Vue d’ensemble de la sécurité de la gestion des identités Azure

La gestion des identités est le processus d’authentification et d’autorisation des principaux de sécurité. Microsoft Entra ID fournit une gestion complète des identités et des accès pour les applications et les ressources au sein de votre organisation. Cet article décrit les principales fonctionnalités de gestion des identités Azure qui aident à protéger l’accès aux ressources.

Authentification unique

L’authentification unique permet aux utilisateurs d’accéder à plusieurs applications et ressources avec un seul compte d’utilisateur et mot de passe. Les utilisateurs se connectent une seule fois et peuvent accéder à toutes leurs applications sans authentification répétée. Microsoft Entra ID prend en charge l’authentification unique pour des milliers d’applications SaaS et d’applications web locales.

Microsoft Entra ID étend Active Directory local dans le cloud, ce qui permet aux utilisateurs de se connecter avec leur compte d’organisation aux appareils joints à un domaine, aux ressources de l’entreprise et aux applications intégrées. L’authentification unique réduit la fatigue des mots de passe et améliore la sécurité en réduisant les informations d’identification exposées.

Pour en savoir plus:

• Qu’est-ce que l’authentification unique dans Microsoft Entra ID ?
• Planifier un déploiement d’authentification unique

Authentification multifacteur

Microsoft Entra multifacteur authentication (MFA) ajoute une deuxième couche critique de sécurité en exigeant deux méthodes de vérification ou plus. L’authentification multifacteur permet de protéger contre l’accès non autorisé tout en conservant une expérience de connexion simple pour les utilisateurs.

Les méthodes de vérification sont les suivantes :

• Application Microsoft Authenticator
• Windows Hello Entreprise
• Clés de sécurité FIDO2
• Authentification basée sur un certificat
• Jetons OATH (matériel et logiciel)
• SMS et appel vocal

Les licences Microsoft Entra ID P1 et P2 prennent en charge les stratégies d’accès conditionnel qui appliquent l’authentification multifacteur basée sur l’utilisateur, l’emplacement, l’appareil et le contexte de l’application.

Pour en savoir plus:

• Fonctionnement de l’authentification multifacteur Microsoft Entra
• Planifier un déploiement d’authentification multifacteur Microsoft Entra

Contrôle d’accès en fonction du rôle Azure

Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) fournit une gestion des accès affinée pour les ressources Azure. Avec Azure RBAC, vous pouvez accorder aux utilisateurs les autorisations minimales nécessaires pour effectuer leurs travaux.

Azure RBAC inclut des rôles intégrés :

• Propriétaire : accès total à toutes les ressources, y compris le droit de déléguer l’accès
• Contributeur : Créer et gérer tous les types de ressources Azure, mais ne peut pas accorder l’accès
• Lecteur : Afficher les ressources Azure existantes
• Administrateur de l’accès utilisateur : gérer l’accès utilisateur aux ressources Azure

Vous pouvez également créer des rôles personnalisés adaptés à vos besoins spécifiques.

Pour en savoir plus:

• Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (Azure RBAC) ?
• Rôles intégrés Azure
• Attribuer des rôles Azure à l’aide du portail Azure

Application Proxy (Proxy d’application)

Le proxy d’application Microsoft Entra permet un accès à distance sécurisé aux applications web locales sans nécessiter de connexions VPN. Le proxy d’application publie des applications telles que des sites SharePoint, Outlook Web App et des applications IIS sur des utilisateurs externes tout en conservant la sécurité via l’authentification d’ID Microsoft Entra et les stratégies d’accès conditionnel.

Le proxy d’application prend en charge l’authentification unique et peut s’intégrer à des méthodes d’authentification locales existantes.

Pour en savoir plus:

• Vue d’ensemble du proxy d’application Microsoft Entra
• Publier des applications locales avec le proxy d’application Microsoft Entra

Gestion des identités privilégiées

Microsoft Entra Privileged Identity Management (PIM) vous aide à gérer, contrôler et surveiller l’accès privilégié aux ressources importantes. PIM fournit un accès privilégié juste-à-temps (JIT), ce qui réduit le risque d’autorisations excessives ou inutiles.

Avec PIM, vous pouvez :

• Fournir un accès limité à l’heure aux rôles Azure et Microsoft Entra
• Exiger l’approbation pour activer les rôles privilégiés
• Appliquer l’authentification multifacteur pour l’activation de rôle
• Exiger une justification pour l’activation de rôle
• Recevoir des notifications pour les activations de rôle privilégiés
• Effectuer des révisions d’accès pour garantir que les utilisateurs ont toujours besoin de rôles privilégiés
• Générer des rapports d’audit pour la conformité

Pour en savoir plus:

• Qu’est-ce que Microsoft Entra Privileged Identity Management ?
• Planifier un déploiement Privileged Identity Management

Identity Protection

Microsoft Entra ID Protection détecte les vulnérabilités potentielles et les activités risquées affectant les identités de votre organisation. Il utilise le Machine Learning pour identifier les comportements de connexion anormaux et les activités utilisateur.

Identity Protection fournit :

• Accès conditionnel basé sur les risques : stratégies qui répondent aux risques détectés en temps réel
• Détection des risques : identification des activités suspectes, y compris l’utilisation d’adresses IP anonymes, les déplacements atypiques et les adresses IP liées aux programmes malveillants
• Outils d’investigation : rapports et tableaux de bord pour l’analyse des risques
• Correction automatisée : stratégies basées sur les risques qui peuvent nécessiter automatiquement des modifications de mot de passe ou bloquer l’accès

Pour en savoir plus:

• Qu’est-ce que Microsoft Entra ID Protection ?
• Examiner les risques avec Identity Protection

Révisions d’accès Microsoft Entra

Les révisions d’accès Microsoft Entra permettent une gestion efficace des appartenances aux groupes, l’accès aux applications d’entreprise et les attributions de rôles privilégiées. Les révisions d’accès régulières permettent de s’assurer que les utilisateurs ont uniquement l’accès dont ils ont besoin.

Prise en charge des révisions d’accès :

• Révisions automatisées : révisions périodiques planifiées avec une fréquence personnalisable
• Révisions déléguées : les propriétaires et les responsables d’entreprises peuvent examiner l’accès pour leurs équipes
• Auto-attestation : les utilisateurs peuvent confirmer qu’ils ont encore besoin d'accès
• Recommandations : Le Machine Learning suggère que les utilisateurs doivent perdre l’accès en fonction de l’activité de connexion
• Actions automatisées : Supprimer automatiquement l’accès lorsque les révisions sont terminées

Pour en savoir plus:

• Qu’est-ce que les révisions d’accès Microsoft Entra ?
• Planifier un déploiement d'examens d'accès Microsoft Entra

Gestion des identités hybrides

Pour les organisations disposant d’Active Directory local, Microsoft fournit des solutions d’identité hybride pour synchroniser les identités entre les environnements locaux et cloud.

Microsoft Entra Connect (mode maintenance) synchronise les identités AD DS locales avec l’ID Microsoft Entra. Il s’exécute sur un serveur local et fournit les éléments suivants :

• Synchronisation d’annuaires pour les utilisateurs, les groupes et les contacts
• Synchronisation de hachage de mot de passe ou authentification directe
• Intégration de la fédération à AD FS
• Surveillance de la santé

Microsoft Entra Cloud Sync est la solution de synchronisation moderne basée sur le cloud qui utilise des agents d’approvisionnement légers :

• Déploiement simplifié avec des agents légers
• Prise en charge des environnements déconnectés à forêts multiples
• Haute disponibilité avec plusieurs agents
• Configuration et gestion basées sur le cloud

Microsoft recommande Cloud Sync pour les nouveaux déploiements d’identité hybride.

Pour en savoir plus:

• Qu’est-ce que Microsoft Entra Cloud Sync ?
• Choisir le client de synchronisation approprié pour l’ID Microsoft Entra

Enregistrement de l’appareil

L’inscription d’appareils Microsoft Entra active les stratégies d’accès conditionnel basées sur les appareils. Les appareils inscrits reçoivent une identité qui authentifie l’appareil lors de la connexion de l’utilisateur. Les attributs d’appareil peuvent appliquer des stratégies d’accès conditionnel pour les applications cloud et locales.

Lorsqu’ils sont combinés avec des solutions de gestion des appareils mobiles (GPM) telles que Microsoft Intune, les attributs d’appareil sont enrichis avec des informations de configuration et de conformité. Cela permet d’activer les règles d’accès conditionnel en fonction de la sécurité et de la conformité des appareils.

Pour en savoir plus:

• Planifiez le déploiement de votre appareil Microsoft Entra
• Microsoft Entra a rejoint les appareils
• Appareils avec jonction hybride à Microsoft Entra

Identités externes

Microsoft Entra External ID fournit la gestion des identités pour les applications orientées client et B2B Collaboration. L’ID externe prend en charge l’inscription et la connexion des consommateurs avec des comptes sociaux (Facebook, Google, LinkedIn) ou des informations d’identification basées sur des e-mails.

Pour B2B Collaboration, l’ID externe permet un partage sécurisé d’applications et de ressources avec des partenaires externes tout en conservant le contrôle sur vos données d’entreprise. Les utilisateurs externes s’authentifient auprès de leur organisation ou des fournisseurs d’identité pris en charge.

Pour en savoir plus:

• Vue d’ensemble de l’ID externe Microsoft Entra
• Vue d’ensemble de B2B Collaboration

Étapes suivantes

• Meilleures pratiques et tendances Azure relatives à la sécurité
• Vue d’ensemble de la sécurité réseau
• Détection et protection contre les menaces
• Gestion des clés dans Azure