Protéger les comptes d’administrateur général dans votre environnement de test Microsoft 365 pour entrepriseProtect global administrator accounts in your Microsoft 365 for enterprise test environment

Ce guide de laboratoire de test ne peut être utilisé que pour les environnements de test Microsoft 365 pour les entreprises.This Test Lab Guide can only be used for Microsoft 365 for enterprise test environments.

Vous pouvez empêcher les attaques numériques sur votre organisation en vous assurant que vos comptes d’administrateur sont aussi sécurisés que possible.You can prevent digital attacks on your organization by ensuring that your administrator accounts are as secure as possible.

Cet article explique comment utiliser les stratégies d’accès conditionnel Azure Active Directory (Azure AD) pour protéger les comptes d’administrateur général.This article describes how to use Azure Active Directory (Azure AD) conditional access policies to protect global administrator accounts.

La protection des comptes d’administrateur général dans votre environnement de test Microsoft 365 pour entreprise implique deux phases :Protecting global administrator accounts in your Microsoft 365 for enterprise test environment involves two phases:

Guides de laboratoire de test pour Microsoft Cloud

Conseil

Pour obtenir une carte visuelle de tous les articles de la pile du Guide de laboratoire de test Microsoft 365 pour entreprise, allez à Microsoft 365 for enterprise Test Lab Guide Stack.For a visual map to all the articles in the Microsoft 365 for enterprise Test Lab Guide stack, go to Microsoft 365 for enterprise Test Lab Guide Stack.

Phase 1 : Créer votre environnement de test Microsoft 365 pour entreprisePhase 1: Build out your Microsoft 365 for enterprise test environment

Si vous souhaitez tester la protection des comptes d’administrateur général de manière légère avec la configuration minimale requise, suivez les instructions de la configuration de base légère.If you want to test global administrator account protection in a lightweight way with the minimum requirements, follow the instructions in Lightweight base configuration.

Si vous souhaitez tester la protection des comptes d’administrateur général dans une entreprise simulée, suivez les instructions de l’authentification directe.If you want to test global administrator account protection in a simulated enterprise, follow the instructions in Pass-through authentication.

Notes

Le test de la protection des comptes d’administrateur général ne nécessite pas l’environnement de test en entreprise simulée, qui inclut un intranet simulé connecté à Internet et la synchronisation d’annuaires pour les services de domaine Active Directory (AD DS).Testing global administrator account protection does not require the simulated enterprise test environment, which includes a simulated intranet connected to the internet and directory synchronization for an Active Directory Domain Services (AD DS). Il est fourni ici en tant qu’option afin que vous pouvez tester la protection des comptes d’administrateur général et l’expérimenter dans un environnement qui représente une organisation classique.It is provided here as an option so that you can test global administrator account protection and experiment with it in an environment that represents a typical organization.

Phase 2 : Configuration des stratégies d’accès conditionnelPhase 2: Configure conditional access policies

Tout d’abord, créez un compte d’utilisateur en tant qu’administrateur général dédié.First, create a new user account as a dedicated global administrator.

  1. Sous un onglet distinct, ouvrez le Centre d’administration Microsoft 365.On a separate tab, open the Microsoft 365 admin center.
  2. Sélectionnez > Utilisateurs actifs, puis ajoutez un utilisateur.Select Users > Active users, and then select Add a user.
  3. Dans le volet Ajouter un utilisateur, entrez DedicatedAdmin dans les zones Prénom, Nom d’affichage et Nom d’utilisateur.In the Add user pane, enter DedicatedAdmin in the First name, Display name, and Username boxes.
  4. Sélectionnez Mot de passe, Sélectionnez Me laisser créer le mot de passe, puis entrez un mot de passe fort.Select Password, select Let me create the password, and then enter a strong password. Enregistrez le mot de passe de ce nouveau compte dans un emplacement sécurisé.Record the password for this new account in a secure location.
  5. Sélectionnez Suivant.Select Next.
  6. Dans le volet Attribuer des licences de produit, sélectionnez Microsoft 365 E5, puis sélectionnez Suivant.In the Assign product licenses pane, select Microsoft 365 E5, and then select Next.
  7. Dans le volet Paramètres facultatifs, sélectionnez Rôles > Admin center access Global > admin > Next.In the Optional settings pane, select Roles > Admin center access > Global admin > Next.
  8. Dans le volet Vous avez presque terminé, sélectionnez Terminer l’ajout, puis fermez.On the You're almost done pane, select Finish adding, and then select Close.

Ensuite, créez un groupe nommé GlobalAdmins et ajoutez-y le compte DedicatedAdmin.Next, create a new group named GlobalAdmins and add the DedicatedAdmin account to it.

  1. Sous l’onglet Centre d’administration Microsoft 365, sélectionnez Groupes dans le navigation de gauche, puis Groupes.On the Microsoft 365 admin center tab, select Groups in the left navigation, and then select Groups.
  2. Sélectionnez Ajouter un groupe.Select Add a group.
  3. Dans le volet Choisir un type de groupe, sélectionnez Sécurité, puis Sélectionnez Suivant.In the Choose a group type pane, select Security, and then select Next.
  4. Dans le volet Configurer les informations de base, sélectionnez Créer un groupe, puis fermez. In the Set up the basics pane, select Create group, and then select Close.
  5. Dans le volet Révision et fin de l’ajout de groupes, entrez GlobalAdmins, puis sélectionnez Suivant.In the Review and finish adding group pane, enter GlobalAdmins, and then select Next.
  6. Dans la liste des groupes, sélectionnez le groupe GlobalAdmins.In the list of groups, select the GlobalAdmins group.
  7. Dans le volet GlobalAdmins, sélectionnez Membres, puis afficher tout et gérer les membres.In the GlobalAdmins pane, select Members, and then select View all and manage members.
  8. Dans le volet GlobalAdmins, sélectionnez Ajouter des membres, sélectionnez le compte DedicatedAdmin et votre compte d’administrateur global, puis sélectionnez Enregistrer > fermer. > In the GlobalAdmins pane, select Add members, select the DedicatedAdmin account and your global admin account, and then select Save > Close > Close.

Ensuite, créez des stratégies d’accès conditionnel pour exiger l’authentification multifacteur pour les comptes d’administrateur général et refuser l’authentification si le risque de se connecte est moyen ou élevé.Next, create conditional access policies to require multi-factor authentication for global administrator accounts and to deny authentication if the sign-in risk is medium or high.

Cette première stratégie nécessite que tous les comptes d’administrateur général utilisent l’mf.This first policy requires that all global administrator accounts use MFA.

  1. Dans un nouvel onglet de votre navigateur, allez à https://portal.azure.com .In a new tab of your browser, go to https://portal.azure.com.
  2. Cliquez sur Accès conditionnel à la sécurité Azure Active Directory. > > Click Azure Active Directory > Security > Conditional Access.
  3. Dans le volet Accès conditionnel – Stratégies, sélectionnez Stratégie de référence : Exiger l’pertinence de l’élection de l’élection (prévisualisation) pour les administrateurs.In the Conditional access – Policies pane, select Baseline policy: Require MFA for admins (preview).
  4. Dans le volet Stratégie de référence, sélectionnez Utiliser la stratégie immédiatement > Enregistrer.In the Baseline policy pane, select Use policy immediately > Save.

Cette deuxième stratégie bloque l’accès à l’authentification de compte d’administrateur général lorsque le risque de se connecte est moyen ou élevé.This second policy blocks access to global administrator account authentication when the sign-in risk is medium or high.

  1. Dans le volet Accès conditionnel – Stratégies, sélectionnez Nouvelle stratégie.In the Conditional access – Policies pane, select New policy.
  2. Dans le nouveau volet, entrez Administrateurs globaux dans Nom.In the New pane, enter Global administrators in Name.
  3. Dans la section Affectations, sélectionnez Utilisateurs et groupes.In the Assignments section, select Users and groups.
  4. Dans l’onglet Inclure du volet Utilisateurs et groupes, sélectionnez Sélectionner des utilisateurs et des groupes > Utilisateurs et > groupes Sélectionner.On the Include tab of the Users and groups pane, select Select users and groups > Users and groups > Select.
  5. Dans le volet Sélectionner, sélectionnez le groupe GlobalAdmins, puis sélectionnez > Terminé.In the Select pane, select the GlobalAdmins group, and then select Select > Done.
  6. Dans la section Affectations, sélectionnez Conditions.In the Assignments section, select Conditions.
  7. Dans le volet Conditions, sélectionnez Risque de se connectez, sélectionnez Oui pour Configurer, Sélectionner Élevé et Moyen, puis Sélectionnez Sélectionner et Terminé. In the Conditions pane, select Sign-in risk, select Yes for Configure, select High and Medium, and then select Select and Done.
  8. Dans la section Contrôles d’accès du nouveau volet, sélectionnez Accorder.In the Access controls section of the New pane, select Grant.
  9. Dans le volet Accorder, sélectionnez Bloquer l’accès, puis sélectionnez Sélectionner.In the Grant pane, select Block access, and then select Select.
  10. Dans le volet Nouveau, sélectionnez Activer pour activer la stratégie, puis sélectionnez Créer.In the New pane, select On for Enable policy, and then select Create.
  11. Fermez les onglets du portail Azure et du Centre d’administration Microsoft 365.Close the Azure portal and Microsoft 365 admin center tabs.

Pour tester la première stratégie, dé connectez-vous avec le compte DedicatedAdmin.To test the first policy, sign out and sign in with the DedicatedAdmin account. Vous devez être invité à configurer l’mf.You should be prompted to configure MFA. Cela montre que la première stratégie est appliquée.This demonstrates that the first policy is being applied.

Étape suivanteNext step

Explorez les autres fonctionnalités liées aux identités disponibles dans votre environnement de test.Explore additional identity features and capabilities in your test environment.

Voir aussiSee also

Feuille de route des identitésIdentity roadmap

Microsoft 365 pour les entreprises Guides de laboratoire d'essaiMicrosoft 365 for enterprise Test Lab Guides

Vue d’ensemble de Microsoft 365 pour entrepriseMicrosoft 365 for enterprise overview

Documentation Microsoft 365 EntrepriseMicrosoft 365 for enterprise documentation