Sécurité Microsoft 365 et Entra ID
Les clients Microsoft 365 et le système d’authentification sous-jacent Entra ID (Azure AD) disposent de nombreuses options de configuration différentes pour permettre à votre entreprise de mettre en œuvre différents niveaux de sécurité. Beaucoup de ces options ne sont pas activées par défaut. Bien que ce document ne couvre pas toutes les options de sécurité disponibles, ni n’aborde d’autres technologies telles que la gestion des appareils et la prévention des pertes de données (DLP), il fournit des conseils à nos clients sur les paramètres recommandés pour renforcer la protection de l’identité et réduire les risques de compromission de la messagerie professionnelle (BEC ou Business Email Compromise).
Les conseils d’utilisation sont divisés en deux sections, les paramètres recommandés et les paramètres optionnels. Nous encourageons tous les clients à utiliser les paramètres recommandés. Nous vous suggérons également de considérer et d’étudier les paramètres optionnels, et de les appliquer en fonction de votre environnement.
Toute modification envisagée de l’environnement doit être examinée et testée après avoir consulté la documentation correspondante de Microsoft. Nous vous recommandons d’effectuer les modifications par lots, et de les appliquer à des comptes de test, des utilisateurs pilotes et des services de petite taille avant de les déployer dans toute l’organisation. Assurez-vous d’avoir configuré un compte d’accès d'urgence comme décrit ci-dessous, pour éviter d’être verrouillé.
Conseils d’utilisation des licences
Certains des éléments de configuration ci-dessous sont disponibles pour tous les clients M365, quelles que soient les licences utilisées. Cependant, la plupart d’entre elles nécessiteront au moins une licence « Entra ID P1 » pour être disponibles dans votre locataire. D’autres exigeront une licence « Entra ID P2 ». La licence « Entra ID P1 » est comprise dans les packs M365 Business Premium E3/A3. Les licences « Entra ID P2 » sont disponibles dans les packs M365 E5/A5.
Si votre licence n’inclut pas au moins une licence « Entra ID P1 », nous vous recommandons vivement d’utiliser les paramètres de sécurité par défaut de Microsoft. Il s’agit d'un ensemble de stratégies de sécurité de base contrôlées par Microsoft. Voir Paramètres de sécurité par défaut dans Microsoft Entra ID - Microsoft Entra.
Pour l’intégration des alertes Microsoft au service Sophos MDR, vous devrez disposer au minimum de la licence « Entra ID P1 ». Nous vous recommandons cependant d’utiliser « Entra ID P2 », pour recevoir un plus grand nombre d’alertes générées par Microsoft. Retrouvez plus de renseignements sur ces alertes dans les articles ci-dessous :
- Stratégies d’alerte de gestion des menaces
- Que sont les détections de risques ? - Microsoft Entra ID Protection
Nous vous recommandons de demander des informations supplémentaires sur les licences à votre spécialiste des licences Microsoft.
Éléments de configuration recommandés
-
Appliquer les principes du privilège minimal
Utilisez des comptes d’administrateur et des rôles de délégation de rôles (RBAC) distincts pour limiter les privilèges d’administrateur. Accordez uniquement les rôles nécessaires à l’exercice des fonctions de l’utilisateur. Microsoft recommande un maximum de cinq comptes administrateur globaux. Ne réutilisez pas les mêmes identifiants d’administrateur pour vos domaines et services.
Impact : Les utilisateurs ne doivent avoir accès qu’aux zones qui sont nécessaires à leur fonction. Les administrateurs doivent utiliser des comptes séparés.
Géolocalisation : Entra ID > Rôles et administrateurs
Références :
-
Configurer les méthodes d’authentification
Ce paramètre configure les méthodes d’authentification disponibles pour que vos utilisateurs accèdent à l’environnement. Nous vous recommandons de configurer au moins Microsoft Authenticator, d’envoyer par email un code d’accès à usage unique et un laissez-passer temporaire et de désactiver l’option « Appel vers le téléphone ».
Géolocalisation : Entra ID > Protéger et sécuriser > Méthodes d’authentification > Stratégies
Références :
- Comment fonctionne la correspondance de nombres dans les notifications Push d’authentification multifacteur (MFA) pour Authenticator : stratégie des méthodes d’authentification - Microsoft Entra ID
- Contrôler l’inscription des informations de sécurité avec accès conditionnel - Microsoft Entra ID
- Activer la connexion sans mot de passe avec Microsoft Authenticator - Microsoft Entra ID
-
Remplacer « Valeurs par défaut de sécurité » par des stratégies d’accès conditionnel
Les licences « Entra ID P1 » et ultérieures permettent de créer des stratégies d’accès conditionnel personnalisées pour améliorer votre sécurité. Pour créer ces stratégies, vous devez désactiver les « Valeurs de sécurité par défaut » et créer des stratégies d’accès conditionnel à partir de modèles Microsoft pour effectuer des tâches telles que l’application de l’authentification multifacteur. Veillez à exclure tous les comptes ou groupes « Accès d’urgence » lors de la création de ces stratégies.
Géolocalisation :
- Entra ID > Présentation > Propriétés
- Entra ID > Protéger et sécuriser > Accès conditionnel
Références :
-
Modèles d’accès conditionnel :
- Bloquer l’authentification héritée : Bloquer l’authentification héritée avec accès conditionnel - Microsoft Entra ID
- Exiger l’AMF pour les administrateurs : Exiger l’authentification multifacteur pour les administrateurs avec accès conditionnel - Microsoft Entra ID
- Exiger l’authentification multifacteur pour Azure Management : Exiger l’authentification multifacteur pour la gestion Azure avec accès conditionnel - Microsoft Entra ID
- Exiger l’authentification multifacteur pour tous les utilisateurs : Exiger l’authentification multifacteur pour tous les utilisateurs avec accès conditionnel - Microsoft Entra ID
-
Conseils sur les stratégies d’accès conditionnel :
-
Exiger MFA pour inscrire ou joindre l’appareil
Cela garantit que les utilisateurs qui tentent de joindre de nouveaux appareils Windows à Entra ID effectuent l’authentification multifacteur.
Géolocalisation : Entra ID > Protéger et sécuriser > Accès conditionnel
- Nom : Exiger MFA pour inscrire ou joindre des appareils.
- Utilisateurs : Pour tous les utilisateurs, veillez à exclure tout compte ou groupe destiné à l’« Accès d’urgence ».
- Applis ou actions Cloud : Actions utilisateur > Enregistrer ou joindre des appareils.
- Conditions : Aucun.
- Contrôles d’accès > Accorder : Exiger l’authentification multifacteur.
-
Autoriser uniquement les connexions à partir de pays autorisés
Pour réduire les risques de piratage, nous vous conseillons de limiter le nombre de pays à partir desquels les utilisateurs peuvent se connecter à votre environnement. Si aucun membre du personnel ne se déplace à l’étranger, empêchez tous les utilisateurs de votre organisation d’accéder à votre environnement en dehors de votre pays d’origine. Si certains de vos utilisateurs voyagent, ces stratégies peuvent être appliquées par groupe. Par exemple, vous pouvez autoriser l’accès à partir de tous les pays ou d’un sous-ensemble de pays pour un certain groupe d’utilisateurs itinérants, ou diviser les utilisateurs par région géographique pour limiter leur accès de cette manière-là.
Pour ce faire, utilisez des stratégies d’accès conditionnel. Créez une liste d’Emplacements nommés, par exemple « Pays autorisés », et ajoutez les pays auxquels vous souhaitez accorder l’accès. Créez ensuite une stratégie d’accès conditionnel pour bloquer l’accès à Tous les utilisateurs et Toutes les applis Cloud, à l’exception des « Pays autorisés » et des « Utilisateurs ou groupes d’urgence ».
Avertissement
Testez soigneusement cette stratégie avant de l’appliquer à tous les utilisateurs.
Géolocalisation : Entra ID > Protéger et sécuriser > Accès conditionnel
-
Bloquer les utilisateurs à haut risque
Le Niveau de risque utilisateur M365 est une fonction qui permet de déterminer le degré de risque d’un compte utilisateur dans Entra ID. Celle-ci fait partie de la protection de l’identité d’Entra ID et est effectuée en analysant divers signaux provenant du compte utilisateur, tels que les adresses IP, l’état de l'appareil, les activités suspectes et les identifiants compromis connus.
Le niveau de risque utilisateur est divisé en trois catégories :
- Risque faible : Les comptes utilisateur à faible risque sont considérés comme légitimes.
- Risque moyen : Les comptes utilisateur à risque moyen peuvent être légitimes, mais sont également plus susceptibles d’être compromis ou ciblés par un cybercriminel.
- Risque élevé : Les comptes utilisateur à haut risque sont considérés comme compromis.
Nous vous recommandons de bloquer les comptes utilisateur considérés comme présentant un risque élevé et d’exiger un changement de mot de passe sécurisé pour un utilisateur considéré comme présentant un risque moyen.
Géolocalisation : Entra ID > Protéger et sécuriser > Accès conditionnel
Référence :
Éléments de configuration facultatifs
-
Comptes d’accès d’urgence
Microsoft recommande l’utilisation de comptes administrateur d’accès d’urgence qui sont exclus des stratégies d’accès conditionnel. Ces comptes doivent avoir le rôle « administrateur global » et être sécurisés avec des mots de passe extrêmement longs et complexes. Les mots de passe doivent être stockés dans un coffre-fort sécurisé et utilisés uniquement en cas d’urgence.
Référence :
-
Gérer le consentement et les autorisations des applications
Par défaut, tous les utilisateurs peuvent accorder des autorisations aux applications et compléments tiers. Ceci peut être risqué en présence d’applis malveillantes ou d’emails de phishing dans lesquels les utilisateurs pourraient être entrainés à involontairement donner accès à leur messagerie et fichiers. Nous vous recommandons de limiter ce privilège aux éditeurs de confiance ou d’autoriser l’accès uniquement sur autorisation de l’administrateur.
Géolocalisation : Entra ID > Applications > Applications Entreprise > Consentement et autorisations
Référence :