
Modèles d'identité Microsoft 365
Pour planifier des comptes d'utilisateurs, vous devez d'abord comprendre les deux modèles d'identité dans Microsoft 365. Vous pouvez gérer les identités de votre organisation uniquement dans le cloud, ou vous pouvez gérer vos identités de services de domaine Active Directory (AD DS) sur site et les utiliser. pour l'authentification lorsque les utilisateurs accèdent aux services cloud Microsoft 365.
Identité cloud uniquement
Une identité cloud uniquement utilise des comptes d'utilisateur qui n'existent que dans Azure AD. L'identité cloud est généralement utilisée par les petites organisations qui ne disposent pas de serveurs sur site ou qui n'utilisent pas AD DS pour gérer les identités locales.
Étant donné que les comptes d'utilisateurs sont uniquement stockés dans Azure AD, vous gérez les identités cloud avec des outils tels que le centre d'administration Microsoft 365 et Windows PowerShell.
Identité hybride
L'identité hybride utilise des comptes qui proviennent d'un AD DS local et ont une copie dans Azure AD locataire d'un abonnement Microsoft 365. Cependant, la plupart des changements ne s'effectuent que dans un sens. Les changements aux comptes d'utilisateurs AD DS sont synchronisés avec leur copie dans Azure AD. Mais les modifications apportées aux comptes basés sur le cloud dans Azure AD, telles que les nouveaux comptes d'utilisateurs, ne sont pas synchronisées avec AD DS.
Azure AD Connect fournit la synchronisation continue des comptes. Il s'exécute sur un serveur local, vérifie les modifications apportées à AD DS et transmet ces modifications à Azure AD. Azure AD Connect offre la possibilité de filtrer les comptes synchronisés et de synchroniser une version hachée de l'utilisateur mots de passe, connus sous le nom de synchronisation de hachage de mot de passe (PHS).
Lorsque vous implémentez une identité hybride, votre AD DS local est la source faisant autorité pour les informations de compte. Cela signifie que vous effectuez principalement des tâches d'administration sur site, qui sont ensuite synchronisées avec Azure AD.
Étant donné que les comptes d'utilisateurs d'origine et faisant autorité sont stockés dans AD DS sur site, vous gérez vos identités avec les mêmes outils qu'AD DS, tels que l'outil Utilisateurs et ordinateurs Active Directory. Vous n'utilisez pas le Centre d'administration Microsoft 365 ou Office 365 PowerShell pour gérer les comptes d'utilisateurs synchronisés dans Azure AD.
Les organisations doivent s'assurer que l'accès aux données de leur entreprise sur Microsoft 365 est toujours sécurisé pour leurs employés et que les données sont protégées contre tout accès non autorisé. L'une des actions les plus importantes lors de la sécurisation de l'accès à Microsoft 365 consiste à configurer des stratégies de mot de passe sécurisé.
Les stratégies de mot de passe exigent que les utilisateurs effectuent des actions qui augmentent la protection par mot de passe, telles que la modification des mots de passe à des intervalles spécifiés, la création de mots de passe complexes, la réinitialisation de leurs propres mots de passe et la connexion avec plusieurs facteurs. (MFA)
Authentification multifacteur
Environ 81 % de toutes les attaques réussies résultent d'informations d'identification faibles ou compromises. L'authentification multifacteur permet de protéger l'accès aux données et aux applications.
MFA nécessite au moins deux des méthodes d'authentification suivantes :
● Quelque chose que vous connaissez (généralement un mot de passe)
● Quelque chose que vous possédez (un appareil de confiance difficile à dupliquer, comme un appareil intelligent ou un badge)
● Quelque chose que vous êtes (empreintes digitales, scan de l'iris/de la rétine, reconnaissance faciale)
La vérification en deux étapes créé une deuxième couche de sécurité. Compromettre plusieurs facteurs d'authentification représente un défi important pour les attaquants, car même s'ils parviennent à compromettre le mot de passe, ils ne peuvent pas l'utiliser sans posséder également l'une des méthodes d'authentification supplémentaires.
Exiger MFA
Microsoft 365 utilise MFA pour fournir une couche de sécurité supplémentaire et est géré à partir du centre d'administration.
Il offre le sous-ensemble suivant de fonctionnalités d'authentification MFA :
● Utiliser des applications mobiles (mot de passe en ligne et à usage unique) comme deuxième facteur d'authentification
● Utiliser un appel téléphonique comme second facteur d'authentification
Voici quelques méthodes recommandées pour appliquer l'authentification MFA :
● Exiger que les utilisateurs authentifient leur smartphone, ordinateur portable ou autre appareil avec MFA avant de s'inscrire avec Intune pour accéder à votre réseau.
● Surveillez la santé de vos comptes d'utilisateurs avec Azure AD et, si nécessaire, demandez aux utilisateurs de réinitialiser leur mot de passe, se réinscrire à MFA ou révoquer des sessions MFA existantes à partir de leur objet utilisateur.
Réinitialisation du mot de passe en libre-service
La réinitialisation de mot de passe en libre-service (SSPR) permet aux utilisateurs de réinitialiser leur propre mot de passe sans nécessiter l'intervention d'un administrateur. SSPR n'est pas activé par défaut ; l'administrateur Microsoft 365 Entreprise doit activer SSPR pour tous les utilisateurs ou pour des groupes spécifiques.
Réécriture du mot de passe
Abonnements payants pour les informations utilisateur du magasin Microsoft 365 dans Azure AD Basic. Azure AD Basic ne peut pas réécrire un changement de mot de passe d'Azure AD vers AD DS local. Si vous achetez Azure AD Premium, il inclut la possibilité de réécrire les mots de passe. Cela vous permet d'implémenter la réinitialisation de mot de passe en libre-service pour les identités synchronisées et les identités fédérées. Cela améliore également AD DS en fournissant un portail pour la réinitialisation du mot de passe.
Qu’est-ce qu’Identity Protection ?
Identity Protection est un outil qui permet aux organisations d'accomplir trois tâches principales :
Automatiser la détection et la correction des risques liés à l'identité.
Examiner les risques à l'aide des données disponibles sur le portail.
Exporter les données de détection des risques vers votre serveur SIEM.
Pour protéger vos utilisateurs, Identity Protection s'appuie sur les connaissances acquises par Microsoft au niveau des organisations avec Azure AD, de l'espace grand public avec les comptes Microsoft et des jeux avec Xbox. Microsoft analyse 6 500 milliards de signaux par jour pour identifier les menaces et protéger les clients.
Les signaux générés par Identity Protection et transmis à celui-ci peuvent également être transmis à des outils tels que l'Accès conditionnel pour prendre des décisions en matière d'accès, ou renvoyés à un outil SIEM (Security Information and Event Management) pour un examen plus approfondi en fonction des stratégies appliquées par votre organisation.
Détection d'événements à risque et solutions pour y remédier
Identity Protection identifie les risques de nombreux types, notamment :
Utilisation d’une adresse IP anonyme
Voyage inhabituel
Adresse IP liée à un programme malveillant
Propriétés de connexion inhabituelles
Informations d’identification divulguées
Pulvérisation de mots de passe
Etc.
Pour plus d’informations sur ces risques ainsi que d’autres risques, notamment sur la façon dont ils sont calculés, consultez l'article Qu'est-ce qu'un risque ?.
Les signaux de risque peuvent déclencher des mesures correctives (par exemple en obligeant les utilisateurs à utiliser Azure AD Multi-Factor Authentication ou à réinitialiser leur mot de passe à l’aide de la réinitialisation de mot de passe en libre-service) ou bloquer les utilisateurs jusqu’à ce qu’un administrateur intervienne.
Qu’est-ce qu’Azure AD Privileged Identity Management ?
Privileged Identity Management (PIM) est un service dans Azure Active Directory (Azure AD) qui vous permet de gérer, de contrôler et de superviser l’accès aux ressources importantes de votre organisation. Ces ressources incluent des ressources dans Azure AD et Azure ainsi que d’autres services Microsoft Online Services tels que Microsoft 365 ou Microsoft Intune. La vidéo suivante présente les fonctionnalités et concepts importants d’Azure AD Privileged Identity Management (PIM).
https://youtu.be/f-0K7mRUPpQ
Motifs d’utilisation
Les organisations veulent limiter le nombre de personnes qui ont accès aux informations ou aux ressources sécurisées afin de réduire le risque :
qu’un utilisateur malveillant accède à ces données ;
qu’un utilisateur autorisé ait par inadvertance un impact sur une ressource sensible.
Cependant, les utilisateurs doivent pouvoir continuer à effectuer des opérations privilégiées dans les applications Azure AD, Azure, Microsoft 365 ou SaaS. Les organisations peuvent donner aux utilisateurs un accès privilégié juste-à-temps aux ressources Azure et Azure AD et peuvent superviser ce que ces utilisateurs font avec leur accès privilégié.Conditions de licence :
L’utilisation de cette fonctionnalité nécessite une licence Azure AD Premium P2. Pour trouver la licence appropriée à vos besoins, consultez Comparer les fonctionnalités en disponibilité générale d’Azure AD.
Pour plus d’informations sur les licences utilisateur, consultez Exigences relatives aux licences pour l’utilisation de Privileged Identity Management.
Fonction
Privileged Identity Management assure une activation de rôle basée sur l’heure et l’approbation pour atténuer les risques d’autorisations d’accès excessives, injustifiées ou malveillantes sur les ressources qui vous intéressent. Voici quelques-unes des principales fonctionnalités de Privileged Identity Management :
Fournir un accès privilégié juste-à-temps à Azure AD et aux ressources Azure
Affecter un accès aux ressources limité dans le temps à l’aide de dates de début et de fin
Exiger une approbation pour activer les rôles privilégiés
Appliquer l’authentification multifacteur pour l’activation des rôles
Utiliser la justification pour comprendre le motif d’activation des utilisateurs
Recevoir des notifications lors de l’activation de rôles privilégiés
Effectuer des révisions d’accès pour vérifier que les utilisateurs ont toujours besoin de leurs rôles
Télécharger l’historique des audits (internes ou externes)
Empêcher la suppression de la dernière attribution active du rôle Administrateur général
Une fois que vous aurez configuré Privileged Identity Management, vous verrez les options Tâches, Gérer et Activité dans le menu de navigation de gauche. En tant qu’administrateur, vous avez le choix entre des options telles que la gestion des rôles Azure AD, la gestion des rôles de ressources Azure ou les groupes d’accès privilégié. Lorsque vous choisissez ce que vous souhaitez gérer, vous voyez l’ensemble d’options approprié correspondant à cette option.
Qui peut faire quoi ?
Pour les rôles Azure AD dans Privileged Identity Management, seul un utilisateur qui détient le rôle Administrateur de rôle privilégié ou Administrateur général peut gérer les attributions des autres administrateurs. Les administrateurs généraux, les administrateurs de la sécurité, les lecteurs généraux et les lecteurs Sécurité peuvent aussi consulter les attributions de rôles Azure AD dans Privileged Identity Management.
Pour les rôles de ressources Azure dans Privileged Identity Management, seul un administrateur d’abonnement, un propriétaire de ressource ou un administrateur de l’accès utilisateur aux ressources peut gérer les affectations des autres administrateurs. Par défaut, les utilisateurs qui possèdent un rôle d’administrateur de rôle privilégié, d’administrateur de la sécurité ou de lecteur Sécurité ne peuvent pas consulter les attributions de rôles de ressources Azure dans Privileged Identity Management.
Liens vers les fonctionnalites defender for endpoint
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/next-gen-threat-and-vuln-mgt
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-atp/overview-attack-surface-reduction
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-antivirus/windows-defender-antivirus-inwindows-10
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-atp/overview-endpoint-detection-response
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-atp/automated-investigations-windowsdefender-advanced-threat-protection
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/tvm-microsoft-secure-score-devices
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/microsoft-threat-experts
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-atp/overview-hunting-windows-defenderadvanced-threat-protection
https://docs.microsoft.com/microsoft-365/security/mtp/microsoft-threat-protection
Microsoft Defender pour les applications cloud est un répartiteur de sécurité d’accès cloud (CASB) qui prend en charge différents modes de déploiement, y compris la collecte de journaux, les connecteurs API et un proxy inverse. Il offre une grande visibilité, un contrôle des déplacements des données, et des analyses sophistiquées pour identifier et combattre les cybermenaces sur l'ensemble de vos services cloud Microsoft et tiers.
Microsoft Defender for Cloud Apps s’intègre en mode natif avec les principales solutions Microsoft et est conçu pour les professionnels de la sécurité. Il fournit un déploiement simple, une gestion centralisée et des capacités d’automatisation innovantes.
pour plus d’informations sur les licences, consultez la feuille de données Microsoft Defender for Cloud Apps licensing.Qu'est-ce qu’un CASB ?
Le passage au cloud donne plus de flexibilité aux employés et aux équipes informatiques. Toutefois, il apporte son lot de nouveaux défis et problématiques quant à la sécurisation de votre organisation. Pour tirer profit des applications cloud et des services, l’équipe informatique doit trouver le juste équilibre entre la prise en charge des accès et la protection des données critiques.
C'est là qu'intervient un fournisseur Cloud Access Security Broker : il trouve un équilibre en ajoutant des dispositifs de protection pour l'utilisation des services cloud dans votre organisation grâce à l’application de vos stratégies de sécurité d'entreprise. Comme leur nom l’indique, les CASB jouent le rôle de « contrôleur » pour négocier l’accès en temps réel entre les utilisateurs de votre entreprise et les ressources cloud qu’ils exploitent, quel que soit l’endroit où ils se trouvent et l’appareil qu’ils utilisent.
Pour ce faire, les CASB découvrent et fournissent une visibilité sur l'utilisation de l'informatique fantôme et des applications, surveillent les activités des utilisateurs pour détecter les comportements anormaux, contrôlent l'accès à vos ressources, offrent la possibilité de classer et de prévenir les fuites d'informations sensibles, protègent contre les acteurs malveillants, et évaluent la conformité des services cloud.
Les CASB comblent les lacunes de sécurité qui affectent l'utilisation des services en ligne d’une organisation en fournissant une visibilité granulaire et un contrôle sur les activités des utilisateurs et les données sensibles. Le CASB couvre l'ensemble des systèmes SaaS, PaaS et IaaS. Pour la couverture SaaS, les CASB travaillent généralement avec les plateformes de collaboration de contenu (CCP), les systèmes CRM, les systèmes RH, les solutions de planification des ressources de l'entreprise (ERP), les bureaux de service, les suites bureautiques de productivité et les sites de réseaux sociaux professionnels les plus populaires. Pour la couverture IaaS et PaaS, plusieurs CASB régissent l'utilisation basée sur l'API des fournisseurs de services cloud (CSP) les plus populaires, et étendent la visibilité et la gouvernance aux applications s'exécutant dans ces clouds.Pourquoi un CASB est-il nécessaire ?
Vous avez besoin d'un CASB pour mieux comprendre votre position globale sur le cloud à travers les applications SaaS et les services cloud et, à ce titre, la découverte de l’informatique fantôme et la gouvernance des applications constituent des cas d'utilisation clés. Par ailleurs, une organisation est responsable de la gestion et de la sécurisation de sa plate-forme de cloud computing, y compris l'IAM, les machines virtuelles et leurs ressources informatiques, les données et le stockage, les ressources réseau, etc. Si vous êtes une organisation qui utilise ou envisage d’utiliser des applications Cloud dans votre portefeuille de services réseau, vous avez probablement besoin d’un CASB pour répondre aux défis supplémentaires et uniques liés à la régulation et à la sécurisation de votre environnement. Il existe par exemple de nombreuses façons pour les acteurs malveillants d'exploiter les applications cloud afin de pénétrer dans votre réseau d'entreprise et d’exfiltrer des données commerciales sensibles.
En tant qu'organisation, vous devez protéger vos utilisateurs et vos données confidentielles contre les différentes méthodes employées par les acteurs malveillants. En général, les CASB devraient vous aider à garantir une telle sécurité en vous offrant un large éventail de capacités qui protègent votre environnement grâce aux piliers suivants :
Visibilité : détecter tous les services cloud ; attribuer à chacun un classement des risques ; identifier l’ensemble des utilisateurs et des applications tierces capables de se connecter
Sécurité des données: identifier et contrôler les informations sensibles (DLP); répondre aux étiquettes de sensibilité sur le contenu
Protection contre les menaces : offrir un contrôle des accès adaptable (AAC) ; fournir une analyse du comportement des utilisateurs et des entités (UEBA) ; limiter les risques des logiciels malveillants
Conformité : fournir des rapports et des tableaux de bord pour confirmer la gouvernance du cloud ; soutenir les efforts pour se conformer aux exigences en matière de résidence des données et de conformité réglementaire
infrastructure des applications Defender pour le cloud
Découvrir et contrôler l’utilisation de l’informatique fantôme: Identifier les applications cloud, IaaS, et les services PaaS utilisés par votre organisation. Examinez les modèles d’utilisation, évaluez les niveaux de risque et la préparation des entreprises de plus de 25 000 applications SaaS contre plus de 80 risques. Commencez à gérer ces éléments pour garantir la sécurité et la conformité.
Protection de vos informations sensibles, où qu’elles se trouvent dans le cloud : Comprenez, classifiez et protégez l’exposition des informations sensibles au repos. Tirez parti des stratégies prêtes à l’emploi et des processus automatisés pour appliquer des contrôles en temps réel dans toutes vos applications Cloud.
Protection contre les cybermenaces et les anomalies : Détectez tout comportement inhabituel dans les applications cloud pour identifier les ransomware, les utilisateurs compromis ou les applications non autorisées, analysez l’utilisation à haut risque et corrigez automatiquement les erreurs afin d’en limiter les risques pour votre organisation.
Évaluation de la compatibilité de vos applications cloud : Évaluez si vos applications cloud répondent aux exigences de conformité appropriées, notamment la conformité aux réglementations et normes du secteur. Empêchez les fuites de données pour les applications non conformes, et limitez l’accès aux données réglementées.
Architecture
Defender for Cloud Apps intègre la visibilité à votre cloud de la façon suivante :
Utilisation de Cloud Discovery pour mapper et identifier votre environnement cloud et les applications cloud utilisées par votre organisation.
En approuvant ou non des applications de votre cloud.
en utilisant des connecteurs faciles à déployer qui tirent parti des API de fournisseurs pour améliorer la visibilité et la gouvernance des applications auxquelles vous vous connectez ;
En utilisant une protection du contrôle d’application par accès conditionnel pour obtenir une visibilité en temps réel et contrôler l’accès et les activités effectuées au sein de vos applications cloud.
en vous aidant à préserver le contrôle grâce à la définition et à l’optimisation de stratégies.
Le Niveau de sécurité Microsoft est une mesure de la posture de sécurité d'une organisation, un chiffre plus élevé indiquant que davantage de mesures d'amélioration ont été prises. Vous pouvez le trouver sur https://security.microsoft.com/securescore le portail Microsoft 365 Defender web.
En suivant les recommandations du Niveau de sécurité, vous pouvez protéger votre organisation contre les menaces. À partir d’un tableau de bord centralisé dans le portail Microsoft 365 Defender, les organisations peuvent surveiller et travailler sur la sécurité de leurs identités, applications et appareils Microsoft 365 données.
Score sécurisé aide les organisations :
Rapport sur l'état actuel de la posture de sécurité de l'organisation.
Améliorer leur posture de sécurité en leur offrant des possibilités de découverte, de visibilité, de guide et de contrôle.
Comparer avec des critères de référence et établir des indicateurs de performance clés (KPI).
Comment ça marche
Des points vous sont attribués pour les actions suivantes :
Configuration des fonctionnalités de sécurité recommandées
Effectuer des tâches liées à la sécurité
Résolution de l’action d’amélioration à l’aide d’une application ou d’un logiciel tiers, ou d’une autre atténuation
Certaines actions d’amélioration ne donnent des points qu’une fois l’opération terminée. Certaines donnent des points partiels s’il elles sont terminées pour certains appareils ou utilisateurs. Si vous ne pouvez pas ou ne souhaitez pas effectuer l’une des actions d’amélioration, vous pouvez choisir d’accepter le risque ou le risque restant.
Si vous disposez d’une licence pour l’un des produits Microsoft pris en charge, vous verrez des recommandations pour ces produits. Nous vous présentons l’ensemble complet des améliorations possibles pour un produit, quelle que soit l’édition de licence, l’abonnement ou le plan. De cette façon, vous pouvez comprendre les meilleures pratiques de sécurité et améliorer votre score. Votre posture de sécurité absolue, représentée par le degré de sécurisation, reste la même, quelle que soit la licence dont votre organisation dispose pour un produit spécifique. N’oubliez pas que la sécurité et la convivialité doivent s’équilibrer, et certaines recommandations peuvent ne pas convenir à votre environnement.
Votre score est mis à jour en temps réel pour refléter les informations présentées dans les visualisations et les pages d’action d’amélioration. Le degré de sécurisation se synchronise également quotidiennement pour recevoir des données système sur les points que vous avez atteints pour chaque action.Scénarios clés
Vérifier votre score actuel
Comparer votre score à des organisations comme la vôtre
Afficher les actions d’amélioration et décider d’un plan d’action
Lancer des flux de travail pour examiner ou implémenter
Découvrez comment sécuriser votre déploiement Microsoft 365 et vous conformer aux protections des données du secteur. Ce cours se concentre sur la sécurisation de l'identité et de l'accès des utilisateurs, la protection contre les menaces, la protection des informations et des données
Ce cours a été conçu pour les professionnels de l'informatique qui gèrent et déploient des technologies de sécurité pour Microsoft 365 dans leur organisation. Le cours est destiné au poste d'administrateur de la sécurité Microsoft 365. Il aide les apprenants à se préparer à l'examen Microsoft 365 Certified : Security Administrator Associate (MS-500).
L'administrateur de sécurité Microsoft 365 collabore avec l'administrateur Microsoft 365 Enterprise, les parties prenantes de l'entreprise et d'autres administrateurs de charge de travail pour planifier et mettre en œuvre des stratégies de sécurité et pour s'assurer que les solutions sont conformes aux politiques et réglementations de l'organisation.
Ce rôle sécurise de manière proactive les environnements d'entreprise Microsoft 365.
Les responsabilités incluent la réponse aux menaces, la mise en œuvre, la gestion et la surveillance des solutions de sécurité et de conformité pour l'environnement Microsoft 365. Ils répondent aux incidents, aux enquêtes et à l'application de la gouvernance des données. L'administrateur de la sécurité Microsoft 365 est familiarisé avec les charges de travail Microsoft 365 et les environnements hybrides. Ce rôle possède de solides compétences et une expérience en matière de protection de l'identité, de protection des informations, de protection contre les menaces, de gestion de la sécurité et de gouvernance des données.