Microsoft Entra ID

Présentation des paramètres de sécurité par défaut

La gestion de la sécurité peut s’avérer ardue lorsque les attaques courantes liées aux identités, telles que la pulvérisation de mot de passe, la relecture et l’hameçonnage, deviennent de plus en plus monnaie courante. Les paramètres de sécurité par défaut facilitent la protection de votre organisation contre ces attaques avec des paramètres de sécurité préconfigurés : En exigeant que tous les utilisateurs s’inscrivent pour Azure Multi-Factor Authentification En exigeant des administrateurs qu’ils effectuent l’authentification multifacteur. En restreignant les protocoles d’authentification hérités. En exigeant des utilisateurs qu’ils effectuent l’authentification multifacteur, lorsque cela est nécessaire. En protégeant des activités privilégiées, telles que l’accès au Portail Microsoft Entra ID.

Vous trouverez plus d’informations sur les raisons pour lesquelles les paramètres de sécurité par défaut sont rendus disponibles dans le billet de blog d’Alex Weinert, Introducing security defaults.

Disponibilité

Microsoft met les paramètres de sécurité par défaut à la disposition de tous. Le but est de s’assurer que toutes les organisations bénéficient d’un niveau de sécurité de base activé, sans coût supplémentaire. Vous activez les paramètres de sécurité par défaut dans le Portail Azure. Si votre locataire a été créé le 22 octobre 2019 ou à une date ultérieure, il est possible que les paramètres de sécurité par défaut soient déjà activés dans votre locataire. Dans le but de protéger tous nos utilisateurs, les paramètres de sécurité par défaut sont déployés sur tous les nouveaux locataires créés.

À qui cela s’adresse-t-il ?

·Si vous êtes une organisation souhaitant augmenter son niveau de sécurité, mais que vous ne savez pas comment ou où commencer, les paramètres de sécurité par défaut sont pour vous.

· Si vous êtes une organisation utilisant le niveau gratuit de licences Azure Active Directory, les paramètres de sécurité par défaut sont également appropriés pour vous.

Qui devrait utiliser l’accès conditionnel ?

Si vous êtes une organisation utilisant actuellement des stratégies d’accès conditionnel pour mettre en place des signaux, prendre des décisions et appliquer des stratégies organisationnelles, les paramètres de sécurité par défaut ne sont probablement pas appropriés pour vous.

· Si vous êtes une organisation utilisant des licences Azure Active Directory Premium, les paramètres de sécurité par défaut ne sont probablement pas appropriés pour vous.

· Si votre organisation a des exigences de sécurité complexes, vous devriez envisager l’accès conditionnel

Stratégies appliquées

Inscription Multi-Factor Authentification unifiée

Tous les utilisateurs de votre locataire doivent s’inscrire à l’authentification multifacteur (MFA) via le formulaire d’Azure Multi-Factor Authentification. Les utilisateurs disposent de 14 jours pour s’inscrire à Azure Multi-Factor Authentification à l’aide de l’application Microsoft Authentificator. Au bout de ces 14 jours, l’utilisateur ne sera plus en mesure de se connecter, jusqu’à ce que l’inscription soit effectuée. Ainsi, la période de 14 jours d’un utilisateur commence après la première connexion interactive réussie, une fois les paramètres de sécurité par dé faut activés.

Protection des administrateurs

Les utilisateurs disposant d’un accès privilégié ont un accès plus large à votre environnement. En raison de l’importance de ces comptes, vous devez leur accorder une attention particulière. Une méthode courante pour améliorer la protection de comptes privilégiés consiste à demander une forme de vérification de compte plus stricte pour se connecter. Dans Microsoft Entra ID, vous pouvez obtenir une vérification plus sévère des comptes en exigeant l’authentification multifacteur

Une fois l’inscription avec Azure Multi-Factor Authentification terminée, les neuf rôles d’administrateur Microsoft Entra ID suivants sont nécessaires pour effectuer une authentification supplémentaire chaque fois qu’ils se connectent :

· Administrateur général

· Administrateur SharePoint

· Administrateur Exchange

· Administrateur de l’accès conditionnel

· Administrateur de sécurité

· Administrateur du support technique

· Administrateur de facturation

· Administrateur d’utilisateurs

· Administrateur d’authentification

Protection de tous les utilisateurs

Nous avons tendance à considérer que les comptes administrateur sont les seuls qui nécessitent des couches d’authentification supplémentaires. Les administrateurs ont largement accès à des informations sensibles et peuvent modifier des paramètres à l’échelle d’un abonnement. Pourtant, les attaquants ciblent souvent les utilisateurs finaux. Une fois que ces personnes malveillantes ont accès, elles peuvent demander l’accès aux informations privilégiées pour le compte du détenteur du compte d’origine. Elles peuvent même télécharger l’annuaire entier pour effectuer une attaque par hameçonnage sur l’ensemble de votre organisation. Une méthode courante pour améliorer la protection de tous les utilisateurs consiste à demander une forme de vérification de compte plus stricte, telle Multi-Factor Authentification, pour tous. Lorsque les utilisateurs ont terminé l’inscription Multi-Factor Authentification, ils sont invités à fournir une authentification supplémentaire chaque fois que nécessaire. Cette fonctionnalité protège toutes les applications inscrites avec Microsoft Entra ID, y compris les applications SaaS.

Blocage de l’authentification héritée

Pour permettre à vos utilisateurs d’accéder facilement à vos applications cloud, Azure AD prend en charge un éventail de protocoles d’authentification, notamment l’authentification héritée. L’authentification héritée est un terme qui fait référence à une requête d’authentification effectuée par :

· Les clients Office qui n'utilisent pas l'authentification moderne (par exemple, un client Office 2010).

· Tout client qui utilise d’anciens protocoles de messagerie tels que IMAP, SMTP ou POP3.

Aujourd’hui, la majorité des tentatives de connexion compromettantes ont pour origine l’authentification héritée. L’authentification héritée ne prend pas en charge Multi-Factor Authentification. Même si une stratégie Multi-Factor Authentification est activée sur votre annuaire, un attaquant peut s’authentifier à l’aide d’un protocole plus ancien et contourner Multi-Factor Authentification.

Lorsque les paramètres de sécurité par défaut sont activés dans votre locataire, toutes les demandes d’authentification effectuées par un protocole hérité sont bloquées. Les paramètres par défaut de sécurité bloquent l’authentification de base Exchange ActiveSync.

WARNING

Avant d’activer les paramètres de sécurité par défaut, assurez-vous que vos administrateurs n’utilisent aucun protocole d’authentification plus anciens.

Protection des actions privilégiées

Les organisations utilisent divers services Azure managés par le biais de l’API Azure Resource Manager, entre autres :

Portail Azure

Azure PowerShell

Azure CLI

Utiliser Azure Resource Manager pour gérer vos services est une action très privilégiée. Azure Resource Manager peut modifier des configurations à l’échelle du locataire, telles que les paramètres de service et la facturation de l’abonnement. L’authentification à facteur unique est vulnérable à diverses attaques comme l’hameçonnage et la pulvérisation de mots de passe.

Il est important de vérifier l’identité des utilisateurs qui souhaitent accéder aux configurations Azure Resource Manager et de mise à jour. Vous vérifiez leur identité en exigeant une authentification supplémentaire avant d’autoriser l’accès

Une fois que vous avez activé les paramètres de sécurité par défaut dans votre locataire, tout utilisateurs accédant au Portail Azure, à Azure PowerShell ou à Azure CLI doit effectuer une authentification supplémentaire. Cette stratégies’ applique à tous les utilisateurs accédant à Azure Resource Manager, qu’ils soient administrateurs ou utilisateurs.

NOTE L’authentification moderne est désactivée par défaut pour les locataires Exchange Online antérieurs à 2017. Pour éviter la possibilité d’une boucle de connexion lors de l’authentification par le biais de ces locataires, vous devez activer l’authentification moderne.

NOTE Le compte de synchronisation Microsoft Entra Connect est exclu des paramètres de sécurité par défaut et ne sera pas invité à s’inscrire ou à effectuer une authentification multifacteur. Les organisations ne doivent pas utiliser ce compte à d’autres fins