Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Avant que n’importe qui puisse utiliser Azure, il a besoin d’une identité sécurisée et bien managée. Microsoft Entra ID est l’épine dorsale de la gestion des identités et des accès dans Azure. Cet article vous guide tout au long des étapes essentielles pour établir une base d’identité forte. Que vous configuriez un nouveau locataire ou que vous ayez renforcé la sécurité dans un locataire existant, ces bonnes pratiques vous aident à protéger l’accès à vos ressources cloud dès le premier jour.
Prérequis :Créer un compte Azure. Les start-ups voient si vous êtes éligible aux crédits Azure.
Créer des comptes d’utilisateur individuels
Chaque personne qui a besoin d’accéder à Azure doit avoir son propre compte d’utilisateur dans Microsoft Entra. Cette configuration permet de garantir la responsabilité et facilite le suivi des modifications et l’application des stratégies de sécurité.
Ajoutez un domaine personnalisé. Lorsque vous créez un locataire Microsoft Entra, il est fourni avec un domaine par défaut (yourtenant.onmicrosoft.com). Lorsque vous ajoutez un domaine personnalisé (par exemple, contoso.com), les utilisateurs peuvent se connecter avec des noms familiers comme alex@contoso.com. Si vous créez des comptes avant d’ajouter le domaine personnalisé, vous devez les mettre à jour ultérieurement. Pour obtenir des instructions détaillées, consultez Ajouter votre nom de domaine personnalisé à votre locataire dans Microsoft Entra.
Créez un compte unique pour chaque utilisateur. N’autorisez pas les comptes partagés. Les comptes partagés rendent difficile le suivi et l’attribution de la responsabilité des modifications. Pour obtenir des instructions, consultez Comment créer, inviter et supprimer des utilisateurs dans Microsoft Entra.
Créez des comptes d’accès d’urgence. Créez deux comptes d’accès d’urgence pour vous assurer que vous pouvez accéder à votre locataire si les méthodes de connexion normales échouent.
Attribuer des rôles de gestion des identités
Microsoft Entra utilise le contrôle d’accès en fonction du rôle (RBAC) pour attribuer des rôles aux utilisateurs, aux groupes assignables aux rôles ou aux principaux de service. Ces rôles définissent les actions qu’ils peuvent effectuer dans microsoft Entra, le Centre d’administration Microsoft 365, Microsoft Defender, Microsoft Purview, etc. Il inclut la création de comptes, la gestion des groupes et la configuration des stratégies de sécurité.
Utilisez des rôles intégrés. Microsoft fournit des rôles prédéfinis pour les tâches courantes. Chaque rôle a un ensemble spécifique d’autorisations. Par exemple, le rôle Administrateur d’utilisateur peut créer et gérer des comptes d’utilisateur. Passez en revue la liste des rôles intégrés Microsoft Entra et attribuez uniquement ce dont vous avez besoin.
Attribuez des rôles en fonction du privilège minimum. Donnez uniquement aux utilisateurs les autorisations dont ils ont besoin pour effectuer leur travail. Si quelqu’un n’a pas besoin de gérer Microsoft Entra, le Centre d’administration Microsoft 365, Microsoft Defender ou Microsoft Purview, laissez-les en tant qu’utilisateur régulier sans attribution de rôle.
Utilisez l’accès juste-à-temps. Si votre organisation dispose d’une licence pour Microsoft Entra Privileged Identity Management (PIM), vous pouvez autoriser les utilisateurs à activer des autorisations élevées uniquement si nécessaire, et pendant une durée limitée. Cette configuration réduit le risque d’avoir trop d’utilisateurs disposant d’un accès de haut niveau permanent.
Limitez l’accès au rôle Administrateur général. Le rôle Administrateur général a un contrôle total sur votre instance Microsoft Entra. N’utilisez pas ce rôle pour les tâches quotidiennes.
Passez en revue régulièrement les attributions de rôles. Vérifiez qui a des rôles attribués et supprimez ceux qui ne sont plus nécessaires. Vous pouvez utiliser des rapports et des alertes intégrés pour surveiller les modifications.
Pour plus d'informations, consultez Meilleures pratiques pour les rôles Microsoft Entra.
Configurer l’authentification multifacteur
L’authentification multifacteur (MFA) permet de protéger votre organisation contre les informations d’identification compromises et l’accès non autorisé.
Comprendre les paramètres de sécurité par défaut. Les nouveaux locataires Microsoft Entra ont des paramètres de sécurité par défaut activés automatiquement. Ces paramètres nécessitent que tous les utilisateurs s’inscrivent à l’authentification multifacteur, exigent que les administrateurs effectuent chaque connexion et exigent que les utilisateurs finaux effectuent l’authentification multifacteur si nécessaire.
Utilisez l’accès conditionnel pour les scénarios avancés. Si votre organisation a besoin d’une plus grande flexibilité, vous pouvez créer des stratégies d’accès conditionnel pour appliquer l’authentification multifacteur uniquement dans des situations spécifiques, par exemple lorsque les utilisateurs se connectent à partir d’emplacements inconnus. Les valeurs par défaut de sécurité et l’accès conditionnel ne peuvent pas être utilisés simultanément. Pour activer l’accès conditionnel, vous devez d’abord désactiver les paramètres de sécurité par défaut et acquérir une licence Premium. Consultez la connexion utilisateur sécurisée avec l’authentification multifacteur Microsoft Entra.