Vue d’ensemble de Microsoft Entra ID Protection
Microsoft Entra ID Protection vous permet de détecter, éliminer et investiguer automatiquement les risques liés aux identités pour votre organisation.
La société de distribution pour laquelle vous travaillez est soucieuse de sa réputation. Des identités compromises ont déjà permis à des utilisateurs malveillants d’obtenir des informations client de façon frauduleuse. Ces attaques ont entaché la réputation de votre organisation et ont fini par affecter sa rentabilité. Votre responsable vous a demandé d’étudier Identity Protection comme solution. Il vous a demandé de lui faire un rapport sur ce que fait le service et comment il est utilisé.
Dans cette unité, vous découvrez Identity Protection ainsi que les risques liés à son utilisation. Vous explorez les différents workflows à votre disposition dans Identity Protection pour protéger vos identités.
Qu’est-ce que Microsoft Entra ID Protection ?
Identity Protection est une solution intégrée à Microsoft Entra, conçue pour protéger vos identités au moyen d’un processus en trois parties.
Le domaine de votre entreprise est la distribution, pas la protection des identités. Celle-ci souhaite continuer à se concentrer sur son domaine de prédilection, tout en s’assurant qu’elle est protégée contre les risques liés aux identités. Votre organisation peut utiliser Identity Protection pour automatiser la détection, l’investigation et l’élimination des risques liés aux identités des utilisateurs sans recruter d’experts en sécurité coûteux.
Que sont les risques ?
Les risques sont classés en deux catégories : les risques liés aux utilisateurs et les risques liés aux connexions. Nous pouvons décrire les risques liés aux utilisateurs comme des actions effectuées par les utilisateurs après la connexion, et les risques liés aux connexions en tant qu’activité et actions suspectes des utilisateurs lorsqu’ils se connectent.
Risque utilisateur
Un utilisateur à risque est un utilisateur dont l’identité ou le compte est compromis. Les utilisateurs à risque peuvent être :
| Risque | Description |
|---|---|
| Comportement inhabituel | Le compte a montré une activité inhabituelle, ou les modèles d’utilisation sont similaires aux modèles que les systèmes et experts Microsoft ont identifiés comme des attaques. |
| Fuite des informations d’identification | Les informations d’identification de l’utilisateur ont peut-être fuité. Par exemple, Microsoft a peut-être trouvé une liste d’informations d’identification fuitées sur le dark web, ce qui peut affecter vos comptes d’utilisateur. |
Connexion à risque
Ici, Identity Protection examine chaque demande d’authentification pour déterminer si le propriétaire de l’identité l’a autorisée. Les connexions à risque peuvent être :
| Risque | Description |
|---|---|
| Propriétés de connexion inhabituelles | Identity Protection mémorise et apprend l’historique des connexions d’un utilisateur en particulier. Par exemple, lorsqu’une connexion est établie à partir d’un emplacement inhabituel pour l’utilisateur, une détection des risques est déclenchée. |
| Voyage atypique | Par exemple, quand au moins deux connexions sont établies à partir d’emplacements distants, dans un laps de temps trop bref pour être réalisable, une détection des risques est déclenchée. |
| Adresse IP liée à un programme malveillant | Par exemple, si l’adresse IP d’où provient la connexion est connue pour avoir été en contact avec un serveur de bot actif, une détection de risque est déclenchée. |
| Adresse IP anonyme | Par exemple, une connexion provient d’une adresse IP anonyme. Comme des attaquants peuvent exploiter ces informations pour masquer leur adresse IP réelle ou leur emplacement, une détection de risque est déclenchée. |
Workflow de Protection de l'ID Microsoft Entra
Il existe deux façons de détecter et de gérer les risques liés à l’identité : le workflow d’auto-élimination et le workflow d’élimination par l’administrateur.
Workflow d’auto-élimination
Identity Protection utilise des stratégies de risque pour répondre automatiquement aux menaces détectées pour vous. Vous pouvez configurer une stratégie de risque pour décider comment Identity Protection doit répondre à un type de risque particulier. Ensuite, vous choisissez l’action que l’utilisateur est invité à effectuer. Il peut s’agir d’une réinitialisation de mot de passe en libre-service ou de l’application d’une authentification multifacteur. L’utilisation de stratégies de cette manière vous permet de gagner du temps et vous offre une tranquillité d’esprit.
Dans ce workflow, l’administrateur configure d’abord les stratégies de risque qui surveillent ensuite les risques liés aux identités. Si elles détectent un risque, les stratégies appliquent des mesures pour l’éliminer. Une stratégie pourrait, par exemple, inviter un utilisateur à réinitialiser son mot de passe en réponse à un risque détecté. L’utilisateur réinitialise son mot de passe et le risque est éliminé.
Workflow d’élimination par l’administrateur
Vous pouvez aussi faire en sorte que les administrateurs décident du mode d’élimination du risque qui a été détecté par vos stratégies de risque. Ce type de workflow d’élimination vous aide à prendre des décisions plus adaptées. L’administrateur comprend le contexte dans lequel les risques ont été détectés.
Dans ce workflow, l’administrateur configure les stratégies de risque. Ces stratégies surveillent ensuite les risques liés aux identités. L’administrateur est informé des risques dans un rapport. L’administrateur consulte le rapport détaillé et prend les mesures nécessaires pour éliminer les risques. Par exemple, un administrateur peut décider qu’une connexion est sécurisée et accepter le risque.