Cinq étapes pour sécuriser votre infrastructure d’identitéFive steps to securing your identity infrastructure

Si vous lisez ce document, c'est que vous connaissez l’importance de la sécurité.If you're reading this document, you're aware of the significance of security. Vous êtes sans doute déjà responsable de la sécurisation de votre organisation.You likely already carry the responsibility for securing your organization. Si vous avez besoin de convaincre d’autres utilisateurs de l’importance de la sécurité, demandez-leur de lire le dernier Rapport de renseignement sur la sécurité (SIR) de Microsoft.If you need to convince others of the importance of security, send them to read the latest Microsoft Security Intelligence report.

Ce document vous aidera à obtenir une position plus sécurisée à l’aide des fonctionnalités d’Azure Active Directory grâce à une liste de vérification en cinq étapes pour protéger votre organisation contre les cyberattaques.This document will help you get a more secure posture using the capabilities of Azure Active Directory by using a five-step checklist to inoculate your organization against cyber-attacks.

Cette liste de vérification vous aidera à déployer rapidement les actions recommandées critiques pour protéger votre organisation immédiatement et explique comment :This checklist will help you quickly deploy critical recommended actions to protect your organization immediately by explaining how to:

  • Renforcer vos informations d’identification.Strengthen your credentials.
  • Réduire votre surface d’attaque.Reduce your attack surface area.
  • Automatiser la réponse aux menaces.Automate threat response.
  • Utiliser l’intelligence cloud.Utilize cloud intelligence.
  • Activer le libre-service pour l’utilisateur final.Enable end-user self-service.

Veillez à conserver la trace des fonctionnalités et étapes terminées lors de la lecture de cette liste de vérification.Make sure you keep track of which features and steps are complete while reading this checklist.

Notes

La plupart des recommandations de ce document s’appliquent seulement aux applications qui sont configurées pour utiliser Azure Active Directory comme fournisseur d’identité.Many of the recommendations in this document apply only to applications that are configured to use Azure Active Directory as their identity provider. La configuration des applications pour l’authentification unique garantit que les avantages des stratégies pour les informations d’identification, la détection des menaces, l’audit, la journalisation et d’autres fonctionnalités s’ajoutent à ces applications.Configuring apps for Single Sign-On assures the benefits of credential policies, threat detection, auditing, logging, and other features add to those applications. La gestion des applications Azure AD est le fondement sur lequel se basent toutes ces recommandations.Azure AD Application Management is the foundation - on which all these recommendations are based.

Les suggestions faites dans ce document sont alignées sur Identity Secure Score, une évaluation automatisée de la configuration de sécurité de l'identité de votre locataire Azure AD.The recommendations in this document are aligned with the Identity Secure Score, an automated assessment of your Azure AD tenant’s identity security configuration. Les organisations peuvent utiliser la page Identity Secure Score dans le portail Azure AD pour trouver des failles dans leur configuration de sécurité actuelle et s’assurer qu’elles respectent les meilleures pratiques actuelles de Microsoft en matière de sécurité.Organizations can use the Identity Secure Score page in the Azure AD portal to find gaps in their current security configuration to ensure they follow current Microsoft best practices for security. L’implémentation de chaque suggestion de la page Secure Score augmentera votre score et vous permettra de suivre vos progrès, tout en vous aidant à comparer votre implémentation à celle d’autres organisations de taille comparable de votre secteur d’activité.Implementing each recommendation in the Secure Score page will increase your score and allow you to track your progress, plus help you compare your implementation against other similar size organizations or your industry.

Identity Secure Score

Notes

La plupart des fonctionnalités décrites ici nécessitent un abonnement Azure AD Premium, tandis que certaines sont gratuites.Many of the features described here require an Azure AD Premium subscription, while some are free. Pour plus d’informations, voir la tarification d’Azure Active Directory et la liste de vérification du déploiement d’Azure AD.Please review our Azure Active Directory pricing and Azure AD Deployment checklist for more information.

Avant de commencer : Protéger des comptes privilégiés avec l'authentification multifacteur (MFA)Before you begin: Protect privileged accounts with MFA

Avant de commencer, assurez-vous de ne pas être compromis pendant que vous lisez cette liste de vérification.Before you begin this checklist, make sure you don't get compromised while you're reading this checklist. Vous devez d’abord protéger vos comptes privilégiés.You first need to protect your privileged accounts.

Les attaquants qui prennent le contrôle de comptes privilégiés peuvent causer des dégâts considérables. Il est donc essentiel de protéger d’abord ces comptes.Attackers who get control of privileged accounts can do tremendous damage, so it's critical to protect these accounts first. Activez et exigez l’utilisation d’Azure Multi-Factor Authentication (MFA) pour tous les administrateurs de votre organisation, avec les paramètres par défaut de Sécurité Azure AD ou un accès conditionnel.Enable and require Azure Multi-Factor Authentication (MFA) for all administrators in your organization using Azure AD Security Defaults or Conditional Access. Si vous n’avez pas encore implémenté l’authentification MFA, faites-le maintenant !If you haven't implemented MFA, do it now! C’est particulièrement important.It's that important.

Vous êtes prêt ?All set? Nous pouvons commencer la liste de vérification.Let's get started on the checklist.

Étape 1 - Renforcer vos informations d’identificationStep 1 - Strengthen your credentials

La plupart des failles de sécurité en entreprise proviennent d’un compte compromis avec l’une des méthodes, telles que le jet de mot de passe, la réexécution de violation ou le hameçonnage.Most enterprise security breaches originate with an account compromised with one of a handful of methods such as password spray, breach replay, or phishing. En savoir plus sur ces attaques dans cette vidéo (45 min) :Learn more about these attacks in this video (45 min):

Vérifier que votre organisation utilise une authentification forteMake sure your organization uses strong authentication

Étant donné la fréquence à laquelle les mots de passe sont devinés, hameçonnés, volés par un logiciel malveillant ou réutilisés, il est essentiel de renforcer le mot de passe à l’aide d’une certaine forme d’informations d’identification fortes : en savoir plus sur Azure multi-Factor Authentication.Given the frequency of passwords being guessed, phished, stolen with malware, or reused, it's critical to back the password with some form of strong credential – learn more about Azure Multi-Factor Authentication.

Pour activer facilement le niveau de base de sécurité des identités, vous pouvez utiliser l’activation en un clic avec les paramètres par défaut de Sécurité Azure AD.To easily enable the basic level of identity security, you can use the one-click enablement with Azure AD Security Defaults. Les paramètres par défaut de sécurité appliquent Azure MFA pour tous les utilisateurs d’un locataire, et bloquent les connexions à partir des protocoles hérités à l’échelle du locataire.Security defaults enforce Azure MFA for all users in a tenant and blocks sign-ins from legacy protocols tenant-wide.

Commencer à interdire des mots de passe couramment attaqués et à désactiver la complexité traditionnelle et les règles d’expiration.Start banning commonly attacked passwords and turn off traditional complexity, and expiration rules.

De nombreuses organisations utilisent la complexité traditionnelle (qui requiert des caractères spéciaux, des chiffres, des majuscules et des minuscules) et les règles d’expiration des mots de passe.Many organizations use the traditional complexity (requiring special characters, numbers, uppercase, and lowercase) and password expiration rules. Les recherches de Microsoft ont montré que ces stratégies amènent les utilisateurs à choisir des mots de passe plus faciles à deviner.Microsoft's research has shown these policies cause users to choose passwords that are easier to guess.

La fonctionnalité mot de passe interdit dynamiquement d’Azure AD utilise le comportement actuel des attaquants pour empêcher les utilisateurs de définir des mots de passe faciles à deviner.Azure AD's dynamic banned password feature uses current attacker behavior to prevent users from setting passwords that can easily be guessed. Cette fonctionnalité est toujours activée lorsque des utilisateurs sont créés dans le cloud, mais est désormais également disponible pour les organisations hybrides lorsqu’elles déploient Azure AD password protection for Windows Server Active Directory.This capability is always on when users are created in the cloud, but is now also available for hybrid organizations when they deploy Azure AD password protection for Windows Server Active Directory. La protection de mot de passe Azure AD empêche les utilisateurs de choisir ces mots de passe communs et peut être étendue pour bloquer tout mot de passe contenant des mots clés personnalisés spécifiés par vos soins.Azure AD password protection blocks users from choosing these common passwords and can be extended to block password containing custom keywords you specify. Vous pouvez par exemple empêcher vos utilisateurs de choisir des mots de passe contenant les noms de produits de votre entreprise ou d’une équipe de sport locale.For example, you can prevent your users from choosing passwords containing your company’s product names or a local sport team.

Microsoft recommande d’adopter la stratégie de mot de passe moderne suivante conformément à l’aide NIST :Microsoft recommends adopting the following modern password policy based on NIST guidance:

  1. Exiger des mots de passe comptant au moins 8 caractères.Require passwords have at least 8 characters. Un mot de passe plus long n’est pas forcément mieux adapté, car les utilisateurs choisissent alors des mots de passe prévisibles, enregistrent leurs mots de passe dans des fichiers ou les notent quelque part.Longer isn't necessarily better, as they cause users to choose predictable passwords, save passwords in files, or write them down.
  2. Désactivez les règles d’expiration, qui incitent les utilisateurs à choisir des mots de passe faciles à deviner comme Spring2019! .Disable expiration rules, which drive users to easily guessed passwords such as Spring2019!
  3. Désactivez les exigences de composition de caractères et empêchez les utilisateurs de choisir des mots de passe fréquemment attaqués, car cela incite les utilisateurs à choisir des substitutions de caractères prévisibles dans les mots de passe.Disable character-composition requirements and prevent users from choosing commonly attacked passwords, as they cause users to choose predictable character substitutions in passwords.

Vous pouvez utiliser PowerShell pour empêcher l’expiration des mots de passe des utilisateurs en créant des identités directement dans Azure AD.You can use PowerShell to prevent passwords from expiring for users if you create identities in Azure AD directly. Les organisations hybrides doivent implémenter ces stratégies à l’aide de paramètres de stratégie de groupe de domaine ou de Windows PowerShell.Hybrid organizations should implement these policies using domain group policy settings or Windows PowerShell.

Protection contre la fuite d’informations d’identification et ajout de la tolérance aux pannesProtect against leaked credentials and add resilience against outages

Si votre organisation utilise une solution d’identité hybride avec authentification ou fédération directe, vous devez activer la synchronisation du hachage de mot de passe pour les deux raisons suivantes :If your organization uses a hybrid identity solution with pass-through authentication or federation, then you should enable password hash sync for the following two reasons:

  • Le rapport Utilisateurs avec des informations d’identification volées dans l’administration d’Azure AD vous avertit si des paires nom d’utilisateur/mot de passe ont été exposées sur le « dark web ».The Users with leaked credentials report in the Azure AD management warns you of username and password pairs, which have been exposed on the "dark web." Un volume incroyable de mots de passe fait l’objet d’une fuite via le hameçonnage, les programmes malveillants et la réutilisation de mot de passe sur des sites tiers qui sont ensuite victimes d’une violation de la sécurité.An incredible volume of passwords is leaked via phishing, malware, and password reuse on third-party sites that are later breached. Microsoft recherche un grand nombre de ces informations d'identification ayant fuité et vous indiquera, dans ce rapport, si elles correspondent aux informations d’identification de votre organisation, mais uniquement si vous activez la synchronisation de hachage du mot de passe !Microsoft finds many of these leaked credentials and will tell you, in this report, if they match credentials in your organization – but only if you enable password hash sync!
  • En cas de panne locale (par exemple, au cours d’une attaque de rançongiciel), vous pouvez basculer vers l’authentification cloud à l’aide d’une synchronisation de hachage du mot de passe. Cette méthode d’authentification de secours vous permettra de continuer à accéder aux applications configurées pour l’authentification avec Azure Active Directory, notamment Office 365.In the event of an on-premises outage (for example, in a ransomware attack) you can switch over to using cloud authentication using password hash sync. This backup authentication method will allow you to continue accessing apps configured for authentication with Azure Active Directory, including Office 365. Dans ce cas, le personnel informatique n’aura pas besoin de recourir à des comptes e-mail personnels pour partager des données en attendant que la panne locale soit résolue.In this case, IT staff won't need to resort to personal email accounts to share data until the on-premises outage is resolved.

En savoir plus sur le fonctionnement de la synchronisation de hachage du mot de passe.Learn more about how password hash sync works.

Notes

Si vous activez la synchronisation du hachage de mot de passe et que vous utilisez Azure AD Domain Services, les hachages Kerberos (AES 256) et éventuellement NTLM (RC4, no salt) sont également chiffrés et synchronisés dans Azure AD.If you enable password hash sync and are using Azure AD Domain services, Kerberos (AES 256) hashes and optionally NTLM (RC4, no salt) hashes will also be encrypted and synchronized to Azure AD.

Implémenter le verrouillage intelligent extranet AD FSImplement AD FS extranet smart lockout

Les organisations qui configurent des applications pour s’authentifier directement auprès d’Azure AD bénéficient du verrouillage intelligent Azure AD.Organizations, which configure applications to authenticate directly to Azure AD benefit from Azure AD smart lockout. Si vous utilisez AD FS dans Windows Server 2012 R2, implémentez la protection par verrouillage extranet AD FS.If you use AD FS in Windows Server 2012R2, implement AD FS extranet lockout protection. Si vous utilisez AD FS sur Windows Server 2016, implémentez le verrouillage extranet intelligent.If you use AD FS on Windows Server 2016, implement extranet smart lockout. Le verrouillage extranet intelligent d’AD FS protège contre les attaques par force brute qui ciblent AD FS tout en empêchant le verrouillage des utilisateurs dans Active Directory.AD FS Smart Extranet lockout protects against brute force attacks, which target AD FS while preventing users from being locked out in Active Directory.

Tirer parti d’informations d’identification intrinsèquement sécurisées et plus faciles à utiliserTake advantage of intrinsically secure, easier to use credentials

Avec Windows Hello, vous pouvez remplacer les mots de passe par une authentification à deux facteurs forte sur les PC et appareils mobiles.Using Windows Hello, you can replace passwords with strong two-factor authentication on PCs and mobile devices. Cette authentification se compose d’un nouveau type d’informations d’identification utilisateur liées de manière sécurisée à un appareil et utilise un code biométriques ou un code PIN.This authentication consists of a new type of user credential that is tied securely to a device and uses a biometric or PIN.

Étape 2 - Réduire votre surface d’attaqueStep 2 - Reduce your attack surface

Étant donné l’omniprésence de la compromission des mots de passe, il est essentiel de réduire la surface d’attaque de votre organisation.Given the pervasiveness of password compromise, minimizing the attack surface in your organization is critical. Éliminer l’utilisation des protocoles plus anciens et moins sécurisés, limiter les points d’entrée et exercer un contrôle plus important de l’accès administratif aux ressources peuvent aider à réduire la surface d’attaque.Eliminating use of older, less secure protocols, limiting access entry points, and exercising more significant control of administrative access to resources can help reduce the attack surface area.

Bloquer l’authentification héritéeBlock legacy authentication

Les applications utilisant leurs propres méthodes héritées pour s’authentifier auprès d’Azure AD et accéder aux données d’entreprise présentent un autre risque pour les organisations.Apps using their own legacy methods to authenticate with Azure AD and access company data, pose another risk for organizations. Exemples d’applications utilisant une authentification héritée : clients POP3, IMAP4 ou SMTP.Examples of apps using legacy authentication are POP3, IMAP4, or SMTP clients. Les applications à authentification héritée s’authentifient au nom de l’utilisateur et empêchent Azure AD de procéder à des évaluations avancées de la sécurité.Legacy authentication apps authenticate on behalf of the user and prevent Azure AD from doing advanced security evaluations. L’authentification alternative et moderne permet de réduire les risques de sécurité, car elle prend en charge l’authentification multifacteur et l’accès conditionnel.The alternative, modern authentication, will reduce your security risk, because it supports multi-factor authentication and Conditional Access. Nous vous recommandons les trois actions suivantes :We recommend the following three actions:

  1. Bloquez l’authentification héritée, si vous utilisez AD FS.Block legacy authentication if you use AD FS.
  2. Configurez SharePoint Online et Exchange Online pour utiliser l’authentification moderne.Setup SharePoint Online and Exchange Online to use modern authentication.
  3. Si vous avez Azure AD Premium, utilisez des stratégies d’accès conditionnel pour bloquer l’authentification héritée. Sinon, utilisez les paramètres par défaut de Sécurité Azure AD.If you have Azure AD Premium, use Conditional Access policies to block legacy authentication, otherwise use Azure AD Security Defaults.

Bloquer les points d’entrée d’authentification non valideBlock invalid authentication entry points

En adoptant l’idée qu’une violation de la sécurité peut se produire, vous devez réduire l’impact des informations d’identification utilisateur compromises le cas échéant.Using the assume breach mentality, you should reduce the impact of compromised user credentials when they happen. Pour chaque application dans votre environnement, considérez les cas d’utilisation valides : quels groupes, réseaux, appareils et autres éléments sont autorisés, puis bloquez le reste.For each app in your environment consider the valid use cases: which groups, which networks, which devices and other elements are authorized – then block the rest. Avec l’accès conditionnel Azure AD, vous pouvez contrôler comment les utilisateurs autorisés accèdent à leurs applications et ressources selon des conditions spécifiques que vous définissez.With Azure AD Conditional Access, you can control how authorized users access their apps and resources based on specific conditions you define.

Il est important de comprendre les différentes expériences de consentement d’application d’Azure AD, les types d’autorisations et de consentementet leurs implications sur la sécurité de votre organisation.It’s important to understand the various Azure AD application consent experiences, the types of permissions and consent, and their implications on your organization’s security posture. Par défaut, tous les utilisateurs de Azure AD peuvent autoriser les applications qui tirent parti de la plateforme Microsoft Identity à accéder aux données de votre organisation.By default, all users in Azure AD can grant applications that leverage the Microsoft identity platform to access your organization’s data. Ce consentement, qui permet aux utilisateurs d’acquérir facilement des applications utiles qui s’intègrent à Microsoft 365, à Azure et à d’autres services, peut cependant représenter un risque s’il n’est pas utilisé et surveillé avec précaution.While allowing users to consent by themselves does allow users to easily acquire useful applications that integrate with Microsoft 365, Azure and other services, it can represent a risk if not used and monitored carefully.

Microsoft vous recommande de restreindre le consentement de l’utilisateur pour aider à réduire votre surface d’exposition et à atténuer ce risque.Microsoft recommends restricting user consent to help reduce your surface area and mitigate this risk. Vous pouvez également utiliser les stratégies de consentement d’application (version préliminaire) pour limiter le consentement de l’utilisateur final aux seuls éditeurs vérifiés et uniquement pour les autorisations que vous sélectionnez.You may also use app consent policies (preview) to restrict end-user consent to only verified publishers and only for permissions you select. Si le consentement de l’utilisateur final est restreint, les autorisations de consentement préalables sont toujours respectées, mais toutes les opérations de consentement futures doivent être effectuées par un administrateur.If end-user consent is restricted, previous consent grants will still be honored but all future consent operations must be performed by an administrator. Dans les cas où la restriction s’applique, le consentement de l’administrateur peut être demandé par les utilisateurs via un workflow de requête d’autorisation d’administrateur intégré ou par le biais de vos propres processus de support.For restricted cases, admin consent can be requested by users through an integrated admin consent request workflow or through your own support processes. Avant de restreindre le consentement de l’utilisateur final, suivez nos recommandations pour planifier cette modification dans votre organisation.Before restricting end-user consent, use our recommendations to plan this change in your organization. Pour les applications auxquelles vous souhaitez autoriser l’accès à tous les utilisateurs, envisagez d’accorder le consentement pour le compte de tous les utilisateurs, en vous assurant que les utilisateurs qui n’ont pas encore accepté individuellement pourront accéder à l’application.For applications you wish to allow all users to access, consider granting consent on behalf of all users, making sure users who have not yet consented individually will be able to access the app. Si vous ne souhaitez pas que ces applications soient disponibles pour tous les utilisateurs dans tous les scénarios, utilisez l’affectation d’application et l’accès conditionnel pour restreindre l’accès des utilisateurs aux applications spécifiques.If you do not want these applications to be available to all users in all scenarios, use application assignment and Conditional Access to restrict user access to specific apps.

Assurez-vous que les utilisateurs peuvent demander l’approbation de l’administrateur pour les nouvelles applications afin de réduire la friction des utilisateurs, de réduire le volume de support et d’empêcher les utilisateurs de s’inscrire aux applications en utilisant des informations d’identification différentes de celles d’Azure AD.Make sure users can request admin approval for new applications to reduce user friction, minimize support volume, and prevent users from signing up for applications using non-Azure AD credentials. Une fois que vous avez régulé vos opérations de consentement, les administrateurs doivent auditer régulièrement l’application et les autorisations accordées.Once you regulate your consent operations, administrators should audit app and consented permissions on a regular basis.

Mettre en œuvre Azure AD Privileged Identity ManagementImplement Azure AD Privileged Identity Management

Un autre impact de la « violation supposée » est le besoin de réduire la probabilité qu’un compte compromis peut fonctionner avec un rôle privilégié.Another impact of "assume breach" is the need to minimize the likelihood a compromised account can operate with a privileged role.

Azure AD Privileged Identity Management (PIM) vous aide à réduire les privilèges de compte en vous aidant à :Azure AD Privileged Identity Management (PIM) helps you minimized account privileges by helping you:

  • Identifier et gérer les utilisateurs affectés aux rôles d’administration.Identify and manage users assigned to administrative roles.
  • Comprendre les rôles avec des privilèges inutilisés ou excessifs que vous devez supprimer.Understand unused or excessive privilege roles you should remove.
  • Établir des règles pour vous assurer que les rôles privilégiés sont protégés par l’authentification multifacteur.Establish rules to make sure privileged roles are protected by multi-factor authentication.
  • Établir des règles pour vous assurer que les rôles privilégiés ne sont accordés que pendant le temps nécessaire pour accomplir la tâche privilégiée.Establish rules to make sure privileged roles are granted only long enough to accomplish the privileged task.

Activez Azure AD PIM, puis affichez les utilisateurs qui sont affectés à des rôles d’administration et supprimez les comptes inutiles dans ces rôles.Enable Azure AD PIM, then view the users who are assigned administrative roles and remove unnecessary accounts in those roles. Pour les autres utilisateurs privilégiés, déplacez-les de l’état permanent à l’état éligible.For remaining privileged users, move them from permanent to eligible. Enfin, établissez des stratégies appropriées pour vous assurer que lorsque ces utilisateurs ont besoin d’accéder à ces rôles privilégiés, ils peuvent le faire en toute sécurité, avec le contrôle nécessaire des modifications.Finally, establish appropriate policies to make sure when they need to gain access to those privileged roles, they can do so securely, with the necessary change control.

Dans le cadre du déploiement de votre processus de compte privilégié, respectez les meilleures pratiques pour créer au moins deux comptes d’urgence afin d’être sûr de pouvoir toujours accéder à Azure AD si vous êtes bloqué.As part of deploying your privileged account process, follow the best practice to create at least two emergency accounts to make sure you still have access to Azure AD if you lock yourself out.

Étape 3 - Automatiser la réponse aux menacesStep 3 - Automate threat response

Azure Active Directory comporte de nombreuses fonctionnalités qui interceptent automatiquement les attaques, afin de supprimer la latence entre la détection et la réponse.Azure Active Directory has many capabilities that automatically intercept attacks, to remove the latency between detection and response. Vous pouvez limiter les coûts et les risques lorsque vous réduisez le temps dont les attaquants ont besoin pour s’insérer dans votre environnement.You can reduce the costs and risks, when you reduce the time criminals use to embed themselves into your environment. Voici les étapes concrètes que vous pouvez appliquer.Here are the concrete steps you can take.

Mettre en œuvre une stratégie de sécurité en matière de risque des utilisateurs à l’aide d’Azure AD Identity ProtectionImplement user risk security policy using Azure AD Identity Protection

Le risque utilisateur indique la probabilité que l'identité d'un utilisateur ait été compromise et est calculé en fonction des détections de risque utilisateur associées à l'identité d'un utilisateur.User risk indicates the likelihood a user's identity has been compromised and is calculated based on the user risk detections that are associated with a user's identity. Une stratégie en matière de risque des utilisateurs est une stratégie d’accès conditionnel qui évalue le niveau de risque pour un groupe ou un utilisateur spécifique.A user risk policy is a Conditional Access policy that evaluates the risk level to a specific user or group. Selon un niveau de risque Faible, Moyen ou Élevé, une stratégie peut être configurée pour bloquer l’accès ou exiger une modification du mot de passe sécurisée à l’aide de l’authentification multifacteur.Based on Low, Medium, High risk-level, a policy can be configured to block access or require a secure password change using multi-factor authentication. La recommandation de Microsoft est d’exiger une modification du mot de passe sécurisée pour les utilisateurs présentant un risque élevé.Microsoft's recommendation is to require a secure password change for users on high risk.

Utilisateurs associés à un indicateur de risque

Mettre en œuvre une stratégie en matière de risque à la connexion à l’aide d’Azure AD Identity ProtectionImplement sign-in risk policy using Azure AD Identity Protection

Le risque à la connexion est la probabilité qu’une personne autre que le propriétaire du compte tente de se connecter à l’aide de l’identité.Sign-in risk is the likelihood someone other than the account owner is attempting to sign on using the identity. Une stratégie en matière de risque à la connexion est une stratégie d’accès conditionnel qui évalue le niveau de risque pour un groupe ou un utilisateur spécifique.A sign-in risk policy is a Conditional Access policy that evaluates the risk level to a specific user or group. Selon un niveau de risque (élevé, moyen, faible), une stratégie peut être configurée pour bloquer l’accès ou exiger l’authentification multifacteur.Based on the risk level (high/medium/low), a policy can be configured to block access or force multi-factor authentication. Veillez à exiger l’authentification multifacteur pour les connexions présentant un risque Moyen ou supérieur.Make sure you force multi-factor authentication on Medium or above risk sign-ins.

Connexion à partir d’adresses IP anonymes

Étape 4 - Utiliser l’intelligence cloudStep 4 - Utilize cloud intelligence

L’audit et la journalisation des événements liés à la sécurité, de même que les alertes associées, constituent des composants essentiels dans une stratégie de protection efficace.Auditing and logging of security-related events and related alerts are essential components of an efficient protection strategy. Les journaux d’activité et les rapports de sécurité vous fournissent un enregistrement électronique des activités suspectes et vous aident à détecter les motifs pouvant indiquer une tentative d’intrusion ou une intrusion externe effective sur le réseau, ainsi que des attaques internes.Security logs and reports provide you with an electronic record of suspicious activities and help you detect patterns that may indicate attempted or successful external penetration of the network, and internal attacks. Vous pouvez avoir recours aux audits pour surveiller les activités des utilisateurs, documenter la conformité aux exigences réglementaires, effectuer des analyses d’investigation, etc.You can use auditing to monitor user activity, document regulatory compliance, do forensic analysis, and more. Les alertes fournissent des notifications des événements de sécurité.Alerts provide notifications of security events.

Surveiller Azure ADMonitor Azure AD

Les services et fonctionnalités Microsoft Azure vous proposent des options d’audit et de journalisation configurables qui permettent d’identifier les lacunes dans vos stratégies et mécanismes de sécurité et d’y remédier pour empêcher les violations éventuelles.Microsoft Azure services and features provide you with configurable security auditing and logging options to help you identify gaps in your security policies and mechanisms and address those gaps to help prevent breaches. Vous pouvez utiliser l’audit et la journalisation Azure et les Rapports d’activité d’audit dans le portail Azure Active Directory.You can use Azure Logging and Auditing and use Audit activity reports in the Azure Active Directory portal.

Surveiller Azure AD Connect Health dans les environnements hybridesMonitor Azure AD Connect Health in hybrid environments

La surveillance d’AD FS avec Azure AD Connect Health vous offre un meilleur insight sur les problèmes potentiels et une meilleure visibilité des attaques sur votre infrastructure AD FS.Monitoring AD FS with Azure AD Connect Health provides you with greater insight into potential issues and visibility of attacks on your AD FS infrastructure. Azure AD Connect Health fournit des alertes avec des détails, des étapes de résolution et des liens vers la documentation associée ; l’analytique de l’utilisation pour plusieurs métriques relatives au trafic de l’authentification ; la surveillance des rapports pour les performances.Azure AD Connect Health delivers alerts with details, resolution steps, and links to related documentation; usage analytics for several metrics related to authentication traffic; performance monitoring and reports.

Azure AD Connect Health

Surveiller les événements Azure AD Identity ProtectionMonitor Azure AD Identity Protection events

Azure AD Identity Protection est un outil de notification, de surveillance et de rapports que vous pouvez utiliser pour détecter les vulnérabilités potentielles qui affectent les identités de votre organisation.Azure AD Identity Protection is a notification, monitoring and reporting tool you can use to detect potential vulnerabilities affecting your organization's identities. Il repère les détections à risque, telles que les fuites d'informations d'identification, les déplacements impossibles, les connexions à partir d'appareils infectés, les adresses IP anonymes, les adresses IP associées à une activité suspecte et les emplacements inconnus.It detects risk detections, such as leaked credentials, impossible travel, and sign-ins from infected devices, anonymous IP addresses, IP addresses associated with the suspicious activity, and unknown locations. Activez les alertes de notification pour recevoir par un e-mail désignant les utilisateurs exposés et/ou un e-mail de résumé hebdomadaire.Enable notification alerts to receive email of users at risk and/or a weekly digest email.

Azure AD Identity Protection fournit deux rapports importants que vous devez surveiller tous les jours :Azure AD Identity Protection provides two important reports you should monitor daily:

  1. Les rapports sur les connexions à risque mettent en avant les activités de connexion d’utilisateurs que vous devriez examiner parce qu’il est possible que la connexion n’ait pas été établie par le propriétaire légitime.Risky sign-in reports will surface user sign-in activities you should investigate, the legitimate owner may not have performed the sign-in.
  2. Les rapports sur les utilisateurs à risque mettent l’accent sur des comptes d’utilisateurs qui ont pu être compromis, par exemple, parce qu’une fuite des informations d’identification a été détectée ou que l’utilisateur s’est connecté à partir de différents emplacements alors qu’un déplacement était objectivement impossible.Risky user reports will surface user accounts that may have been compromised, such as leaked credential that was detected or the user signed in from different locations causing an impossible travel event.

Utilisateurs associés à un indicateur de risque

Applications d’audit et autorisations accordéesAudit apps and consented permissions

Les utilisateurs risquent d’entrer en contact à leur insu avec un site web ou des applications compromis qui pourront ainsi accéder aux informations de leur profil et à des données à caractère personnel telles que leur adresse e-mail.Users can be tricked into navigating to a compromised web site or apps that will gain access to their profile information and user data, such as their email. Un intervenant malveillant peut utiliser les autorisations accordées pour chiffrer le contenu de leur boîte aux lettres et leur demander une rançon pour récupérer les données de leur boîte aux lettres.A malicious actor can use the consented permissions it received to encrypt their mailbox content and demand a ransom to regain your mailbox data. Les administrateurs doivent examiner et auditer les autorisations accordées par les utilisateurs ou désactiver la capacité des utilisateurs à donner leur consentement par défaut.Administrators should review and audit the permissions given by users or disable the ability of users to give consent by default.

Outre l’audit des autorisations fournies par les utilisateurs, vous pouvez localiser les applications OAuth risquées ou indésirables dans les environnements Premium.In addition to auditing the permissions given by users, you can locate risky or unwanted OAuth applications in premium environments.

Étape 5 - Activer le libre-service pour l’utilisateur finalStep 5 - Enable end-user self-service

Vous voulez, autant que possible, équilibrer la sécurité avec la productivité.As much as possible you'll want to balance security with productivity. Tout comme vous vous efforcez d’établir une base pour la sécurité sur le long terme, vous pouvez supprimer toute friction dans votre organisation en habilitant vos utilisateurs tout en restant vigilant.Along the same lines of approaching your journey with the mindset that you're setting a foundation for security in the long run, you can remove friction from your organization by empowering your users while remaining vigilant.

Mettre en œuvre la réinitialisation du mot de passe libre-serviceImplement self-service password reset

La réinitialisation de mot de passe en libre-service (SSPR) d’Azure AD offre aux administrateurs informatiques un moyen simple pour permettre aux utilisateurs de réinitialiser ou de déverrouiller leurs comptes ou leurs mots de passe, sans intervention du support technique ou de l’administrateur.Azure AD's self-service password reset (SSPR) offers a simple means for IT administrators to allow users to reset or unlock their passwords or accounts without help desk or administrator intervention. Le système inclut des rapports détaillés consignant quand des utilisateurs ont réinitialisé leurs mots de passe, ainsi que des notifications pour vous avertir de toute utilisation malveillante ou abusive.The system includes detailed reporting that tracks when users have reset their passwords, along with notifications to alert you to misuse or abuse.

Implémenter l’accès en libre-service aux groupes et aux applicationsImplement self-service group and application access

Azure AD permet aux non-administrateurs de gérer l’accès aux ressources, à l’aide de groupes de sécurité, de groupes Office 365, de rôles d’application et de catalogues de packages d’accès.Azure AD provides the ability to non-administrators to manage access to resources, using security groups, Office 365 groups, application roles, and access package catalogs. La gestion des groupes en libre-service permet aux propriétaires de groupes de gérer leurs propres groupes sans se voir attribuer de rôle d’administrateur.Self-service group management enables group owners to manage their own groups, without needing to be assigned an administrative role. Les utilisateurs peuvent également créer et gérer des groupes Office 365 sans dépendre d’administrateurs pour gérer leurs demandes, et les groupes inutilisés expirent automatiquement.Users can also create and manage Office 365 groups without relying on administrators to handle their requests, and unused groups expire automatically. La Gestion des droits d’utilisation Azure AD permet une délégation et une visibilité supplémentaires, avec des flux de travail de demande d’accès complets et une expiration automatique.Azure AD entitlement management further enables delegation and visibility, with comprehensive access request workflows and automatic expiration. Vous pouvez déléguer à des non-administrateurs la possibilité de configurer leurs propres packages d’accès pour les groupes, les équipes, les applications et les sites SharePoint Online qu’ils possèdent, avec des stratégies personnalisées pour les personnes qui doivent approuver l’accès, y compris la configuration de responsables des employés et de sponsors partenaires commerciaux en tant qu’approbateurs.You can delegate to non-administrators the ability to configure their own access packages for groups, Teams, applications, and SharePoint Online sites they own, with custom policies for who is required to approve access, including configuring employee's managers and business partner sponsors as approvers.

Mettre en œuvre les révisions d’accès Azure ADImplement Azure AD access reviews

Avec les révisions d’accès Azure AD, vous pouvez gérer le package d’accès et les appartenances à un groupe, l’accès aux applications d’entreprise et les affectations de rôle privilégié pour veiller à maintenir une norme de sécurité.With Azure AD access reviews, you can manage access package and group memberships, access to enterprise applications, and privileged role assignments to make sure you maintain a security standard. Une supervision régulière par les utilisateurs eux-mêmes, des propriétaires de ressources et d’autres réviseurs garantit que les utilisateurs ne conservent pas l’accès pendant des périodes prolongées quand ils n’en ont plus besoin.Regular oversight by the users themselves, resource owners, and other reviewers ensure that users don't retain access for extended periods of time when they no longer need it.

RésuméSummary

Une infrastructure d’identité sécurisée est composée de nombreux aspects, mais cette liste de vérification en cinq étapes vous aidera à obtenir rapidement une infrastructure d’identité plus sûre et sécurisée :There are many aspects to a secure Identity infrastructure, but this five-step checklist will help you quickly accomplish a safer and secure identity infrastructure:

  • Renforcer vos informations d’identification.Strengthen your credentials.
  • Réduire votre surface d’attaque.Reduce your attack surface area.
  • Automatiser la réponse aux menaces.Automate threat response.
  • Utiliser l’intelligence cloud.Utilize cloud intelligence.
  • Permettre une sécurité de l’utilisateur plus prévisible et complète grâce à l’auto-assistance.Enable more predictable and complete end-user security with self-help.

Nous sommes heureux de l’importance que vous accordez à l’identité de sécurité et nous espérons que ce document constitue une feuille de route utile vers une position plus sécurisée pour votre organisation.We appreciate how seriously you take Identity Security and hope this document is a useful roadmap to a more secure posture for your organization.

Étapes suivantesNext steps

Si vous avez besoin d’aide pour planifier et déployer les recommandations, consultez les plans de déploiement de projet d’Azure AD.If you need assistance to plan and deploy the recommendations, refer to the Azure AD project deployment plans for help.

Si vous êtes certain que toutes ces étapes sont accomplies, utilisez le score d’identité sécurisée de Microsoft, qui vous permet de rester informé des dernières meilleures pratiques et menaces de sécurité.If you're confident all these steps are complete, use Microsoft’s Identity Secure Score, which will keep you up to date with the latest best practices and security threats.