’accès privilégié.After you turn on Privileged Identity Management, you’ll receive notification email messages for privileged access role changes. Ces notifications vous informent lorsque des utilisateurs supplémentaires sont ajoutés aux rôles disposant de privilèges élevés dans votre annuaire.These notifications provide early warning when additional users are added to highly privileged roles in your directory.

Bonne pratique : Vérifiez que tous les comptes administrateur critiques sont des comptes Azure AD managés.Best practice: Ensure all critical admin accounts are managed Azure AD accounts. Détail : Supprimez les comptes de consommateurs des rôles d’administrateur critiques (par exemple, les comptes Microsoft tels que hotmail.com, live.com et outlook.com).Detail: Remove any consumer accounts from critical admin roles (for example, Microsoft accounts like hotmail.com, live.com, and outlook.com).

Bonne pratique : Vérifiez que tous les rôles d’administrateur critiques ont un compte distinct pour les tâches administratives, afin d’éviter que l’hameçonnage et autres attaques compromettent des privilèges Administrateur.Best practice: Ensure all critical admin roles have a separate account for administrative tasks in order to avoid phishing and other attacks to compromise administrative privileges. Détail : Créez un compte administratif séparé qui a attribué les privilèges nécessaires pour effectuer les tâches administratives.Detail: Create a separate admin account that’s assigned the privileges needed to perform the administrative tasks. Bloquez l’utilisation de ces comptes d’administration pour les outils de productivité quotidiens tels que la messagerie électronique Microsoft Office 365 ou la navigation web arbitraire.Block the use of these administrative accounts for daily productivity tools like Microsoft Office 365 email or arbitrary web browsing.

Bonne pratique : Identifiez et catégorisez les comptes présentant des rôles très privilégiés.Best practice: Identify and categorize accounts that are in highly privileged roles.
Détail : Après avoir activé Azure AD Privileged Identity Management, vous voyez les utilisateurs Administrateur général, Administrateur à rôle privilégié et d’autres rôles très privilégiés.Detail: After turning on Azure AD Privileged Identity Management, view the users who are in the global administrator, privileged role administrator, and other highly privileged roles. Supprimez les comptes qui ne sont plus nécessaires dans ces rôles et classez les autres comptes qui sont affectés à des rôles d’administrateur :Remove any accounts that are no longer needed in those roles, and categorize the remaining accounts that are assigned to admin roles:

  • Affectés individuellement à des utilisateurs administratifs, et pouvant servir à des fins non administratives (par exemple, messagerie personnelle)Individually assigned to administrative users, and can be used for non-administrative purposes (for example, personal email)
  • Affectés individuellement à des utilisateurs administratifs et dédiés à des fins administratives uniquementIndividually assigned to administrative users and designated for administrative purposes only
  • Partagés entre plusieurs utilisateursShared across multiple users
  • Pour les scénarios d’accès d’urgenceFor emergency access scenarios
  • Pour les scripts automatisésFor automated scripts
  • Pour les utilisateurs externesFor external users

Bonne pratique : Implémentez l’accès juste-à-temps pour réduire encore le temps d’exposition des privilèges et augmenter votre visibilité sur l’utilisation des comptes privilégiés.Best practice: Implement “just in time” (JIT) access to further lower the exposure time of privileges and increase your visibility into the use of privileged accounts.
Détail : Grâce à Azure AD Privileged Identity Management, vous pouvez :Detail: Azure AD Privileged Identity Management lets you:

  • Limiter les utilisateurs à l’utilisation de leur accès Juste à temps privilégiés.Limit users to only taking on their privileges JIT.
  • Attribuer des rôles pour une durée plus courte en sachant que les privilèges sont automatiquement révoqués.Assign roles for a shortened duration with confidence that the privileges are revoked automatically.

Bonne pratique : Définissez au moins deux comptes d’accès d’urgence.Best practice: Define at least two emergency access accounts.
Détail : Les comptes d’accès d’urgence aident les organisations à restreindre l’accès privilégié dans un environnement Azure Active Directory existant.Detail: Emergency access accounts help organizations restrict privileged access in an existing Azure Active Directory environment. Ces comptes sont hautement privilégiés et ne sont pas affectés à des individus spécifiques.These accounts are highly privileged and are not assigned to specific individuals. Les comptes d’accès d’urgence sont limités aux scénarios où il est impossible d’utiliser des comptes d’administration normaux.Emergency access accounts are limited to scenarios where normal administrative accounts can’t be used. Les organisations doivent limiter l’utilisation des comptes d’urgence au temps strictement nécessaire.Organizations must limit the emergency account's usage to only the necessary amount of time.

Évaluez les comptes qui sont affectés ou éligibles pour le rôle d’administrateur général.Evaluate the accounts that are assigned or eligible for the global admin role. Si vous ne voyez pas de comptes cloud uniquement à l’aide du domaine *.onmicrosoft.com (conçu pour l’accès d’urgence), créez-les.If you don’t see any cloud-only accounts by using the *.onmicrosoft.com domain (intended for emergency access), create them. Pour plus d’informations, consultez Managing emergency access administrative accounts in Azure AD (Gestion des comptes d’administration de l’accès d’urgence dans Azure AD).For more information, see Managing emergency access administrative accounts in Azure AD.

Bonne pratique : Prévoyez un processus « brise-vitres « en cas d’urgence.Best practice: Have a “break glass" process in place in case of an emergency. Détail : Suivez les étapes mentionnées dans Sécurisation de l’accès privilégié pour les déploiements hybrides et cloud dans Azure AD.Detail: Follow the steps in Securing privileged access for hybrid and cloud deployments in Azure AD.

Bonne pratique : Exigez que tous les comptes administrateur critiques soient exempts de mots de passe (recommandé) ou exigez l'authentification multifacteur.Best practice: Require all critical admin accounts to be password-less (preferred), or require Multi-Factor Authentication. Détail : Utilisez l’application Microsoft Authenticator pour vous connecter à n’importe quel compte Azure AD sans utiliser de mot de passe.Detail: Use the Microsoft Authenticator app to sign in to any Azure AD account without using a password. Comme Windows Hello Entreprise, Microsoft Authenticator a recours à l’authentification par clé pour activer des informations d’identification utilisateur qui sont liées à un appareil et utilisent une authentification biométrique ou un code confidentiel.Like Windows Hello for Business, the Microsoft Authenticator uses key-based authentication to enable a user credential that’s tied to a device and uses biometric authentication or a PIN.

Exigez l’authentification multifacteur Azure lors de la connexion de tous les utilisateurs individuels auxquels sont affectés un ou plusieurs rôles d’administrateur Azure AD : Administrateur général, administrateur de rôle privilégié, administrateur Exchange Online et administrateur SharePoint Online.Require Azure Multi-Factor Authentication at sign-in for all individual users who are permanently assigned to one or more of the Azure AD admin roles: Global Administrator, Privileged Role Administrator, Exchange Online Administrator, and SharePoint Online Administrator. Activez l’authentification multifacteur pour vos comptes administrateur et vérifiez que les utilisateurs de comptes administrateur sont inscrits.Enable Multi-Factor Authentication for your admin accounts and ensure that admin account users have registered.

Bonne pratique : Pour les comptes administrateur critiques, ayez une station de travail d’administrateur sur laquelle les tâches de production ne sont pas autorisées (par exemple, la navigation et les e-mails).Best practice: For critical admin accounts, have an admin workstation where production tasks aren’t allowed (for example, browsing and email). Ceci protège vos comptes administrateur à partir de vecteurs d’attaque qui utilisent la navigation et la messagerie et réduisent considérablement les risques d’incident majeur.This will protect your admin accounts from attack vectors that use browsing and email and significantly lower your risk of a major incident. Détail : Utilisez une station de travail administrateur.Detail: Use an admin workstation. Choisissez un niveau pour la station de travail :Choose a level of workstation security:

  • Des appareils de productivité hautement sécurisé offrent une sécurité avancée pour la navigation et d’autres tâches de productivité.Highly secure productivity devices provide advanced security for browsing and other productivity tasks.
  • Les stations de travail d’accès privilégié (PAW) fournissent un système d’exploitation dédié qui est protégé contre les attaques Internet et les vecteurs de menaces.Privileged Access Workstations (PAWs) provide a dedicated operating system that’s protected from internet attacks and threat vectors for sensitive tasks.

Bonne pratique : Déprovisionnez les comptes administrateur quand un employé quitte votre organisation.Best practice: Deprovision admin accounts when employees leave your organization. Détail : Mettez en place un processus qui désactive ou supprime les comptes administrateur quand un employé quitte votre organisation.Detail: Have a process in place that disables or deletes admin accounts when employees leave your organization.

Bonne pratique : Testez régulièrement les comptes administrateur à l’aide de techniques d’attaque actuelles.Best practice: Regularly test admin accounts by using current attack techniques. Détail : Utilisez le simulateur d’attaques Office 365 ou une offre tierce pour exécuter des scénarios d’attaque réalistes dans votre organisation.Detail: Use Office 365 Attack Simulator or a third-party offering to run realistic attack scenarios in your organization. Cela peut vous aider à trouver des utilisateurs vulnérables avant qu’une attaque réelle se produise.This can help you find vulnerable users before a real attack occurs.

Bonne pratique : Prenez des mesures pour atténuer les techniques d’attaque les plus fréquentes.Best practice: Take steps to mitigate the most frequently used attacked techniques.
Détail : Identifier les comptes Microsoft ayant des rôles d’administrateur à basculer vers des comptes professionnels ou scolairesDetail: Identify Microsoft accounts in administrative roles that need to be switched to work or school accounts

Vérifier les comptes d’utilisateur distincts et le transfert de messagerie pour les comptes administrateur généralEnsure separate user accounts and mail forwarding for global administrator accounts

Vérifier que les mots de passe des comptes administrateur ont été récemment modifiésEnsure that the passwords of administrative accounts have recently changed

Activer la synchronisation de hachage de mot de passeTurn on password hash synchronization

Exiger l’authentification multifacteur pour les utilisateurs dans tous les rôles privilégiés, ainsi que pour les utilisateurs exposésRequire Multi-Factor Authentication for users in all privileged roles as well as exposed users

Obtenir votre Office 365 Secure Score (si vous utilisez Office 365)Obtain your Office 365 Secure Score (if using Office 365)

Passer en revue l’aide Office 365 en matière de sécurité et de conformité (si vous utilisez Office 365)Review the Office 365 security and compliance guidance (if using Office 365)

Configurer la surveillance de l’activité Office 365 (si vous utilisez Office 365)Configure Office 365 Activity Monitoring (if using Office 365)

Définir des propriétaires de plan de réponse d’incident/d’urgenceEstablish incident/emergency response plan owners

Sécuriser les comptes d’administration privilégiés locauxSecure on-premises privileged administrative accounts

Si vous ne sécurisez l’accès privilégié, vous constaterez peut-être qu’un trop grand nombre d’utilisateurs disposent de rôles hautement privilégiés et sont plus vulnérables aux attaques.If you don’t secure privileged access, you might find that you have too many users in highly privileged roles and are more vulnerable to attacks. Les personnes malveillantes, comme les pirates informatiques, ciblent souvent des comptes administrateur et d’autres moyens d’accès privilégié pour accéder à des données sensibles et à des systèmes à l’aide de vols d’informations d’identification.Malicious actors, including cyber attackers, often target admin accounts and other elements of privileged access to gain access to sensitive data and systems by using credential theft.

Contrôle des emplacements où les ressources sont crééesControl locations where resources are created

Le fait de permettre aux opérateurs de cloud d’effectuer des tâches tout en les empêchant de briser les conventions qui sont nécessaires à la gestion des ressources de votre organisation est très important.Enabling cloud operators to perform tasks while preventing them from breaking conventions that are needed to manage your organization's resources is very important. Les organisations qui veulent contrôler les emplacements où les ressources sont créées doivent coder en dur ces emplacements.Organizations that want to control the locations where resources are created should hard code these locations.

Vous pouvez utiliser Azure Resource Manager pour créer des stratégies de sécurité dotées de définitions décrivant les actions ou les ressources spécifiquement refusées.You can use Azure Resource Manager to create security policies whose definitions describe the actions or resources that are specifically denied. Vous affectez ces définitions de stratégies selon l’étendue souhaitée, au niveau de l’abonnement, du groupe de ressources ou d’une ressource individuelle.You assign those policy definitions at the desired scope, such as the subscription, the resource group, or an individual resource.

Notes

Les stratégies de sécurité ne sont pas identiques au contrôle d’accès en fonction du rôle (RBAC).Security policies are not the same as RBAC. En fait, ils utilisent le RBAC pour autoriser des utilisateurs à créer ces ressources.They actually use RBAC to authorize users to create those resources.

Les organisations qui ne contrôlent pas la création des ressources sont plus sensibles aux utilisateurs susceptibles d’abuser du service en créant plus de ressources que nécessaire.Organizations that are not controlling how resources are created are more susceptible to users who might abuse the service by creating more resources than they need. Le renforcement du processus de création des ressources est une étape importante de sécurisation d’un scénario à plusieurs locataires.Hardening the resource creation process is an important step to securing a multitenant scenario.

Surveillance active des activités suspectesActively monitor for suspicious activities

Un système de surveillance d’identité actif peut détecter rapidement un comportement suspect et déclencher une alerte pour un examen approfondi.An active identity monitoring system can quickly detect suspicious behavior and trigger an alert for further investigation. Le tableau suivant répertorie les deux fonctionnalités Azure AD pouvant aider les organisations à surveiller leurs identités :The following table lists two Azure AD capabilities that can help organizations monitor their identities:

Bonne pratique : Définissez une méthode pour identifier :Best practice: Have a method to identify:

Détail : Utilisez les rapports d’anomalies d’Azure AD Premium.Detail: Use Azure AD Premium anomaly reports. Disposer de processus et de procédures permettant aux administrateurs informatiques d’exécuter ces rapports de manière quotidienne ou à la demande (généralement dans un scénario de réponse aux incidents).Have processes and procedures in place for IT admins to run these reports on a daily basis or on demand (usually in an incident response scenario).

Bonne pratique : Disposez d’un système de monitoring actif qui vous informe des risques et adapte le niveau de risque (élevé, moyen ou faible) à vos besoins métier.Best practice: Have an active monitoring system that notifies you of risks and can adjust risk level (high, medium, or low) to your business requirements.
Détail : Utilisez Azure AD Identity Protection, qui marque les risques actuels sur son propre tableau de bord et envoie des notifications de synthèse quotidiennes par e-mail.Detail: Use Azure AD Identity Protection, which flags the current risks on its own dashboard and sends daily summary notifications via email. Pour aider à protéger les identités de votre organisation, vous pouvez configurer des stratégies qui répondent automatiquement aux problèmes détectés lorsqu’un niveau de risque spécifié est atteint.To help protect your organization's identities, you can configure risk-based policies that automatically respond to detected issues when a specified risk level is reached.

Les organisations qui ne surveillent pas activement leurs systèmes d’identité risquent de compromettre les informations d’identification des utilisateurs.Organizations that don’t actively monitor their identity systems are at risk of having user credentials compromised. Si elles n’ont pas connaissance des activités suspectes se déroulant avec ces informations d’identification, elles ne sont pas en mesure de limiter ce type de menace.Without knowledge that suspicious activities are taking place through these credentials, organizations can’t mitigate this type of threat.

Utiliser Azure AD pour l’authentification du stockageUse Azure AD for storage authentication

Le Stockage Azure prend en charge l’authentification et l’autorisation avec Azure AD pour le stockage d’objets blob et le stockage File d’attente.Azure Storage supports authentication and authorization with Azure AD for Blob storage and Queue storage. Avec l’authentification Azure AD, vous pouvez utiliser le contrôle d’accès basé sur les rôles Azure pour accorder des autorisations spécifiques aux utilisateurs, aux groupes et aux applications jusqu’au niveau d’un conteneur d’objets blob individuel ou de la file d’attente.With Azure AD authentication, you can use the Azure role-based access control to grant specific permissions to users, groups, and applications down to the scope of an individual blob container or queue.

Nous vous recommandons d’utiliser Azure AD pour authentifier l’accès au stockage.We recommend that you use Azure AD for authenticating access to storage.

Étape suivanteNext step

Consultez l’article Bonnes pratiques et tendances Azure relatives à la sécurité pour découvrir d’autres bonnes pratiques en matière de sécurité à appliquer dans le cadre de la conception, du déploiement et de la gestion de vos solutions cloud avec Azure.See Azure security best practices and patterns for more security best practices to use when you’re designing, deploying, and managing your cloud solutions by using Azure.