Aller au contenu

Sécurité Microsoft 365 et Entra ID

Les clients Microsoft 365 et le système d’authentification sous-jacent Entra ID (Azure AD) disposent de nombreuses options de configuration différentes pour permettre à votre entreprise de mettre en œuvre différents niveaux de sécurité. Beaucoup de ces options ne sont pas activées par défaut. Bien que ce document ne couvre pas toutes les options de sécurité disponibles, ni n’aborde d’autres technologies telles que la gestion des appareils et la prévention des pertes de données (DLP), il fournit des conseils à nos clients sur les paramètres recommandés pour renforcer la protection de l’identité et réduire les risques de compromission de la messagerie professionnelle (BEC ou Business Email Compromise).

Les conseils d’utilisation sont divisés en deux sections, les paramètres recommandés et les paramètres optionnels. Nous encourageons tous les clients à utiliser les paramètres recommandés. Nous vous suggérons également de considérer et d’étudier les paramètres optionnels, et de les appliquer en fonction de votre environnement.

Toute modification envisagée de l’environnement doit être examinée et testée après avoir consulté la documentation correspondante de Microsoft. Nous vous recommandons d’effectuer les modifications par lots, et de les appliquer à des comptes de test, des utilisateurs pilotes et des services de petite taille avant de les déployer dans toute l’organisation. Assurez-vous d’avoir configuré un compte d’accès d'urgence comme décrit ci-dessous, pour éviter d’être verrouillé.

Conseils d’utilisation des licences

Certains des éléments de configuration ci-dessous sont disponibles pour tous les clients M365, quelles que soient les licences utilisées. Cependant, la plupart d’entre elles nécessiteront au moins une licence « Entra ID P1 » pour être disponibles dans votre locataire. D’autres exigeront une licence « Entra ID P2 ». La licence « Entra ID P1 » est comprise dans les packs M365 Business Premium E3/A3. Les licences « Entra ID P2 » sont disponibles dans les packs M365 E5/A5.

Si votre licence n’inclut pas au moins une licence « Entra ID P1 », nous vous recommandons vivement d’utiliser les paramètres de sécurité par défaut de Microsoft. Il s’agit d'un ensemble de stratégies de sécurité de base contrôlées par Microsoft. Voir Paramètres de sécurité par défaut dans Microsoft Entra ID - Microsoft Entra.

Pour l’intégration des alertes Microsoft au service Sophos MDR, vous devrez disposer au minimum de la licence « Entra ID P1 ». Nous vous recommandons cependant d’utiliser « Entra ID P2 », pour recevoir un plus grand nombre d’alertes générées par Microsoft. Retrouvez plus de renseignements sur ces alertes dans les articles ci-dessous :

Nous vous recommandons de demander des informations supplémentaires sur les licences à votre spécialiste des licences Microsoft.

Éléments de configuration recommandés

  • Appliquer les principes du privilège minimal


    Utilisez des comptes d’administrateur et des rôles de délégation de rôles (RBAC) distincts pour limiter les privilèges d’administrateur. Accordez uniquement les rôles nécessaires à l’exercice des fonctions de l’utilisateur. Microsoft recommande un maximum de cinq comptes administrateur globaux. Ne réutilisez pas les mêmes identifiants d’administrateur pour vos domaines et services.

    Impact : Les utilisateurs ne doivent avoir accès qu’aux zones qui sont nécessaires à leur fonction. Les administrateurs doivent utiliser des comptes séparés.

    Géolocalisation : Entra ID > Rôles et administrateurs

    Références :

  • Exiger MFA pour inscrire ou joindre l’appareil


    Cela garantit que les utilisateurs qui tentent de joindre de nouveaux appareils Windows à Entra ID effectuent l’authentification multifacteur.

    Géolocalisation : Entra ID > Protéger et sécuriser > Accès conditionnel

    • Nom : Exiger MFA pour inscrire ou joindre des appareils.
    • Utilisateurs : Pour tous les utilisateurs, veillez à exclure tout compte ou groupe destiné à l’« Accès d’urgence ».
    • Applis ou actions Cloud : Actions utilisateur > Enregistrer ou joindre des appareils.
    • Conditions : Aucun.
    • Contrôles d’accès > Accorder : Exiger l’authentification multifacteur.
  • Autoriser uniquement les connexions à partir de pays autorisés


    Pour réduire les risques de piratage, nous vous conseillons de limiter le nombre de pays à partir desquels les utilisateurs peuvent se connecter à votre environnement. Si aucun membre du personnel ne se déplace à l’étranger, empêchez tous les utilisateurs de votre organisation d’accéder à votre environnement en dehors de votre pays d’origine. Si certains de vos utilisateurs voyagent, ces stratégies peuvent être appliquées par groupe. Par exemple, vous pouvez autoriser l’accès à partir de tous les pays ou d’un sous-ensemble de pays pour un certain groupe d’utilisateurs itinérants, ou diviser les utilisateurs par région géographique pour limiter leur accès de cette manière-là.

    Pour ce faire, utilisez des stratégies d’accès conditionnel. Créez une liste d’Emplacements nommés, par exemple « Pays autorisés », et ajoutez les pays auxquels vous souhaitez accorder l’accès. Créez ensuite une stratégie d’accès conditionnel pour bloquer l’accès à Tous les utilisateurs et Toutes les applis Cloud, à l’exception des « Pays autorisés » et des « Utilisateurs ou groupes d’urgence ».

    Avertissement

    Testez soigneusement cette stratégie avant de l’appliquer à tous les utilisateurs.

    Géolocalisation : Entra ID > Protéger et sécuriser > Accès conditionnel

  • Bloquer les utilisateurs à haut risque


    Le Niveau de risque utilisateur M365 est une fonction qui permet de déterminer le degré de risque d’un compte utilisateur dans Entra ID. Celle-ci fait partie de la protection de l’identité d’Entra ID et est effectuée en analysant divers signaux provenant du compte utilisateur, tels que les adresses IP, l’état de l'appareil, les activités suspectes et les identifiants compromis connus.

    Le niveau de risque utilisateur est divisé en trois catégories :

    • Risque faible : Les comptes utilisateur à faible risque sont considérés comme légitimes.
    • Risque moyen : Les comptes utilisateur à risque moyen peuvent être légitimes, mais sont également plus susceptibles d’être compromis ou ciblés par un cybercriminel.
    • Risque élevé : Les comptes utilisateur à haut risque sont considérés comme compromis.

    Nous vous recommandons de bloquer les comptes utilisateur considérés comme présentant un risque élevé et d’exiger un changement de mot de passe sécurisé pour un utilisateur considéré comme présentant un risque moyen.

    Géolocalisation : Entra ID > Protéger et sécuriser > Accès conditionnel

    Référence :

- **Bloquer les connexions à risque élevé** --- Le Niveau de risque de connexion M365 est une fonction qui permet de déterminer le risque d’une tentative de connexion individuelle à Entra ID. Celle-ci fait partie de « Entra ID Identity Protection » et analyse plusieurs signaux dans le cadre du processus de connexion afin de déterminer le niveau de risque. Le Niveau de risque de connexion est divisé en trois catégories : - **Risque faible** : Les tentatives de connexion à faible risque sont considérées comme légitimes. - **Risque moyen** : Les tentatives de connexion à risque moyen peuvent être légitimes, mais sont également plus susceptibles d’être compromises ou ciblées par un acteur menaçant. - **Risque élevé** : Les tentatives de connexion à haut risque sont considérées comme compromises. Nous vous recommandons de bloquer les tentatives de connexion jugées à haut risque et d’exiger l’authentification multifacteur pour les connexions à risque moyen. **Géolocalisation** : Entra ID > Protéger et sécuriser > Accès conditionnel **Référence** : - [Stratégies d’accès basées sur les risques de protection Microsoft Entra ID - Protection Microsoft Entra ID](https://learn.microsoft.com/fr-fr/azure/active-directory/identity-protection/concept-identity-protection-policies#sign-in-risk-based-conditional-access-policy)

Éléments de configuration facultatifs

  • Comptes d’accès d’urgence


    Microsoft recommande l’utilisation de comptes administrateur d’accès d’urgence qui sont exclus des stratégies d’accès conditionnel. Ces comptes doivent avoir le rôle « administrateur global » et être sécurisés avec des mots de passe extrêmement longs et complexes. Les mots de passe doivent être stockés dans un coffre-fort sécurisé et utilisés uniquement en cas d’urgence.

    Référence :

- **Configurer la stratégie d’expiration de mot de passe** --- Assurez-vous que l’expiration de votre mot de passe est conforme à la stratégie de l’entreprise et aux exigences de conformité. !!! note "Remarque" Microsoft recommande d’utiliser des mots de passe définis sur « ne jamais expirer » si l’authentification multifacteur est appliquée à l’échelle de l’organisation. **Géolocalisation** : Centre d’administration Microsoft 365 > Paramètres > Sécurité et confidentialité
  • Gérer le consentement et les autorisations des applications


    Par défaut, tous les utilisateurs peuvent accorder des autorisations aux applications et compléments tiers. Ceci peut être risqué en présence d’applis malveillantes ou d’emails de phishing dans lesquels les utilisateurs pourraient être entrainés à involontairement donner accès à leur messagerie et fichiers. Nous vous recommandons de limiter ce privilège aux éditeurs de confiance ou d’autoriser l’accès uniquement sur autorisation de l’administrateur.

    Géolocalisation : Entra ID > Applications > Applications Entreprise > Consentement et autorisations

    Référence :

- **Exiger l’authentification multifacteur pour les invités** --- Si vos utilisateurs invités ont besoin d’accéder aux ressources de votre environnement, nous vous conseillons de mettre en place l’authentification multifacteur afin de réduire le risque que vos données soient consultées par un compte tiers compromis. Celui-ci peut être déployé à l’aide d’un modèle de stratégie d’accès conditionnel. **Géolocalisation** : Entra ID > Protéger et sécuriser > Accès conditionnel