Solution Microsoft, Expert – Active Directory – Serveur Windows, Sécurité - CYBER - Cloud AZURE, OFFICE 365
Découvrez des articles sur Windows, Active Directory, Azure, Office 365, Teams et cybersécurité.
Gestion des identités
Technologies de sécurité Microsoft Azure
1 Gérer l'identité et l'accès
Introduction
Azure Active Directory est au cœur de toute solution sécurisée que vous créerez sur Azure. Vous devez savoir vérifier qui accède à vos systèmes, à quoi ils ont accès et surveiller comment ils utilisent vos solutions.
Un ingénieur en sécurité utilisant Microsoft Entra ID pour gérer les identités, vous travaillerez sur des tâches telles que :
Créez des utilisateurs, des groupes et des unités administratives pour accéder en toute sécurité aux ressources et aux services.
Configurez l'accès aux systèmes sans mot de passe.
Définissez une stratégie pour votre utilisation Microsoft Entra ID et des services de domaine Microsoft Entra ID afin de verrouiller l'accès à vos solutions.
Vous allez :
Comparez Azure AD et les services d'annuaire locaux avec les services de domaine Azure AD
Configurez et déployez des utilisateurs, des groupes et des unités administratives pour accéder en toute sécurité aux ressources de votre locataire.
Déployez une solution de connexion sans mot de passe pour vos utilisateurs et ressources Azure.
Explorer les fonctionnalités d'Azure Active Directory
Vous allez :
Configurer et déployer MFA, RBAC et l'accès conditionnel
Protégez les ressources avec des politiques et des verrous de ressources
Attribuer des rôles à l'aide de PIM
Microsoft ID Entra gratuit– Fournit la gestion des utilisateurs et des groupes, la synchronisation d'annuaires sur site, des rapports de base et une authentification unique sur Azure, Microsoft 365 et de nombreuses applications SaaS populaires.
Applications Microsoft ID Entra Microsoft 365- Cette édition est incluse avec O365. En plus des fonctionnalités gratuites, cette édition fournit la gestion des identités et des accès pour les applications Microsoft 365, y compris la personnalisation, l'authentification MFA, la gestion des accès de groupe et la réinitialisation de mot de passe en libre-service pour les utilisateurs du cloud.
Microsoft ID Entra Premium P1- En plus des fonctionnalités gratuites, P1 permet également à vos utilisateurs hybrides d'accéder à la fois aux ressources sur site et dans le cloud. Il prend également en charge l'administration avancée, telle que les groupes dynamiques, la gestion des groupes en libre-service, Microsoft Identity Manager (une suite de gestion des identités et des accès sur site) et les capacités de réécriture dans le cloud, qui permettent la réinitialisation en libre-service du mot de passe pour votre site. Utilisateurs.
Microsoft ID Entra Premium P2- En plus des fonctionnalités gratuites et P1, P2 offre également Microsoft ID Entra Identity Protection pour vous aider à fournir un accès conditionnel basé sur les risques à vos applications et données critiques de l'entreprise et Privileged Identity Management pour aider à découvrir, restreindre et surveiller les administrateurs et leur accès à ressources et de fournir un accès juste à temps en cas de besoin....
2. Mettre en œuvre identité hybride
Introduction
L'identité hybride est le processus de connexion de votre Active Directory local à votre Azure Active Directory. Vous faites cela pour permettre à un seul compte d'avoir accès aux ressources sur site et dans le cloud.
Il existe également de nombreux autres avantages en matière de sécurité.
Un ingénieur en sécurité utilise Hybrid Identity pour partager l'identité, l'authentification et l'accès entre les ressources sur site et dans le cloud ; vous travaillerez sur des tâches telles que
Connectez votre AD sur site à votre Azure AD.
Sélectionnez la meilleure option d'authentification en fonction des besoins de vos utilisateurs et de vos objectifs de sécurité.
Configurez les options d'authentification pour créer votre environnement le plus sécurisé.
Déployer la connexion Azure AD
Azure AD Connect intégrera vos annuaires locaux à Azure Active Directory. Cela vous permet de fournir une identité commune à vos utilisateurs pour les applications Microsoft 365, Azure et SaaS intégrées à Azure AD.
Azure AD Connect fournit les fonctionnalités suivantes :
Synchronisation du hachage du mot de passe. Une méthode de connexion qui synchronise un hachage du mot de passe AD local des utilisateurs avec Azure AD.
Authentification directe. Une méthode de connexion qui permet aux utilisateurs d'utiliser le même mot de passe sur site et dans le cloud, mais qui ne nécessite pas l'infrastructure supplémentaire d'un environnement fédéré.
Intégration de fédération. La fédération est une partie facultative d'Azure AD Connect et peut être utilisée pour configurer un environnement hybride à l'aide d'une infrastructure AD FS locale. Il fournit également des fonctionnalités de gestion AD FS telles que le renouvellement des certificats et des déploiements de serveurs AD FS supplémentaires.
Synchronisation. Responsable de la création d'utilisateurs, de groupes et d'autres objets. Assurez-vous également que les informations d'identité de vos utilisateurs et groupes sur site correspondent au cloud. Cette synchronisation inclut également les hachages de mot de passe.
Surveillance de la santé. Azure AD Connect Health peut fournir une surveillance robuste et fournir un emplacement central dans le portail Azure pour afficher cette activité.
Lorsque vous intégrez vos annuaires locaux à Azure AD, vos utilisateurs sont plus productifs car il existe une identité commune pour accéder aux ressources cloud et locales. Cependant, cette intégration crée le défi de s'assurer que cet environnement est sain afin que les utilisateurs puissent accéder de manière fiable aux ressources à la fois sur site et dans le cloud à partir de n'importe quel appareil.
Microsoft ID Entra (Azure AD) Connect Health fournit une surveillance robuste de votre infrastructure d'identité sur site. Il vous permet de maintenir une connexion fiable à Microsoft 365 et Microsoft Online Services. Cette fiabilité est obtenue en fournissant des capacités de surveillance pour vos composants d'identité clés. En outre, il rend les points de données clés sur ces composants facilement accessibles. Azure AD Connect Health vous aide à :
Surveillez et obtenez des informations sur les serveurs AD FS, Azure AD Connect et les contrôleurs de domaine AD.
Surveillez et obtenez des informations sur les synchronisations qui se produisent entre votre AD DS local et Azure AD.
Surveillez et obtenez des informations sur votre infrastructure d'identité sur site utilisée pour accéder à Microsoft 365 ou à d'autres applications Azure AD
Avec Azure AD Connect, les données clés dont vous avez besoin sont facilement accessibles. Vous pouvez afficher et agir sur les alertes, configurer des notifications par e-mail pour les alertes critiques et afficher les données de performances.
Important : L’utilisation d'AD Connect Health fonctionne en installant un agent sur chacun de vos serveurs de synchronisation locaux.
Azure AD Connect fournit les fonctionnalités suivantes :
Synchronisation du hachage du mot de passe. Une méthode de connexion qui synchronise un hachage du mot de passe AD local des utilisateurs avec Azure AD.
Authentification directe. Une méthode de connexion qui permet aux utilisateurs d'utiliser le même mot de passe sur site et dans le cloud, mais qui ne nécessite pas l'infrastructure supplémentaire d'un environnement fédéré.
Intégration de fédération. La fédération est une partie facultative d'Azure AD Connect et peut être utilisée pour configurer un environnement hybride à l'aide d'une infrastructure AD FS locale. Il fournit également des fonctionnalités de gestion AD FS telles que le renouvellement des certificats et des déploiements de serveurs AD FS supplémentaires.
Synchronisation. Responsable de la création d'utilisateurs, de groupes et d'autres objets. Assurez-vous également que les informations d'identité de vos utilisateurs et groupes sur site correspondent au cloud. Cette synchronisation inclut également les hachages de mot de passe.
Surveillance de la santé. Azure AD Connect Health peut fournir une surveillance robuste et fournir un emplacement central dans le portail Azure pour afficher cette activité.
Lorsque vous intégrez vos annuaires locaux à Azure AD, vos utilisateurs sont plus productifs car il existe une identité commune pour accéder aux ressources cloud et locales. Cependant, cette intégration crée le défi de s'assurer que cet environnement est sain afin que les utilisateurs puissent accéder de manière fiable aux ressources à la fois sur site et dans le cloud à partir de n'importe quel appareil.
Microsoft ID Entra (Azure AD) Connect Health fournit une surveillance robuste de votre infrastructure d'identité sur site. Il vous permet de maintenir une connexion fiable à Microsoft 365 et Microsoft Online Services. Cette fiabilité est obtenue en fournissant des capacités de surveillance pour vos composants d'identité clés. En outre, il rend les points de données clés sur ces composants facilement accessibles. Azure AD Connect Health vous aide à :
Surveillez et obtenez des informations sur les serveurs AD FS, Azure AD Connect et les contrôleurs de domaine AD.
Surveillez et obtenez des informations sur les synchronisations qui se produisent entre votre AD DS local et Azure AD.
Surveillez et obtenez des informations sur votre infrastructure d'identité sur site utilisée pour accéder à Microsoft 365 ou à d'autres applications Azure AD
Avec Azure AD Connect, les données clés dont vous avez besoin sont facilement accessibles. Vous pouvez afficher et agir sur les alertes, configurer des notifications par e-mail pour les alertes critiques et afficher les données de performances.
Important : L’utilisation d'AD Connect Health fonctionne en installant un agent sur chacun de vos serveurs de synchronisation locaux.
Explorer les options d'authentification
Le choix d'une méthode d'authentification Azure AD est important car il s'agit de l'une des premières décisions importantes lors du passage au cloud, car il constituera la base de votre environnement cloud et sera difficile à modifier ultérieurement.
Tu peux choisir authentification en nuage qui inclut : la synchronisation du hachage du mot de passe Azure AD et l'authentification directe Azure AD. Vous pouvez également choisir authentification fédérée où Azure AD transfère le processus d'authentification à un système d'authentification approuvé distinct, tel que les services de fédération Active Directory (AD FS) sur site, pour valider le mot de passe de l'utilisateur.
Résumé
Avez-vous besoin d'une intégration Active Directory sur site ? Si la réponse est Non, vous utiliserez l'authentification Cloud uniquement.
Si vous avez besoin d'une intégration Active Directory sur site, avez-vous besoin d'utiliser l'authentification cloud, la protection par mot de passe et vos exigences d'authentification sont-elles prises en charge de manière native par Azure AD ? Si la réponse est Oui, alors vous
3. Déploiement Identity Protection Microsoft ID Entra
Introduction
Identity Protection est un outil qui permet aux organisations d'automatiser la détection et la résolution des risques liés à l'identité, d'enquêter sur les risques à l'aide des données du portail et d'exporter les données de détection des risques vers des utilitaires tiers pour une analyse plus approfondie.
Un ingénieur en sécurité utilise Microsoft ID Entra Identity Protection pour partager la configuration des fonctionnalités Azure qui surveillent et protègent
les identités dans le locataire ; vous travaillerez sur des tâches telles que :
Créer des révisions d'accès pour vérifier comment chaque identité est utilisée et que les bons droits sont attribués.
Configurez des politiques pour identifier les comportements des utilisateurs à risque et les modèles de connexion étranges.
Contrôlez et gérez l'accès aux ressources avec des politiques d'accès conditionnel.
Gérer l'identité et l'accès (30-35 %)
Configurez un accès sécurisé à l'aide d'Azure et
Configurer les révisions d'accès
Mettre en œuvre des politiques d'accès conditionnel, y compris l'authentification multifacteur (MFA)
Configurer la protection d'identité Azure AD
Vous allez :
Déployer et configurer Identity Protection
Configurer MFA pour les utilisateurs, les groupes et les applications
Créez des politiques d'accès conditionnel pour assurer votre sécurité
Créer et suivre un processus d'examen des accès
4.Configurer la gestion des identités privilégiées Azure AD
Introduction
Azure AD Privileged Identity Management (PIM) vous permet de gérer, contrôler et surveiller l'accès aux ressources les plus importantes de votre organisation. Vous pouvez accorder un accès juste à temps et un accès juste suffisant aux utilisateurs pour leur permettre d'effectuer leurs tâches.
Un ingénieur en sécurité utilise Privileged Identity Management pour protéger les privilèges d'administrateur et réduire le risque de droits d'accès excessifs ou mal utilisés ; certaines tâches courantes sont :
Configuration de la portée des utilisateurs et des rôles basés sur la confiance zéro.
Configuration d'un flux de travail PIM pour appliquer l'approbation de l'utilisation des rôles et surveiller l'accès.
Mettre en place un accès juste à temps.
Gérer l'identité et l'accès (30-35 %)
Configurer un accès sécurisé à l'aide d'Azure AD
Surveiller l'accès privilégié pour Azure AD Privileged Identity Management (PIM)
Configurer PIM
Vous allez :
Décrire Zero Trust et son impact sur la sécurité
Configurer et déployer des rôles à l'aide de Privileged Identity Management (PIM)
Évaluer l'utilité de chaque paramètre PIM en ce qui concerne vos objectifs de sécurité
5. Concevoir une stratégie de gouvernance d'entreprise
Introduction
La première partie du locataire Azure sécuriser de votre organisation est configurée, mais vous devez la surveiller et la maintenir. La gouvernance d'entreprise est le processus de mise en place d'outils, de systèmes et de processus stratégiques pour assurer la sécurité et le bon fonctionnement de vos systèmes.
Un ingénieur en sécurité utilise des outils et des politiques de gouvernance d'entreprise pour gérer et maintenir une solution Azure sécurisée ; certaines tâches courantes sont :
Conception d'une hiérarchie d'accès sécurisé Azure.
Utilisation de RBAC et d'Azure Policy pour contrôler et gérer l'accès.
Création de plans de déploiements sécurisés pouvant être réutilisés
Gérer l'identité et l'accès (30-35 %)
Gérer le contrôle d'accès
Configurer les autorisations d'abonnement et de ressources
Configurer les autorisations du groupe de ressources
Configurer des rôles RBAC personnalisés
Identifier le rôle approprié
Interpréter les autorisations
Vous allez :
Expliquer le modèle de responsabilité partagée et son impact sur votre configuration de sécurité
Créez des politiques Azure pour protéger vos solutions
Configurer et déployer l'accès aux services à l'aide de RBAC
6. Configurer et déployer une solution Azure sécurisée à l'aide d'Azure AD (TP)
Introduction
Travailler directement dans Azure est ce qui renforcera vos compétences. Ce module est un ensemble d'ateliers pratiques que vous utiliserez pour déployer et configurer des solutions dans Azure à l'aide de techniques sécurisées. Ces laboratoires nécessitent un abonnement Azure existant avec un compte administrateur pour être exécutés. De plus, le guide étape par étape de ces laboratoires existe dans GitHub. Vous aurez directement les liens fournis dans le contenu.
En tant qu'ingénieur en sécurité, vous serez au quotidien dans Azure. Votre travail consiste à verrouiller l'accès, à installer des contrôles de sécurité et à activer les fonctionnalités Azure qui renforcent la sécurité d'Azure et de vos solutions. Il n'y a pas de meilleurs enseignants que de travailler directement dans Azure.
Gérer l'identité et l'accès (30-35 %)
Gérer les identités Azure Active Directory
Configurer la sécurité pour les principaux de service
Gérer les groupes d'annuaires Azure AD
Gérer les utilisateurs Azure AD
Gérer les unités administratives
Configurer la réécriture du mot de passe
Configurer les méthodes d'authentification, y compris le hachage du mot de passe et l'authentification directe (PTA), OAuth et sans mot de passe
Transférer des abonnements Azure entre des locataires Azure AD
Configurer un accès sécurisé à l'aide d'Azure AD
Surveiller l'accès privilégié pour Azure AD Privileged Identity Management (PIM)
Configurer les révisions d'accès
Configurer PIM
Mettre en œuvre des politiques d'accès conditionnel, y compris l'authentification multifacteur (MFA)
Configurer la protection d'identité Azure AD
Gérer l'accès aux applications
Créer un enregistrement d'application
Configurer les étendues d'autorisation d'enregistrement d'application
Gérer le consentement d'autorisation d'enregistrement d'application
Gérer l'accès API aux abonnements et ressources Azure
Gérer le contrôle d'accès
Configurer les autorisations d'abonnement et de ressources
Configurer les autorisations du groupe de ressources
Configurer des rôles RBAC personnalisés
Identifier le rôle approprié
Interpréter les autorisations
Vous allez :
Configurer et déployer MFA, RBAC et l'accès conditionnel
Protégez les ressources avec des politiques et des verrous de ressources
Attribuer des rôles à l'aide de PIM