Vue d’ensemble de la sécurité et de la gestion des identités AzureAzure identity management security overview

La gestion des identités est le processus d’authentification et d’autorisation des principaux de sécurité.Identity management is the process of authenticating and authorizing security principals. Elle implique également le contrôle des informations relatives à ces principaux (identités).It also involves controlling information about those principals (identities). Les principaux de sécurité (identités) peuvent inclure des services, des applications, des utilisateurs, des groupes, etc. Les solutions de gestion des identités et des accès de Microsoft aident les services informatiques à protéger l’accès aux applications et aux ressources dans le centre de données de l’entreprise, mais aussi dans le cloud.Security principals (identities) may include services, applications, users, groups, etc. Microsoft identity and access management solutions help IT protect access to applications and resources across the corporate datacenter and into the cloud. Cette protection offre des niveaux supplémentaires de validation, notamment l’authentification multifacteur et les stratégies d’accès conditionnel.Such protection enables additional levels of validation, such as Multi-Factor Authentication and Conditional Access policies. En surveillant les activités suspectes via les fonctions avancées de reporting, d’audit et d’alertes de sécurité, vous êtes en mesure de limiter les problèmes de sécurité potentiels.Monitoring suspicious activity through advanced security reporting, auditing, and alerting helps mitigate potential security issues. Azure Active Directory Premium fournit une authentification unique (SSO) à des milliers d’applications cloud Software as a Service (SaaS) et assure un accès aux applications web que vous exécutez en local.Azure Active Directory Premium provides single sign-on (SSO) to thousands of cloud software as a service (SaaS) apps and access to web apps that you run on-premises.

Azure Active Directory (Azure AD) vous offre de nombreux avantages en termes de sécurité :By taking advantage of the security benefits of Azure Active Directory (Azure AD), you can:

  • Création et gestion d’une identité unique pour chaque utilisateur de l’entreprise hybride, tout en maintenant la synchronisation des utilisateurs, des groupes et des appareilsCreate and manage a single identity for each user across your hybrid enterprise, keeping users, groups, and devices in sync.
  • Accès par authentification unique (SSO) à vos applications, notamment à des milliers d’applications SaaS pré-intégréesProvide SSO access to your applications, including thousands of pre-integrated SaaS apps.
  • Sécurisation de l’accès aux applications en appliquant une authentification multifacteur basée sur des règles pour les applications aussi bien locales que cloudEnable application access security by enforcing rules-based Multi-Factor Authentication for both on-premises and cloud applications.
  • Accès à distance sécurisé aux applications web locales via le proxy d’application Azure ADProvision secure remote access to on-premises web applications through Azure AD Application Proxy.

Cet article vise à fournir une vue d’ensemble des principales fonctionnalités de sécurité Azure liées à la gestion des identités.The goal of this article is to provide an overview of the core Azure security features that help with identity management. Il contient également des liens vers des articles fournissant des informations complémentaires sur chaque fonctionnalité.We also provide links to articles that give details of each feature so you can learn more.

Cet article se concentre sur les principales fonctionnalités de gestion d’identité Azure, à savoir :The article focuses on the following core Azure Identity management capabilities:

  • Authentification uniqueSingle sign-on
  • Proxy inverséReverse proxy
  • Azure Multi-Factor AuthenticationMulti-Factor Authentication
  • Contrôle d’accès en fonction du rôle Azure (Azure RBAC)Azure role-based access control (Azure RBAC)
  • Surveillance de la sécurité, alertes et rapports Machine LearningSecurity monitoring, alerts, and machine learning-based reports
  • Gestion des identités et des accès des consommateursConsumer identity and access management
  • Enregistrement de l’appareilDevice registration
  • Privileged Identity ManagementPrivileged identity management
  • Identity ProtectionIdentity protection
  • Gestion des identités hybrides/Azure AD ConnectHybrid identity management/Azure AD connect
  • Révisions d’accès Azure ADAzure AD access reviews

Authentification uniqueSingle sign-on

Avec SSO, vous pouvez accéder à toutes les applications et à toutes les ressources dont vous avez besoin pour travailler, en vous connectant une seule fois avec un seul compte d’utilisateur.SSO means being able to access all the applications and resources that you need to do business, by signing in only once using a single user account. Une fois connecté, vous pouvez accéder à toutes les applications dont vous avez besoin sans devoir vous authentifier à nouveau (par exemple, taper un mot de passe).Once signed in, you can access all of the applications you need without being required to authenticate (for example, type a password) a second time.

De nombreuses entreprises s’appuient sur des applications SaaS, comme Office 365, Box et Salesforce, pour accroître la productivité de l’utilisateur.Many organizations rely upon SaaS applications such as Office 365, Box, and Salesforce for user productivity. Historiquement, le personnel informatique devait créer et mettre à jour chaque compte d’utilisateur dans chaque application SaaS et les utilisateurs devaient mémoriser un mot de passe pour chaque application SaaS.Historically, IT staff needed to individually create and update user accounts in each SaaS application, and users had to remember a password for each SaaS application.

Azure AD étend les environnements Active Directory locaux dans le cloud, ce qui permet aux utilisateurs d’utiliser leur compte professionnel principal, non seulement pour se connecter à leurs appareils liés au domaine et aux ressources de l’entreprise, mais aussi à toutes les applications SaaS et web nécessaires à leurs travaux.Azure AD extends on-premises Active Directory environments into the cloud, enabling users to use their primary organizational account to sign in not only to their domain-joined devices and company resources, but also to all the web and SaaS applications they need for their jobs.

Non seulement les utilisateurs n’ont plus besoin de gérer plusieurs noms d’utilisateur et mots de passe, mais vous pouvez activer ou désactiver automatiquement l’accès aux applications en fonction des groupes de l’organisation et de leur statut d’employé.Not only do users not have to manage multiple sets of usernames and passwords, you can provision or de-provision application access automatically, based on their organizational groups and their employee status. Azure AD ajoute des contrôles de sécurité et de gouvernance de l’accès qui vous permettent de gérer de manière centralisée l’accès des utilisateurs sur les différentes applications SaaS.Azure AD introduces security and access governance controls with which you can centrally manage users' access across SaaS applications.

En savoir plus :Learn more:

Proxy inverséReverse proxy

Le proxy d’application Azure AD vous permet de publier des applications en local, telles que des sites SharePoint, des applications web Outlook et des applications IIS à l’intérieur de votre réseau privé et offre un accès sécurisé aux utilisateurs en dehors de votre réseau.Azure AD Application Proxy lets you publish on-premises applications, such as SharePoint sites, Outlook Web App, and IIS-based apps inside your private network and provides secure access to users outside your network. Le proxy d’application assure l’accès à distance et l’authentification unique (SSO) pour de nombreux types d’applications web locales, avec les milliers d’applications SaaS prises en charge par Azure AD.Application Proxy provides remote access and SSO for many types of on-premises web applications with the thousands of SaaS applications that Azure AD supports. Les employés peuvent se connecter à vos applications depuis leur domicile sur leurs propres appareils et s’authentifier par le biais de ce proxy cloud.Employees can sign in to your apps from home on their own devices and authenticate through this cloud-based proxy.

En savoir plus :Learn more:

Azure Multi-Factor AuthenticationMulti-Factor Authentication

Azure Multi-Factor Authentication est une méthode d’authentification qui nécessite l’utilisation de plusieurs méthodes de vérification et ajoute une deuxième couche critique de sécurité aux connexions et transactions des utilisateurs.Azure Multi-Factor Authentication is a method of authentication that requires the use of more than one verification method and adds a critical second layer of security to user sign-ins and transactions. Azure Multi-Factor Authentication contribue à sécuriser l’accès aux données et aux applications, tout en proposant un processus d’authentification simple et conforme à la demande des utilisateurs.Multi-Factor Authentication helps safeguard access to data and applications while meeting user demand for a simple sign-in process. Cette méthode fournit une authentification forte par le biais de diverses options de vérification : appels téléphoniques, SMS, notifications par application mobile ou codes de vérification et jetons OAuth tiers.It delivers strong authentication via a range of verification options: phone calls, text messages, or mobile app notifications or verification codes and third-party OAuth tokens.

En savoir plus :Learn more:

Azure RBACAzure RBAC

Azure RBAC est un système d’autorisation basé sur Azure Resource Manager qui propose une gestion affinée des accès aux ressources dans Azure.Azure RBAC is an authorization system built on Azure Resource Manager that provides fine-grained access management of resources in Azure. Il vous permet de contrôler de façon granulaire le niveau d’accès dont disposent les utilisateurs.Azure RBAC allows you to granularly control the level of access that users have. Par exemple, vous pouvez décider d’autoriser un utilisateur à gérer uniquement les réseaux virtuels et un autre utilisateur à gérer toutes les ressources d’un groupe de ressources.For example, you can limit a user to only manage virtual networks and another user to manage all resources in a resource group. Azure inclut plusieurs rôles intégrés que vous pouvez utiliser.Azure includes several built-in roles that you can use. Voici les quatre rôles fondamentaux intégrés :The following lists four fundamental built-in roles. Les trois premiers s’appliquent à tous les types de ressources.The first three apply to all resource types.

  • Propriétaire : dispose d’un accès total à toutes les ressources, ainsi que le droit de déléguer l’accès à d’autres personnes.Owner - Has full access to all resources including the right to delegate access to others.
  • Contributeur : peut créer et gérer tous les types de ressource Azure mais ne peut pas octroyer l’accès à d’autres personnes.Contributor - Can create and manage all types of Azure resources but can't grant access to others.
  • Lecteur : peut consulter les ressources Azure existantes.Reader - Can view existing Azure resources.
  • Administrateur de l’accès utilisateur : vous permet de gérer l’accès des utilisateurs aux ressources Azure.User Access Administrator - Lets you manage user access to Azure resources.

En savoir plus :Learn more:

Surveillance de la sécurité, alertes et rapports Machine LearningSecurity monitoring, alerts, and machine learning-based reports

Vous pouvez protéger votre entreprise grâce à la surveillance de la sécurité, aux alertes et aux rapports Machine Learning qui identifient les comportements d’accès incohérents.Security monitoring, alerts, and machine learning-based reports that identify inconsistent access patterns can help you protect your business. Vous pouvez utiliser les rapports d’accès et d’utilisation Azure AD pour obtenir une visibilité complète sur l’intégrité et la sécurité du répertoire de votre société.You can use Azure AD access and usage reports to gain visibility into the integrity and security of your organization’s directory. Grâce à ces informations, un administrateur de répertoire est capable de déterminer plus précisément les risques de sécurité potentiels et donc de les atténuer au maximum.With this information, a directory administrator can better determine where possible security risks might lie so that they can adequately plan to mitigate those risks.

Dans le portail Azure, les rapports sont classés dans les catégories suivantes :In the Azure portal, reports fall into the following categories:

  • Rapports d’anomalies : contiennent des événements de connexion qui peuvent nous sembler anormaux.Anomaly reports: Contain sign-in events that we found to be anomalous. Notre objectif est de vous faire part de ces activités et de vous permettre de décider si un événement est suspect.Our goal is to make you aware of such activity and enable you to determine whether an event is suspicious.
  • Rapports d’application intégrée : fournissent des insights sur l’utilisation des applications cloud dans votre organisation.Integrated Application reports: Provide insights into how cloud applications are being used in your organization. Azure AD permet d’intégrer des milliers d'applications du cloud.Azure AD offers integration with thousands of cloud applications.
  • Rapports d’erreurs : indiquent les erreurs qui peuvent survenir quand vous provisionnez des comptes sur des applications externes.Error reports: Indicate errors that might occur when you provision accounts to external applications.
  • Rapports spécifiques à l’utilisateur : affichent les données d’activité relatives aux connexions de l’appareil d’un utilisateur spécifique.User-specific reports: Display device sign-in activity data for a specific user.
  • Journaux d’activité : contiennent un enregistrement de tous les événements audités durant les dernières 24 heures, les derniers 7 jours ou les derniers 30 jours, des modifications d’activité de groupes, et des activités d’enregistrement et de réinitialisation de mot de passe.Activity logs: Contain a record of all audited events within the last 24 hours, last 7 days, or last 30 days, and group activity changes and password reset and registration activity.

En savoir plus :Learn more:

Gestion des identités et des accès des consommateursConsumer identity and access management

Azure AD B2C est un service de gestion de l’identité, global et hautement disponible pour les applications destinées aux consommateurs gérant des centaines de millions d’identités.Azure AD B2C is a highly available, global, identity management service for consumer-facing applications that scales to hundreds of millions of identities. Le service peut être intégré sur l’ensemble des plateformes web et mobiles.It can be integrated across mobile and web platforms. Vos consommateurs peuvent se connecter à toutes vos applications par le biais d’expériences personnalisables en utilisant leurs comptes de réseaux sociaux existants ou en créant des comptes avec de nouvelles informations d’identification.Your consumers can sign in to all your applications through customizable experiences by using their existing social accounts or by creating new credentials.

Auparavant, les développeurs d’applications qui souhaitaient inscrire et connecter les clients à leurs applications auraient écrit leur propre code.In the past, application developers who wanted to sign up customers and sign them in to their applications would have written their own code. Et ils auraient utilisé des systèmes ou des bases de données locaux pour stocker les noms d'utilisateur et les mots de passe.And they would have used on-premises databases or systems to store usernames and passwords. Azure AD B2C offre à votre organisation un meilleur moyen d’intégrer la gestion des identités des consommateurs dans vos applications grâce à une plateforme sécurisée reposant sur des normes et à un ensemble complet de stratégies extensibles.Azure AD B2C offers your organization a better way to integrate consumer identity management into applications with the help of a secure, standards-based platform and a large set of extensible policies.

Lorsque vous utilisez Azure AD B2C, vos consommateurs peuvent s’inscrire auprès de vos applications à l’aide de leurs comptes sociaux existants (Facebook, Google, Amazon, LinkedIn) ou en créant des informations d’identification (adresse de messagerie et mot de passe, ou nom d’utilisateur et mot de passe).When you use Azure AD B2C, your consumers can sign up for your applications by using their existing social accounts (Facebook, Google, Amazon, LinkedIn) or by creating new credentials (email address and password, or username and password).

En savoir plus :Learn more:

Enregistrement de l’appareilDevice registration

L’inscription d’appareil Azure AD constitue la base des scénarios d’accès conditionnel basé sur les appareils.Azure AD device registration is the foundation for device-based Conditional Access scenarios. Lors de l’inscription d’un appareil, Azure AD Device Registration fournit une identité à l’appareil, qui sera utilisée pour l’authentifier lors de la connexion d’un utilisateur.When a device is registered, Azure AD device registration provides the device with an identity that it uses to authenticate the device when a user signs in. L’appareil authentifié et ses attributs peuvent alors être utilisés pour appliquer des stratégies d’accès conditionnel pour les applications qui sont hébergées sur le cloud et localement.The authenticated device and the attributes of the device can then be used to enforce Conditional Access policies for applications that are hosted in the cloud and on-premises.

Quand ils sont associés à une solution de gestion des périphériques mobiles comme Intune, les attributs de l’appareil dans Azure AD sont mis à jour avec des informations supplémentaires sur l’appareil.When combined with a mobile device management solution such as Intune, the device attributes in Azure AD are updated with additional information about the device. Vous pouvez ainsi créer des règles d’accès conditionnel qui imposent que l’accès à partir des appareils réponde à vos critères de sécurité et de conformité.You can then create Conditional Access rules that enforce access from devices to meet your standards for security and compliance.

En savoir plus :Learn more:

Privileged Identity ManagementPrivileged identity management

Le service Azure AD Privileged Identity Management vous permet de gérer, de contrôler et de surveiller vos identités privilégiées et l’accès aux ressources dans Azure AD et dans d’autres services en ligne Microsoft, tels qu’Office 365 et Microsoft Intune.With Azure AD Privileged Identity Management, you can manage, control, and monitor your privileged identities and access to resources in Azure AD as well as other Microsoft online services, such as Office 365 and Microsoft Intune.

Les utilisateurs doivent parfois effectuer des opérations privilégiées dans des ressources Azure ou Office 365, ou dans d'autres applications SaaS.Users sometimes need to carry out privileged operations in Azure or Office 365 resources, or in other SaaS apps. Cela signifie souvent que les entreprises doivent leur donner un accès privilégié permanent à Azure AD.This need often means that organizations have to give users permanent privileged access in Azure AD. Un tel accès constitue un risque de sécurité croissant pour les ressources hébergées dans le cloud, car les entreprises ne peuvent pas suffisamment surveiller ce que ces utilisateurs font avec leurs privilèges d'administrateur.Such access is a growing security risk for cloud-hosted resources, because organizations can't sufficiently monitor what the users are doing with their administrator privileges. En outre, si un compte d’utilisateur disposant d’un accès privilégié est compromis, cette seule faille peut affecter la sécurité globale du cloud de l’organisation.Additionally, if a user account with privileged access is compromised, that one breach could affect the organization's overall cloud security. Azure AD Privileged Identity Management contribue à minimiser ce risque.Azure AD Privileged Identity Management helps to mitigate this risk.

Grâce à Azure AD Privileged Identity Management, vous pouvez :With Azure AD Privileged Identity Management, you can:

  • Identifier les utilisateurs qui ont un rôle d’administrateur dans Azure AD.See which users are Azure AD administrators.
  • Activer à la demande un accès administrateur « juste à temps » (JIT) aux services Microsoft comme Office 365 et Intune.Enable on-demand, just-in-time (JIT) administrative access to Microsoft services such as Office 365 and Intune.
  • Obtenir des rapports sur l'historique des accès administrateur et sur les modifications apportées aux affectations de l'administrateur.Get reports about administrator access history and changes in administrator assignments.
  • Recevoir des alertes sur l'accès à un rôle privilégié.Get alerts about access to a privileged role.

En savoir plus :Learn more:

Identity ProtectionIdentity protection

Azure AD Identity Protection est un service de sécurité offrant une vue centralisée des détections des risques et des vulnérabilités potentielles qui affectent les identités de votre organisation.Azure AD Identity Protection is a security service that provides a consolidated view into risk detections and potential vulnerabilities that affect your organization’s identities. Identity Protection tire parti des fonctions de détection d’anomalie Azure AD existantes, disponibles via les rapports d’activités anormales Azure AD.Identity Protection takes advantage of existing Azure AD anomaly-detection capabilities, which are available through Azure AD Anomalous Activity reports. Identity Protection inclut également de nouveaux types de détection des risques capables de détecter les anomalies en temps réel.Identity Protection also introduces new risk detection types that can detect anomalies in real time.

En savoir plus :Learn more:

Gestion des identités hybrides/Azure AD ConnectHybrid identity management/Azure AD connect

Les solutions d'identité de Microsoft regroupent des fonctionnalités, locales et cloud, de création d'une identité d'utilisateur unique pour l'authentification et l'autorisation d'accès à toutes les ressources, indépendamment de l'emplacement.Microsoft’s identity solutions span on-premises and cloud-based capabilities, creating a single user identity for authentication and authorization to all resources, regardless of location. Nous appelons cette identité « identité hybride ».We call this hybrid identity. L’outil Microsoft Azure AD Connect a été conçu pour vous permettre d’atteindre et de remplir vos objectifs en matière d’identité hybride.Azure AD Connect is the Microsoft tool designed to meet and accomplish your hybrid identity goals. Cela vous permet de fournir une identité commune à vos utilisateurs pour les applications Office 365, Azure et SaaS intégrées à Azure AD.This allows you to provide a common identity for your users for Office 365, Azure, and SaaS applications integrated with Azure AD. Elle fournit les fonctionnalités suivantes :It provides the following features:

  • SynchronizationSynchronization
  • Intégration AD FS et de fédérationAD FS and federation integration
  • Authentification directePass through authentication
  • Surveillance de l’intégritéHealth Monitoring

En savoir plus :Learn more:

Révisions d’accès Azure ADAzure AD access reviews

Les révisions d’accès Azure Active Directory (Azure AD) permettent aux organisations de gérer efficacement les appartenances à des groupes, les accès aux applications d’entreprise, et les attributions de rôles dotés de privilèges.Azure Active Directory (Azure AD) access reviews enable organizations to efficiently manage group memberships, access to enterprise applications, and privileged role assignments.

En savoir plus :Learn more: