Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette section du guide de référence des opérations Microsoft Entra décrit les vérifications et les actions que vous devez entreprendre pour optimiser les opérations générales de l’ID Microsoft Entra.
Remarque
Ces suggestions sont valables à la date de publication mais peuvent évoluer. Les organisations doivent évaluer en permanence leurs pratiques opérationnelles à mesure que les produits et services Microsoft évoluent au fil du temps.
Processus opérationnels clés
Affecter les propriétaires à des tâches clés
La gestion de Microsoft Entra ID nécessite l’exécution continue de tâches et de processus opérationnels clés, qui peuvent ne pas faire partie d’un projet de déploiement. Il est cependant important de configurer ces tâches pour optimiser votre environnement. Les tâches clés et leurs propriétaires recommandés sont listés ci-après :
| Tâche | Propriétaire |
|---|---|
| Favoriser des améliorations du score de sécurité des identités | Équipe des opérations InfoSec |
| Gérer les serveurs Microsoft Entra Connect | Équipe des opérations IAM |
| Exécuter et analyser régulièrement les rapports IdFix | Équipe des opérations IAM |
| Trier les alertes de Microsoft Entra Connect Health pour la synchronisation et AD FS | Équipe des opérations IAM |
| Si vous n’utilisez pas Microsoft Entra Connect Health, le client dispose d’un processus et d’outils équivalents pour surveiller l’infrastructure personnalisée | Équipe des opérations IAM |
| Si vous n’utilisez pas AD FS, le client dispose d’un processus et d’outils équivalents pour surveiller l’infrastructure personnalisée | Équipe des opérations IAM |
| Surveiller les journaux hybrides : connecteurs de réseau privé Microsoft Entra | Équipe des opérations IAM |
| Surveiller les journaux hybrides : Agents de l’authentification directe | Équipe des opérations IAM |
| Surveiller les journaux hybrides : Service de réécriture des mots de passe | Équipe des opérations IAM |
| Surveiller les journaux hybrides : Passerelle de protection des mots de passe locale | Équipe des opérations IAM |
| Surveiller les journaux hybrides : extension NPS d’authentification multifacteur Microsoft Entra (le cas échéant) | Équipe des opérations IAM |
Quand vous passerez votre liste en revue, vous devrez peut-être affecter un propriétaire à des tâches qui en sont dépourvues, ou modifier la propriété des tâches avec propriétaires qui ne sont pas conformes aux suggestions ci-dessus.
Les propriétaires ont recommandé la lecture
Gestion hybride
Versions récentes des composants locaux
Lorsqu’un client dispose des versions les plus récentes des composants locaux, il a accès aux dernières mises à jour de sécurité, aux améliorations en matière de performances ainsi qu’aux fonctionnalités permettant de simplifier davantage l’environnement. La plupart des composants ont un paramètre de mise à niveau automatique, qui automatise le processus de mise à niveau.
Ces composants incluent :
- Microsoft Entra Connect
- Connecteurs de réseau privé Microsoft Entra
- Agents d’authentification directe Microsoft Entra
- Agents de santé de Microsoft Entra Connect
À moins qu’un n’ait été établi, vous devez définir un processus de mise à niveau de ces composants et vous appuyer sur la fonctionnalité de mise à niveau automatique dans la mesure du possible. Si vous trouvez des composants qui sont à six ou plusieurs mois derrière, vous devez effectuer une mise à niveau dès que possible.
Lecture recommandée sur la gestion hybride
- Microsoft Entra Connect : mise à niveau automatique
- Comprendre les connecteurs de réseau privé Microsoft Entra | Mises à jour automatiques
Base de référence de l’alerte Microsoft Entra Connect Health
Les organisations doivent déployer Microsoft Entra Connect Health pour surveiller et signaler Microsoft Entra Connect et AD FS. Microsoft Entra Connect et AD FS sont des composants critiques qui peuvent interrompre la gestion et l’authentification du cycle de vie et donc entraîner des pannes. Microsoft Entra Connect Health permet de surveiller et d’obtenir des insights sur votre infrastructure d’identité locale, ce qui garantit la fiabilité de votre environnement.
Lorsque vous surveillez l’intégrité de votre environnement, vous devez immédiatement traiter toutes les alertes de gravité élevée, suivies d’alertes de gravité inférieures.
Lecture recommandée de Microsoft Entra Connect Health
Journaux des agents sur site
Certains services de gestion des identités et des accès nécessitent des agents locaux pour activer des scénarios hybrides. Par exemple, la réinitialisation de mot de passe, l'authentification pass-through (PTA), le proxy d'application Microsoft Entra, et l'extension NPS pour l'authentification multifacteur Microsoft Entra. Il est essentiel que l'équipe des opérations établit une base de référence et surveille l'état de ces composants en archivant et en analysant les journaux de l'agent de composants en utilisant des solutions telles que System Center Operations Manager ou SIEM. Il est tout aussi important que votre équipe d’opérations Infosec ou votre support technique comprennent comment résoudre les modèles d’erreurs.
Lectures recommandées pour les journaux des agents locaux
- Résoudre les problèmes du proxy d’application
- Résolution des problèmes de réinitialisation de mot de passe en libre-service
- Comprendre les connecteurs de réseau privé Microsoft Entra
- Microsoft Entra Connect : Résoudre les problèmes d’authentification directe
- Résoudre les codes d’erreur pour l’extension NPS d’authentification multifacteur Microsoft Entra
Gestion des agents locaux
L’adoption de bonnes pratiques peut aider à optimiser le fonctionnement des agents locaux. Envisagez les meilleures pratiques suivantes :
- Plusieurs connecteurs de réseau privé Microsoft Entra par groupe de connecteurs sont recommandés pour fournir un équilibrage de charge fluide et une haute disponibilité en évitant les points de défaillance uniques lors de l’accès aux applications proxy. Si vous n’avez actuellement qu’un seul connecteur dans un groupe de connecteurs qui gère les applications en production, vous devez déployer au moins deux connecteurs pour la redondance.
- La création et l’utilisation d’un groupe de connecteurs de réseau privé à des fins de débogage peuvent être utiles pour résoudre les problèmes et lors de l’intégration de nouvelles applications locales. Nous vous recommandons également d’installer des outils de mise en réseau tels que Message Analyzer et Fiddler sur les machines du connecteur.
- Plusieurs agents d’authentification directe sont recommandés pour fournir un équilibrage de charge fluide et une haute disponibilité en évitant un point de défaillance unique pendant le flux d’authentification. Veillez à déployer au moins deux agents d’authentification directe pour la redondance.
Gestion des agents sur site : lecture recommandée
- Comprendre les connecteurs de réseau privé Microsoft Entra
- Authentification directe Microsoft Entra - Démarrage rapide
Gestion à grande échelle
Identity Secure Score
Le score de sécurité d’identité fournit une mesure mesurable de la posture de sécurité de votre organisation. Il est essentiel de passer en revue et de traiter constamment les résultats signalés et de s’efforcer d’avoir le score le plus élevé possible. Le score vous aide à :
- Mesurer objectivement votre posture de sécurité d’identité
- Planifier les améliorations à apporter à la sécurité des identités
- Passez en revue la réussite de vos améliorations
Si votre organisation n’a actuellement aucun programme en place pour surveiller les modifications apportées au score de sécurisation des identités, il est recommandé d’implémenter un plan et d’affecter des propriétaires pour surveiller et favoriser les actions d’amélioration. Les organisations doivent corriger les actions d’amélioration avec un impact de score supérieur à 30 dès que possible.
Avis
Microsoft envoie des communications par e-mail aux administrateurs pour notifier diverses modifications dans le service, les mises à jour de configuration nécessaires et les erreurs qui nécessitent une intervention de l’administrateur. Il est important que les clients définissent les adresses e-mail de notification afin que les notifications soient envoyées aux membres d’équipe appropriés qui peuvent reconnaître et agir sur toutes les notifications. Nous vous recommandons d’ajouter plusieurs destinataires au Centre de messages et de demander que les notifications (y compris les notifications Microsoft Entra Connect Health) soient envoyées à une liste de distribution ou à une boîte aux lettres partagée. Si vous n’avez qu’un seul compte d’administrateur général avec une adresse e-mail, veillez à configurer au moins deux comptes compatibles avec les e-mails.
Il existe deux adresses « From » utilisées par Microsoft Entra ID : o365mc@email2.microsoft.com, qui envoie des notifications du Message Center ; et azure-noreply@microsoft.com, qui envoie des notifications liées à :
- Révisions d’accès Microsoft Entra
- Microsoft Entra Connect Santé
- Microsoft Entra ID Protection
- Gestion des identités privilégiées Microsoft Entra
- Notifications de certificat sur le point d'expirer d’une application d’entreprise
- Notifications du Service de Provisionnement d'Applications d'Entreprise
Reportez-vous au tableau suivant pour découvrir le type de notifications envoyées et où les rechercher :
| Source de notification | Qu’est-ce qui est envoyé ? | Où vérifier |
|---|---|---|
| Contact technique | Erreurs de synchronisation | Portail Azure - Panneau Propriétés |
| Centre de messages | Avis d’incident et de dégradation des services principaux Identity Services et Microsoft 365 | Portail Office |
| Bulletin Hebdomadaire de Protection de l'Identité | Digest de la Protection de l'Identité | Panneau Microsoft Entra ID Protection |
| Microsoft Entra Connect Santé | Notifications d’alerte | Portail Azure - Panneau Microsoft Entra Connect Health |
| Notifications d’applications d’entreprise | Notifications lorsque les certificats approchent de leur expiration et erreurs de provisionnement. | Portail Azure - Panneau Application d’entreprise (chaque application a son propre paramètre d’adresse e-mail) |
Lecture recommandée des notifications
Surface opérationnelle
Verrouillage AD FS
Les organisations qui configurent des applications pour s’authentifier directement auprès de Microsoft Entra ID bénéficient du verrouillage intelligent Microsoft Entra. Si vous utilisez AD FS dans Windows Server 2012 R2, implémentez la protection de verrouillage extranet AD FS. Si vous utilisez AD FS sur Windows Server 2016 ou version ultérieure, implémentez un verrouillage intelligent extranet. Au minimum, nous vous recommandons d’activer le verrouillage extranet pour contenir le risque d’attaques par force brute contre Active Directory local. Toutefois, si vous disposez d’AD FS dans Windows 2016 ou version ultérieure, vous devez également activer le verrouillage intelligent extranet qui vous aidera à atténuer les attaques par pulvérisation de mots de passe .
Si AD FS est utilisé uniquement pour la fédération Microsoft Entra, certains points de terminaison peuvent être désactivés pour réduire la surface d’attaque. Par exemple, si AD FS est utilisé uniquement pour l’ID Microsoft Entra, vous devez désactiver WS-Trust points de terminaison autres que les points de terminaison activés pour usernamemixed et windowstransport.
Accès aux ordinateurs avec des composants d’identité locaux
Les organisations doivent verrouiller l’accès aux machines avec des composants hybrides locaux de la même façon que votre domaine local. Par exemple, un opérateur de sauvegarde ou un administrateur Hyper-V ne doit pas être en mesure de se connecter au serveur Microsoft Entra Connect pour modifier les règles.
Le modèle de niveau administratif Active Directory a été conçu pour protéger les systèmes d’identité à l’aide d’un ensemble de zones tampons entre le contrôle total de l’environnement (niveau 0) et les ressources de station de travail à haut risque que les attaquants compromissent fréquemment.
Le modèle de niveau est composé de trois niveaux et inclut uniquement des comptes d’administration, et non des comptes d’utilisateur standard.
- Niveau 0 : Contrôle direct des identités d’entreprise dans l’environnement. Le niveau 0 inclut des comptes, des groupes et d’autres ressources qui ont un contrôle administratif direct ou indirect de la forêt Active Directory, des domaines ou des contrôleurs de domaine, ainsi que toutes les ressources qu’elle contient. La sensibilité de sécurité de toutes les ressources de niveau 0 est équivalente, car elles sont toutes efficacement en contrôle les unes des autres.
- Niveau 1 : contrôle des serveurs et applications d’entreprise. Les ressources de niveau 1 incluent les systèmes d’exploitation serveur, les services cloud et les applications d’entreprise. Les comptes d’administrateur de niveau 1 ont un contrôle administratif d’une quantité significative de valeur métier hébergée sur ces ressources. Un exemple courant est celui des administrateurs de serveur qui gèrent ces systèmes d’exploitation avec la possibilité d’impact sur tous les services d’entreprise.
- Niveau 2 : contrôle des stations de travail et des appareils utilisateur. Les comptes d’administrateur de niveau 2 ont un contrôle administratif d’une quantité significative de valeur métier hébergée sur des stations de travail et des appareils utilisateur. Par exemple, le support technique et les administrateurs du support informatique peuvent avoir un impact sur l’intégrité de presque toutes les données utilisateur.
Verrouillez l’accès aux composants d’identité locaux tels que Microsoft Entra Connect, AD FS et les services SQL de la même façon que pour les contrôleurs de domaine.
Résumé
Il existe sept aspects d’une infrastructure d’identité sécurisée. Cette liste vous aidera à trouver les actions que vous devez entreprendre pour optimiser les opérations pour l’ID Microsoft Entra.
- Affectez des propriétaires aux tâches clés.
- Automatisez le processus de mise à niveau pour les composants hybrides locaux.
- Déployez Microsoft Entra Connect Health pour surveiller et signaler Microsoft Entra Connect et AD FS.
- Surveillez l’intégrité des composants hybrides locaux en archivant et en analysant les journaux d’activité de l’agent de composant à l’aide de System Center Operations Manager ou d’une solution SIEM.
- Implémentez des améliorations de sécurité en mesurant votre posture de sécurité avec identity Secure Score.
- Verrouiller AD FS.
- Verrouiller l’accès aux ordinateurs avec des composants d’identité locaux.
Étapes suivantes
Reportez-vous aux plans de déploiement Microsoft Entra pour obtenir des détails sur l’implémentation des fonctionnalités que vous n’avez pas déployées.