Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Stratégie et feuille de route de Confiance Zéro du DoD décrit un parcours pour les composants DoD (Department of Defense) et des partenaires DIB (Defense Industrial Base) pour adopter un nouveau cadre de cybersécurité basé sur les principes de Confiance Zéro. Confiance Zéro élimine les hypothèses traditionnelles de périmètre et de confiance, ouvrant la voie à une architecture plus efficace qui améliore la sécurité, les expériences utilisateur et les performances des missions.
Ce guide contient des recommandations pour les 152 activités de Confiance Zéro de la feuille de route d’exécution des capacités Confiance Zéro du DoD. Les sections correspondent aux sept piliers du modèle Confiance Zéro du DoD.
Utiliser les liens suivants pour accéder aux sections du guide.
- Introduction
- Utilisateur
- Appareil
- Applications et charges de travail
- Données
- Réseau
- Automatisation et orchestration
- Visibilité et analyse
1 Utilisateur
Cette section contient des conseils et des recommandations Microsoft pour les activités de Confiance Zéro du DoD dans le pilier utilisateur. Pour plus d’informations, consultez Sécurisation de l’identité avec la Confiance Zéro.
1.1 Inventaire utilisateur
Microsoft Entra ID est la plateforme d’identité requise pour les services de cloud computing Microsoft. Microsoft Entra ID est un fournisseur d’identité (IdP) et une plateforme de gouvernance pour prendre en charge les identités multiclouds et hybrides. Vous pouvez utiliser Microsoft Entra ID pour régir l’accès aux clouds non-Microsoft tels qu’Amazon Web Services (AWS), Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI) et bien plus encore. Microsoft Entra ID utilise des protocoles d’identité standard, ce qui en fait un fournisseur d’identité approprié pour les logiciels en tant que service (SaaS), les applications web modernes, les applications de bureau et mobiles, également les applications locales héritées.
Utilisez Microsoft Entra ID pour vérifier les utilisateurs et les entités non personnelles (NPE), autoriser en permanence l’accès aux applications et aux données, régir les identités et leurs droits en suivant les principes de privilège minimum, et effectuer une administration juste-à-temps (JIT).
| Description et résultat de l’activité DoD | Conseils et recommandations de Microsoft |
|---|---|
Target
1.1.1 Utilisateur d’inventaireLes organisations du DoD établissent et mettent à jour manuellement un inventaire d’utilisateurs si nécessaire, en préparant une approche automatisée dans les phases ultérieures. Les comptes gérés de manière centralisée par un idP/ICAM et localement sur les systèmes seront identifiés et inventoriés. Les comptes privilégiés seront identifiés pour l’audit futur et les comptes d’utilisateur standard et privilégiés locaux aux applications et systèmes seront identifiés pour la migration future et/ou la désactivation. Résultats : - Utilisateurs réguliers gérés identifiés - Utilisateurs privilégiés identifiés - Applications identifiées utilisant leur propre gestion de compte d’utilisateur pour les comptes non administratifs et administratifs |
Microsoft Entra ID Identifier les utilisateurs réguliers et privilégiés de votre organisation à l’aide du Centre d’administration Microsoft Entra ou de l’API Microsoft Graph. L’activité de l’utilisateur est capturée dans les journaux de connexion et d’audit de Microsoft Entra ID, qui peuvent être intégrés aux systèmes SIEM (Security Information Event Monitoring) tels que Microsoft Sentinel. - Adopter Microsoft Entra ID - L’API Microsoft Graph : Répertorier les utilisateurs - Intégration des journaux d’activité Microsoft Entra Rôles de Microsoft Entra et Azure Les utilisateurs privilégiés sont attribués aux identités des rôles de Microsoft Entra ID, aux rôles d’Azure ou aux groupes de sécurité Microsoft Entra ID qui accordent un accès privilégié à Microsoft 365 ou à d’autres applications. Nous vous recommandons d’utiliser des utilisateurs cloud uniquement pour l’accès privilégié. - Rôles intégrés Microsoft Defender for Cloud Apps Utilisez Defender for Cloud Apps pour découvrir des applications non approuvées à l’aide de leur propre magasin d’identités. - Découvrez et gérez l’informatique fantôme Microsoft Defender pour Identity Déployez et configurez les capteurs Microsoft Defender pour Identity pour créer un inventaire des ressources d’identité pour les environnements Active Directory Domain Services locaux. - Vue d’ensemble de Microsoft Defender pour Identity - Déployer Microsoft Defender pour Identity - Découvrir les ressources |
1.2 Accès conditionnel utilisateur
Microsoft Entra ID permet à votre organisation d’implémenter l’accès conditionnel et dynamique des utilisateurs. Les fonctionnalités qui prennent en charge cette fonctionnalité incluent l’accès conditionnel Microsoft Entra, la gouvernance de Microsoft Entra ID, les rôles personnalisés, les groupes de sécurité dynamiques, les rôles d’application et les attributs de sécurité personnalisés.
L’accès conditionnel est le moteur de stratégie Confiance Zéro en temps réel dans Microsoft Entra ID. Les stratégies d’accès conditionnel utilisent des signaux de sécurité provenant de l’utilisateur, de l’appareil, de l’application, de la session, du risque, et bien plus encore pour appliquer une autorisation dynamique adaptative pour les ressources protégées par Microsoft Entra ID.
| Description et résultat de l’activité DoD | Conseils et recommandations de Microsoft |
|---|---|
Target
1.2.1 Implémenter des autorisations basées sur les applications par entrepriseEn collaboration avec les Organisations, l’entreprise du DoD établit un ensemble de base d’attributs utilisateur pour l’authentification et l’autorisation. Celles-ci sont intégrées au processus d’activité « Enterprise Identity Life Cycle Management Pt1 » pour une norme d’entreprise complète. La solution Gestion des identités, des informations d’identification et des accès (ICAM) d’entreprise est activée pour les fonctionnalités en libre-service pour l’ajout/la mise à jour d’attributs au sein de la solution. Les activités PAM (Privileged Access Management) restantes sont entièrement migrées vers la solution PAM. Résultats: - Rôles/attributs d’entreprise nécessaires pour l’autorisation d’utilisateur aux fonctions d’application et/ou les données ont été inscrites auprès de l’ICAM d’entreprise - L’ICAM d’entreprise du DoD dispose d’attributs libre-service/service d’inscription de rôle qui permettent aux propriétaires d’applications d’ajouter des attributs ou d’utiliser des attributs d’entreprise existants - Les activités privilégiées sont entièrement migrées vers PAM |
Microsoft Entra Connect Établir une identité hybride avec Microsoft Entra Connect pour remplir les locataires Microsoft Entra ID avec les données d’attribut utilisateur des systèmes d’annuaire actuels. - Microsoft Entra Connect Applications Microsoft Entra Intégrer des applications à Microsoft Entra ID. Concevoir des modèles d’autorisation et d’autorisations d’application à l’aide de groupes de sécurité et de rôles d’application. Pour déléguer la gestion des applications, attribuez des propriétaires pour gérer la configuration de l’application, inscrivez-vous également et attribuez des rôles d’application. - Intégrer des applications avec Microsoft Entra ID - Groupes de sécurité dynamiques - Rôles d’application pour les applications Microsoft Entra ID Governance Configurer les packages d’accès dans la gestion des droits d’utilisation. les utilisateurs peuvent demander l’accès aux rôles ou groupes d’applications. - Régir l’accès aux applications - Déléguer la gouvernance des packages d’accès Accès conditionnel Configurer des stratégies d’accès conditionnel pour l’autorisation dynamique aux applications et aux services protégés par Microsoft Entra ID. Dans les stratégies d’accès conditionnel, utilisez des attributs de sécurité personnalisés et des filtres d’application pour étendre l’autorisation d’attribut de sécurité affectée aux objets d’application, tels que la sensibilité. - Accès conditionnel - Attributs de sécurité personnalisés - Filtre pour les applications Privileged Identity Management Utiliser PIM Discovery et Insights pour identifier les rôles et groupes privilégiés. Utilisez PIM pour gérer les privilèges découverts et convertir les affectations d’utilisateurs de permanents en autorisations éligibles. - Découverte et insights PIM |
Target
1.2.2 L’accès dynamique basé sur les règles Pt1Les organisations du DoD utilisent les règles de l’activité « Authentification périodique » pour créer des règles de base activant et désactivant dynamiquement les privilèges. Les comptes d’utilisateurs à haut risque utilisent la solution PAM pour passer à un accès privilégié dynamique à l’aide d’un accès juste-à-temps et de méthodes d’administration juste-assez. Résultats : - L’accès aux fonctions et/ou aux données de l’applications/service est limité aux utilisateurs disposant d’attributs d’entreprise appropriés - Toutes les applications possibles utilisent des autorisations JIT/JEA pour les utilisateurs administratifs |
Microsoft Entra ID Utilisez les fonctionnalités d’autorisation et de gouvernance de Microsoft Entra ID pour limiter l’accès aux applications en fonction des attributs utilisateur, des attributions de rôles, des risques et des détails de session. Consultez les conseils Microsoft dans la section 1.2.1. Privileged Identity Management Utilisez PIM pour les rôles Microsoft Entra et Azure. Étendez PIM à d’autres applications Microsoft Entra ID avec PIM pour les groupes. - PIM pour les rôles Microsoft Entra - PIM pour les rôles Azure - PIM pour les groupes |
Advanced
1.2.3 L’accès dynamique basé sur les règles Pt2Les organisations du DoD étendent le développement de règles pour la prise de décision d’accès dynamique en matière de comptabilité des risques. Les solutions utilisées pour l’accès dynamique sont intégrées à la fonctionnalité Machine Learning multi-pilier et à l’intelligence artificielle permettant la gestion automatisée des règles. Résultats : - Les composants et services utilisent entièrement des règles pour permettre l’accès dynamique aux applications et aux services - La technologie utilisée pour l’accès dynamique basé sur des règles prend en charge l’intégration avec les outils IA/ML |
Protection Microsoft Entra ID Protection Microsoft Entra ID utilise des algorithmes de Machine Learning (ML) pour détecter les utilisateurs et les risques de connexion. Utilisez des conditions de risque dans les stratégies d’accès conditionnel pour l’accès dynamique, en fonction du niveau de risque. - Protection Microsoft Entra ID - Détections de risques - Stratégies d’accès basées sur les risques Microsoft Defender XDR Microsoft Defender XDR est une solution de détection et de réponse étendue (XDR). Déployez les applications Microsoft Defender for Endpoint et Microsoft Defender pour le Cloud et configurez les intégrations. - Intégrer Defender for Endpoint aux applications Defender pour le Cloud |
Advanced
1.2.4 Rôles de gouvernance d’entreprise et autorisations Pt1Les organisations du DoD fédèrent les attributs d’utilisateur et de groupe restants, selon les besoins de la solution de Gestion des identités, des informations d’identification et des accès (ICAM) d’entreprise. L’ensemble d’attributs mis à jour est utilisé pour créer des rôles universels que les organisations utilisent. Les principales fonctions des solutions Identity Provider (IdP) et Identity, Credential et Access Management (ICAM) sont migrées vers des services cloud et/ou des environnements qui permettent une résilience et des performances améliorées. Résultats : - Attribut de composant et référentiel de données de rôle fédérés avec ICAM d’entreprise - Le fournisseur d’identité d’entreprise basé sur le cloud peut être utilisé par les applications cloud et locales - Un ensemble standardisé de rôles et d’autorisations est créé et aligné sur les attributs |
Microsoft Entra ID Microsoft Entra ID est une plateforme et un fournisseur d’identité (IDP) multicloud gérés de manière centralisée, d’informations d’identification et de gestion des accès (ICAM). Établissez une identité hybride avec Microsoft Entra Connect pour remplir les données utilisateur dans l’annuaire. - Microsoft Entra ID - Identité hybride Applications Microsoft Entra Intégrer des applications à Microsoft Entra ID et utiliser des groupes de sécurité dynamiques, rôles d’application et attributs de sécurité personnalisés pour régir l’accès aux applications. - Gérer les applications - Régir l’accès aux applications Proxy d’application Microsoft Entra Pour utiliser Microsoft Entra ID pour les applications qui utilisent des protocoles d’authentification hérités, déployez et configurez le proxy d’application ou intégrez des solutions partenaires d’accès hybride sécurisée (SHA). - SHA : protéger les applications héritées |
Advanced
1.2.5 Rôles de gouvernance d’entreprise et autorisations Pt2Organisations DoD déplacent toutes les fonctions possibles des solutions Identity Provider (IdP) et Identity, Credential and Access Management (ICAM) vers les environnements cloud. Les fonctionnalités locales des environnements enclave/DDIL pour prendre en charge les fonctions déconnectées, mais sont finalement gérées par les solutions ICAM (Identity, Credential and Access Management) centralisées. Les rôles mis à jour sont désormais mandatés pour l’utilisation et les exceptions sont examinés à la suite d’une approche basée sur les risques. Résultats : - La majorité des composants utilisent la fonctionnalité Fournisseur d’identité cloud Dans la mesure du possible, le fournisseur d’identité local est désactivé - Les autorisations et les rôles sont mandatés pour l’utilisation lors de l’évaluation des attributs |
Applications Microsoft Entra Migrer des applications modernes à partir des services de fédération Active Directory (AD FS) vers Microsoft Entra ID, puis désaffecter l’infrastructure AD FS. - Migrer l’authentification des applications d’AD FS vers Microsoft Entra ID Approvisionnement d’applications Microsoft Entra Déplacer les processus d’approvisionnement des applications et ICAM restants des systèmes de gestion des identités locaux vers Microsoft Entra ID. - Provisionnement entrant piloté par l’API - Approvisionnement d’applications |
1.3. Authentification multifacteur
Microsoft Entra ID prend en charge l’authentification basée sur les certificats (CBA), notamment les cartes d’accès communs du DoD (CAC) et la vérification d’identité personnelle (PIV) sans fédérer avec un autre fournisseur d’identité, pour les utilisateurs cloud et hybrides (synchronisés). Microsoft Entra ID prend en charge plusieurs méthodes d’authentification sans mot de passe multifacteur compatibles avec hameçonnage multifacteur notamment CBA, Windows Hello Entreprise, clés de sécurité FIDO2 et clés secrètes.
Vous pouvez créer des stratégies d’accès conditionnel pour appliquer la force d’authentification et autoriser dynamiquement l’accès en fonction des conditions utilisateur, appareil et environnement, y compris le niveau de risque.
| Description et résultat de l’activité DoD | Conseils et recommandations de Microsoft |
|---|---|
Target
1.3.1 Authentification multifacteur organisationnelle/Fournisseur d’identitéLes organisations du DoD disposent d’une solution Fournisseur d’identité centralisée et d’une solution multifacteur (MFA) qu’elles implémentent. La solution IdP et MFA peut être combinée dans une application unique ou séparée si nécessaire en supposant que l’intégration automatisée est prise en charge par les deux solutions. Le fournisseur d’identité (IDP) et l’authentification multifacteur (MFA) prennent en charge l’intégration à la fonctionnalité PKI Entreprise et permettent de signer des paires de clés par les autorités de certificat racine approuvées. Les applications et services critiques utilisent la solution IdP et MFA pour la gestion des utilisateurs et des groupes. Résultats : - Le composant utilise l’idP avec MFA pour les applications/services critiques - Les composants ont implémenté un fournisseur d’identité (IdP) qui permet l’authentification multifacteur DoD PKI - PKI standardisée organisationnelle pour les services critiques |
Méthodes d’authentification Microsoft Entra Configurer Microsoft Entra CBA à l’aide de l’infrastructure PKI du DoD. Définissez le niveau de protection global sur l’authentification à facteur unique. Créez des règles pour chaque autorité de certification émettrice du DoD ou OID de stratégie pour identifier l’infrastructure PKI du DoD comme niveau de protection multifacteur d’authentification. Après la configuration, les utilisateurs se connectent à Microsoft Entra avec une CAC du DoD. - Authentification dans Microsoft Entra ID - Authentification basée sur les certificats Microsoft Entra - Configurer l’authentification basée sur les certificats Déploiement par étapes Utiliser un déploiement par étapes pour migrer l’authentification utilisateur à partir d’un service de fédération local vers l’Authentification basée sur les certificats Microsoft Entra. Consultez les conseils Microsoft dans la section 1.2.4. Force d’authentification Microsoft Entra Créer une nouvelle force d’authentification nommée CAC du DoD. Choisissez l’authentification basée sur un certificat (multifacteur). Configurez les options avancées et sélectionnez des émetteurs de certificats pour l’infrastructure PKI DoD. - Force d’authentification - Forces d’authentification personnalisées Microsoft Intune Microsoft Entra prend en charge deux méthodes d’utilisation de certificats sur un appareil mobile : informations d’identification dérivées (certificats sur appareil) et clés de sécurité matérielles. Pour utiliser des informations d’identification dérivées de l’infrastructure PKI du DoD sur des appareils mobiles gérés, utilisez Intune pour déployer DISA Purebred. - Informations d’identification dérivées - CBA sur les appareils iOS - CBA sur les appareils Android |
Advanced
1.3.2 Autres solutions d’authentification multifacteur flexibles Pt1Le fournisseur d’identité (IdP) de l’organisation du DoD prend en charge d’autres méthodes d’authentification multifacteur conformes aux exigences de cybersécurité (par exemple, FIPS 140-2, FIPS 197, etc.). Vous pouvez utiliser d’autres jetons pour l’authentification basée sur l’application. Les options multifacteur prennent en charge la fonctionnalité biométrique et peuvent être gérées à l’aide d’une approche libre-service. Si possible, les fournisseurs multifacteurs sont déplacés vers les services cloud au lieu d’être hébergés localement. Résultats : - IdP fournit un jeton de remplacement en libre-service utilisateur - IdP fournit une authentification multifacteur (MFA) de jeton de remplacement pour les applications approuvées par stratégie |
Méthodes d’authentification Microsoft Entra Configurer les méthodes d’authentification Microsoft Entra pour que les utilisateurs inscrivent des clés de passe (clés de sécurité FIDO2). Utilisez des paramètres facultatifs pour configurer une stratégie de restriction de clé pour les clés conformes à FIPS 140-2. - Connexion à la clé de sécurité sans mot de passe - Méthodes d’authentification Passe d’accès temporaire Configurer un passe d’accès temporaire (TAP) pour que les utilisateurs inscrivent d’autres authentificateurs sans mot de passe sans contrôle d’accès (CAC). - Configurer TAP Accès conditionnel Créer une stratégie d’accès conditionnel pour exiger la force d’authentification : contrôle d’accès client (CAC) du DoD pour l’inscription des informations de sécurité. La stratégie nécessite l’enregistrement d’autres authentificateurs (CAC) tels que les clés de sécurité FIDO2. - Inscription des informations de sécurité Consultez les conseils Microsoft dans la section 1.3.1. Windows Hello Entreprise Utiliser Windows Hello Entreprise avec un code confidentiel PIN ou un mouvement biométrique pour la connexion Windows. Utilisez des stratégies de gestion des appareils pour l’inscription Windows Hello Entreprise pour les appareils Windows fournis par l’entreprise. - Windows Hello Entreprise |
Advanced
1.3.3 Autres solutions d’authentification multifacteur flexibles Pt2Les jetons alternatifs utilisent des modèles d’activité utilisateur à partir d’activités inter-piliers telles que la Surveillance des activités utilisateur (UAM) et l’Analyse des comportements des utilisateurs et des entités (UEBA) pour faciliter la prise de décision d’accès (par exemple, ne pas accorder d’accès lorsqu’il y a un écart par rapport au modèle). Cette fonctionnalité est également étendue aux autres jetons biométriques activés. résultat : - Modèles d’activité utilisateur implémentés |
Protection Microsoft Entra ID La protection Microsoft Entra ID utilise le Machine Learning (ML) et le renseignement sur les menaces pour détecter les utilisateurs à risque et les événements de connexion. Utilisez les conditions de connexion et de risque utilisateur pour cibler les stratégies d’accès conditionnel aux niveaux de risque. Commencez par la protection de référence nécessitant l’authentification multifacteur (MFA) pour les connexions risquées. - Microsoft Entra ID Protection - Déployer la protection de l’identité Accès conditionnel Créer un ensemble de stratégies d’accès conditionnel basées sur les risques qui utilisent des contrôles d’octroi et de session pour exiger une protection plus forte à mesure que le risque augmente. - Configurer et activer des stratégies de gestion des risques - Accès conditionnel : session - Accès conditionnel : Accorder Exemples de stratégies d’accès conditionnel basées sur les risques : Risque de connexion moyen - Exiger une force d’authentification : MFA résistant au hameçonnage - Exiger un appareil conforme - Fréquence de connexion : 1 heure Risque de connexion élevé - Exiger une force d’authentification : MFA résistant au hameçonnage - Exiger un appareil conforme - Fréquence de connexion : à chaque fois Risque utilisateur élevé - Exiger une force d’authentification : MFA résistant au hameçonnage - Exiger un appareil conforme - Fréquence de connexion : chaque fois Microsoft Sentinel Configurer une règle d’analytique Sentinel et un playbook pour créer un incident pour les alertes de Protection Entra ID lorsque le risque utilisateur est élevé. - Connecteur Microsoft Entra ID Protection pour Sentinel - Utilisateur :revokeSignInSessions |
1.4 Gestion des accès privilégiés
Microsoft Entra ID Governance permet aux fonctionnalités PAM, notamment l’administration juste-à-temps (JIT), la gestion des droits d’utilisation et les révisions d’accès périodiques. Microsoft Entra Privileged Identity Management (PIM) vous aide à découvrir comment les rôles sont attribués dans votre organisation. Utilisez PIM pour convertir les attributions de rôles permanentes JIT, personnaliser les exigences d’attribution de rôle et d’activation, également planifier des révisions d’accès.
L’accès conditionnel applique la force d’authentification, le niveau de risque et l’appareil PAW (Privileged Access Workstation) conforme pour l’accès privilégié. Les actions administratives dans Microsoft Entra ID sont enregistrées dans les journaux d’audit Microsoft Entra.
| Description et résultat de l’activité DoD | Conseils et recommandations de Microsoft |
|---|---|
Target
1.4.1 Implémenter le système et migrer des utilisateurs privilégiés Pt1Les organisations du DoD procurent et implémentent une solution PAM (Privileged Access Management) pour prendre en charge tous les cas d’utilisation privilégiés critiques. Les points d’intégration d’application/service sont identifiés pour déterminer l’état de prise en charge de la solution PAM. Les applications/services qui s’intègrent facilement à la solution PAM sont transférés vers l’utilisation de la solution et des autorisations privilégiées statiques et directes. Résultats : - Les outils PAM (Privilege Access Management) sont implémentés - Applications et appareils qui prennent en charge et ne prennent pas en charge les outils PAM identifiés - Applications qui prennent en charge PAM, maintenant utiliser PAM pour contrôler les comptes d’urgence/intégrés |
Privileged Identity Management Déployez PIM pour protéger les rôles Microsoft Entra ID et Azure. Utilisez PIM Discovery and Insights pour identifier les rôles et groupes privilégiés. Utilisez PIM pour gérer les privilèges découverts et convertir les affectations d’utilisateurs de permanents en autorisations éligibles. - Vue d’ensemble PIM - Découverte et Insights pour les rôles - Ressources Azure Microsoft Intune Déployez le PAW géré par Intune pour Microsoft Entra, Microsoft 365 et l’administration Azure. - Stratégie d’accès privilégié Accès conditionnel Utilisez la stratégie d’accès conditionnel pour exiger des appareils conformes. Pour appliquer PAW, utilisez des filtres d’appareil dans le contrôle d’octroi d’appareil conforme à l’accès conditionnel. - Filtres pour les appareils |
Target
1.4.2 Implémenter le système et migrer des utilisateurs privilégiés Pt2Les organisations du DoD utilisent l’inventaire des applications/services prises en charge et non prises en charge pour l’intégration à la solution PAM (Privileged Access Management) pour étendre les intégrations. PAM est intégré aux applications/services les plus difficiles pour optimiser la couverture des solutions PAM. Les exceptions sont gérées dans une approche méthode basée sur les risques avec l’objectif de la migration hors et/ou de désaffecter les applications/services qui ne prennent pas en charge les solutions PAM. Résultat : - Les activités privilégiées sont migrées vers PAM et l’accès est entièrement géré |
Privileged Identity Management Utiliser des groupes d’accès privilégié et PIM pour les groupes afin d’étendre l’accès juste-à-temps (JIT) au-delà de Microsoft Entra ID et Azure. Utilisez les groupes de sécurité dans Microsoft 365, Microsoft Defender XDR ou mappés aux revendications de rôle privilégiées pour les applications non-Microsoft intégrées à Microsoft Entra ID. - Groupes assignables en rôle - Intégrer des groupes dans PIM - Affectations d’utilisateurs et de groupes à une application Accès conditionnel Utiliser des actions protégées pour ajouter une autre couche de protection lorsque les administrateurs effectuent des actions nécessitant des autorisations hautement privilégiées dans Microsoft Entra ID. Par exemple, gérez les stratégies d’accès conditionnel et les paramètres d’accès entre locataires. - Actions protégées Créez une stratégie d’accès conditionnel pour les utilisateurs disposant d’une appartenance active au rôle Microsoft Entra. Exiger la force d’authentification : MFA résistant au hameçonnage et appareil conforme. Utilisez des filtres d’appareil pour exiger des PAW conformes. - Exiger MFA pour les administrateurs - Filtre pour les appareils |
Advanced
1.4.3 Approbations en temps réel et Analyses JIT/JEA Pt1L’identification des attributs nécessaires (utilisateurs, groupes, etc.) est automatisée et intégrée à la solution PAM (Privileged Access Management). Les demandes d’accès privilégié sont migrées vers la solution PAM pour les approbations et les refus automatisés. Résultats : - Comptes, applications, appareils et données identifiés (de plus grand risque pour la mission du DoD) - Utilisation des outils PAM, application de l’accès JIT/JEA aux comptes à haut risque - Les demandes d’accès privilégié sont automatisées selon les besoins |
Privileged Identity Mangement Identifiez les rôles à haut risque dans votre environnement, tels que les rôles Microsoft Entra, les rôles Azure tels que Propriétaire et Administrateur de l’accès utilisateur, ainsi que les groupes de sécurité privilégiés. - Meilleures pratiques pour les rôles - Rôles privilégiés Configurez les paramètres de rôle PIM pour exiger l’approbation. - Paramètres de rôle de ressource Azure - Paramètres de rôle Microsoft Entra - PIM pour les paramètres de groupes Gouvernance Microsoft Entra ID Utilisez des packages d’accès pour gérer les groupes de sécurité pour l’éligibilité des rôles. Ce mécanisme gère les administrateurs éligibles. Il ajoute des demandes, approbations et révisions d’accès en libre-service pour l’éligibilité des rôles. - Gestion des droits d’utilisation Créez des groupes assignables de rôle pour les rôles privilégiés afin de configurer les demandes d’éligibilité et les approbations. Créez un catalogue nommé Administrateurs éligibles au rôle privilégié. Ajoutez des groupes assignables de rôle en tant que ressources. - Groupes assignables en rôle - Créer et gérer des catalogues de ressources Créez des packages d’accès pour les groupes assignables de rôle dans le catalogue Administrateurs éligibles au rôle privilégié. Vous pouvez exiger l’approbation lorsque les utilisateurs demandent l’éligibilité dans la gestion des droits d’utilisation, nécessitent l’approbation lors de l’activation dans PIM, ou les deux. - Packages d’accès |
Advanced
1.4.4 Approbations en temps réel et Analyses JIT/JEA Pt2Les organisations du DoD intègrent les solutions UAM (UEBA - User & Entity Behavior Analytics) et UAM (User Activity Monitoring) à la solution Privileged Access Management (PAM) qui fournit des analyses de modèle utilisateur pour la prise de décision. Résultat : - UEBA ou système d’analytique similaire intégré aux outils PAM pour les approbations de compte JIT/JEA |
Accès conditionnel Définissez un contexte d’authentification pour l’accès privilégié. Créez une ou plusieurs stratégies d’accès conditionnel qui ciblent le contexte d’authentification d’accès privilégié. Utilisez des conditions de risque dans la stratégie et appliquez des contrôles d’octroi et de session pour l’accès privilégié. Nous vous recommandons d’exiger une force d’authentification : MFA résistant au hameçonnage, station de travail d’accès privilégié conforme. - Configurer le contexte d’authentification Consultez les conseils de Microsoft dans la section 1.4.1. Pour bloquer l’accès privilégié lorsque le risque de connexion est élevé, créez des stratégies d’accès conditionnel qui ciblent un contexte d’authentification d’accès privilégié avec une condition pour un risque élevé de connexion. Répétez cette étape avec une stratégie pour un risque élevé pour l’utilisateur. - Déploiement de stratégie Privileged Identity Management Configurez les paramètres de rôle PIM pour exiger l’authentification. Ce paramètre applique des stratégies d’accès conditionnel pour le contexte d’authentification choisi lors de l’activation du rôle. - Exiger un contexte d’authentification |
1.5 Fédération des identités et habilitation des utilisateurs
Microsoft Entra ID joue un rôle clé dans la gestion du cycle de vie des identités (ILM). Un locataire Microsoft Entra est un service d’annuaire cloud hyperscale, une solution de gestion des identités, des informations d’identification et des accès (ICAM) et un fournisseur d’identité (IdP). Il prend en charge l’approvisionnement inter-annuaire et l’approvisionnement d’applications pour gérer le cycle de vie des utilisateurs internes dans Microsoft Entra ID et d’autres applications.
Les fonctionnalités de gouvernance des Microsoft Entra ID vous aident à gérer le cycle de vie d’accès pour les droits tels que les applications, Microsoft Teams et l’appartenance au groupe de sécurité. La gestion des droits d’utilisation peut également être utilisée pour intégrer et régir les invités externes. Vous pouvez bloquer l’accès et supprimer les objets utilisateur invités lorsque leur dernier package d’accès est supprimé. Pour comprendre comment votre organisation peut migrer des fonctions ILM vers Microsoft Entra ID, consultez Route vers le cloud.
| Description et résultat de l’activité DoD | Conseils et recommandations de Microsoft |
|---|---|
Target
1.5.1 Gestion du cycle de vie des identités organisationnellesLes organisations du DoD établissent un processus de gestion du cycle de vie des utilisateurs privilégiés et standard. En utilisant le fournisseur d’identité organisationnelle (IDP), le processus est implémenté et suivi du nombre maximal d’utilisateurs. Tous les utilisateurs qui se trouvent en dehors du processus standard sont approuvés par le biais d’exceptions basées sur les risques à évaluer régulièrement pour la désactivation. Résultat : - Processus de cycle de vie d’identité standardisé |
Microsoft Entra ID Normaliser le cycle de vie des comptes pour les identités, notamment les utilisateurs, les administrateurs, les utilisateurs externes et les identités d’application (principaux de service). - Gestion du cycle de vie des identités - Opérations de gestion des identités et des accès Gouvernance Microsoft Entra ID Établir des révisions d’accès régulières pour les utilisateurs et applications privilégiés d’un locataire. - Révisions d’accès |
Target
1.5.2 Gestion du cycle de vie des identités d’entreprise Pt1L’entreprise du DoD travaille avec les organisations pour examiner et aligner les processus, les stratégies et les normes existants du cycle de vie des identités. Une politique et un processus de soutien finalisés sont élaborés et suivis par les organisations du DoD. En utilisant les solutions IdP (Identity Provider) centralisées ou fédérées et IdAM (Identity & Access Management - Gestion des identités et des accès), les organisations du DoD implémentent le processus de gestion du cycle de vie d’entreprise pour le nombre maximal d’identités, de groupes et d’autorisations. Les exceptions à la stratégie sont gérées dans une approche méthode basée sur les risques. Résultats : - Processus de cycle de vie des identités automatisés - Intégré au processus et aux outils ICAM d’entreprise |
Microsoft Entra ID Si votre organisation utilise Active Directory, synchronisez les utilisateurs avec Microsoft Entra Connect Sync ou Microsoft Entra Connect Cloud Sync. Remarque : ne synchronisez pas les comptes Active Directory privilégiés ou attribuez des rôles cloud privilégiés à des comptes synchronisés. - Connecter Synchroniser - Synchroniser le Cloud - Protéger Microsoft 365 contre les attaques locales - Réduire la surface d’exposition des attaques Privileged Identity Management Gérer l’accès administratif avec PIM. Établir une cadence de révision d’accès pour les rôles Microsoft Entra et Azure privilégiés. - Comptes privilégiés Méthodes d’authentification Microsoft Entra Utiliser des méthodes MFA résistantes au hameçonnage basées sur le cloud. Configurer l’authentification basée sur les certificats (CBA) Microsoft Entra avec les cartes d’accès communes (CAC) du DoD pour inscrire d’autres informations d’identification sans mot de passe. Consultez les conseils Microsoft dans la section 1.3.2. |
Advanced
1.5.3 Gestion du cycle de vie des identités d’entreprise Pt2Les organisations du DoD intègrent davantage les fonctions d’automatisation critiques des solutions Fournisseur d’identité (IdP) et de Gestion des identités, des informations d’identification et des accès (ICAM) suivant le processus de gestion du cycle de vie d’entreprise pour permettre l’automatisation et l’analytique d’entreprise. Les processus principaux de gestion du cycle de vie des identités sont intégrés à la solution ICAM d’entreprise basée sur le cloud. Résultats : - Intégration avec fonctions IDM/IDP critiques - Les fonctions ILM principales sont basées sur le cloud |
Gouvernance Microsoft Entra ID Utiliser la gestion des droits d’utilisation et les révisions d’accès pour gérer les cycles de vie d’accès utilisateur de votre organisation et les cycles de vie des identités d’invités externes. - Gestion des droits d’utilisation - Gouvernance de l’accès des utilisateurs externes Identités managées Utilisez des identités managées pour les ressources Azure et la fédération d’ID de charge de travail pour réduire le risque de gestion des informations d’identification de l’application. - Identités managées - Fédération des identités de charge de travail Stratégie de gestion des applications Configurez les stratégies de gestion des applications pour contrôler les types d’informations d’identification ajoutés aux applications de votre locataire. Utilisez la restriction passwordAddition pour exiger des informations d’identification de certificat pour les applications. - API de méthodes d’application - Informations d’identification du certificat d’authentification d’application |
Advanced
1.5.4 Gestion du cycle de vie des identités d’entreprise Pt3Les organisations du DoD intègrent les processus restants de gestion du cycle de vie des identités à la solution de Gestion des identités, des informations d’identification et des accès d’entreprise. Environnements enclave/DDIL toujours autorisés à fonctionner avec l’ICAM Entreprise à l’aide de connecteurs locaux à l’environnement cloud. Résultats : - Toutes les fonctions ILM déplacées vers le cloud sont appropriées - Intégration à toutes les fonctions IDM/IDP |
Provisionnement d’applications Microsoft Entra Utiliser le provisionnement d’applications Microsoft Entra pour synchroniser des identités avec des applications SCIM, SQL, LDAP, PowerShell et web services. Utilisez l’application pilotée par l’API pour approvisionner des utilisateurs dans des instances Active Directory disparates. - Provisionner des applications - Approvisionnement d’applications locales - Configurer l’application d’approvisionnement pilotée par l’API |
1.6 Comportement, ID contextuel et biométrie
Microsoft Entra ID Protection vous aide à détecter, corriger et empêcher les menaces d’identité à l’aide du Machine Learning (ML) et du renseignement sur les menaces. Cette fonctionnalité détecte les risques en temps réel pendant la connexion utilisateur et les risques hors connexion calculés au fil du temps. Les risques incluent les anomalies de jeton, les propriétés de connexion inhabituelles, le déplacement impossible, le comportement suspect de l’utilisateur, etc.
La protection des identités est intégrée à Microsoft Defender XDR pour montrer les risques d’identité détectés par d’autres composants dans la famille de produits Microsoft Defender.
Pour plus d’informations, voir : Qu’est-ce que la détection de risque ?
| Description et résultat de l’activité DoD | Conseils et recommandations de Microsoft |
|---|---|
Target
1.6.1 Implémenter des outils d’analyse du comportement des utilisateurs et des entités(UEBA) et de Surveillance de l’activité des utilisateurs (UAM) Les organisations du DOD achètent et mettent en œuvre des solutions d’Analyse du comportement des utilisateurs et des entités (UEBA) et de Surveillance de l’activité des utilisateurs (UAM). Point d’intégration initial avec le fournisseur d’identité d’entreprise est terminé pour permettre l’utilisation future dans la prise de décision. Résultat : - Fonctionnalités UEBA et UAM implémentées pour le fournisseur d’identité d’entreprise (IDP) |
Microsoft Entra ID Protection Déployer Microsoft Entra ID Protection pour obtenir des détentions en temps réel et hors connexion des risques pour les utilisateurs et les événements de connexion. Étendre les détections de risques d’identité aux identités d’application (principaux de service) à l’aide d’ID de charge de travail Microsoft Entra, édition Identités de charge de travail Premium. - Sécuriser les identités de charge de travail - Stratégie basée sur les risques pour les identités de charge de travail Consultez les instructions de Microsoft dans la section 1.3.3. Microsoft Defender for Cloud Apps Déployer Defender for Cloud Apps et configurer des intégrations avec Microsoft Defender for Endpoint et des solutions externes. Configurer des stratégies de détection d’anomalies dans les applications Defender pour le Cloud. - Intégrer Defender for Endpoint aux applications Defender pour le Cloud - intégrations de solutions externes - Détecter l’activité suspecte des utilisateurs avec UEBA Microsoft Defender for Endpoint Intégrer des points de terminaison à Defender for Endpoint. Configurez les intégrations entre Defender for Endpoint et Microsoft Intune. - Defender for Endpoint et d’autres solutions Microsoft Intune Configurer les intégrations avec Defender for Endpoint et utiliser le score de risque de l’ordinateur Defender for Endpoint dans votre stratégie de conformité d’appareil. - Règles Defender for Endpoint Accès conditionnel Créer des stratégies d’accès conditionnel pour exiger des appareils conformes. Avant l’octroi de l’accès, le contrôle requiert un appareil marqué comme conforme dans Microsoft Intune. L’intégration entre Defender for Endpoint et Intune fournit une image globale de l’intégrité des appareils et du niveau de risque en fonction de l’état de conformité. - Stratégies de conformité pour définir des règles pour les appareils gérés Intune Microsoft Sentinel Connecter des sources de données à Sentinel et activer UEBA pour les journaux d’audit, les journaux de connexion, l’activité Azure et les événements de sécurité - Activer les menaces avancées - UEBA avec UEBA |
Advanced
1.6.2 Surveillance de l’activité des utilisateurs Pt1Les organisations du DoD intègrent les solutions d’Analyse du comportement des utilisateurs et des entités (UEBA) et de Surveillance de l’activité des utilisateurs (UAM) avec les fournisseurs d’identité (IdP) organisationnels pour une visibilité étendue si nécessaire. L’analytique et les données générées par UEBA et UAM pour les applications et services critiques sont intégrées à la solution juste-à-temps et juste-à-accès, ce qui améliore la prise de décision. Résultats : - UEBA est intégré aux fournisseurs d’identité d’organisation de façon appropriée - UEBA est intégré à JIT/JEA pour les services critiques |
Privileged Identity Management Déployer PIM et intégrer des rôles privilégiés. Définissez le contexte d’authentification pour l’accès privilégié. Utiliser des conditions de risque dans le contexte d’authentification et configurer les paramètres de rôle PIM pour exiger le contexte d’authentification lors de l’activation. Consultez les conseils Microsoft dans la section 1.4.4. Microsoft Sentinel Connecter des sources de données à Sentinel et activer UEBA pour les journaux d’audit, les journaux de connexion, l’activité Azure et les événements de sécurité. - Activer UEBA - Menaces avancées avec UEBA Microsoft Defender for Cloud Apps Surveiller et contrôler des sessions sur des applications cloud avec Defender for Cloud Apps. - Protéger les applications avec App Control - Stratégies de session - Examiner les utilisateurs à risque |
Advanced
1.6.3 Surveillance de l’activité des utilisateurs Pt2Les organisations du DoD continuent l’utilisation de l’analytique à partir des solutions d’Analyse du comportement des utilisateurs et des entités (UEBA) et de Surveillance de l’activité des utilisateurs (UAM) à l’aide de données générées pour toutes les applications et services surveillés lorsque la prise de décision se produit dans la solution Juste-à-temps et Accès-juste-assez. Résultat : - UEBA/Entity Monitoring est intégré à JIT/JEA pour tous les services |
Privileged Identity Management Utiliser PIM pour les groupes afin d’étendre l’accès juste-à-temps aux applications à l’aide de rôles d’application. Attribuez des groupes, gérés par PIM, aux rôles d’application privilégiés. - PIM pour les groupes - Ajouter des rôles d’application à une application |
1.7 Accès avec privilèges minimum
L’accès aux applications à l’aide de Microsoft Entra ID est refusé par défaut. Les fonctionnalités de gouvernance des Microsoft Entra ID, telles que la gestion des droits d’utilisation et les révisions d’accès, garantissent que l’accès est limité dans le temps, s’aligne sur le principe des privilèges minimum et applique des contrôles pour la séparation des tâches.
Utilisez les rôles intégrés Microsoft Entra pour attribuer des autorisations de privilège minimum par tâche. Les unités administratives vous permettent d’étendre les autorisations basées sur les ressources pour les utilisateurs et les appareils Microsoft Entra ID.
| Description et résultat de l’activité DoD | Conseils et recommandations de Microsoft |
|---|---|
Target
1.7.1 Refuser l’utilisateur(-trice) par défautLes organisations du DoD auditent l’utilisation interne des utilisateurs et des groupes pour les autorisations et révoquent les autorisations si possible. Cette activité inclut la révocation et/ou la désactivation d’autorisations et d’accès excédentaires pour les identités et groupes basés sur l’application/le service. Si possible, les utilisateurs privilégiés statiques sont désactivés ou réduits les autorisations se préparant à l’accès futur basé sur des règles/dynamiques. Résultats : - Les applications mises à jour pour refuser par défaut les fonctions/données nécessitant des rôles/attributs spécifiques pour l’accès - Les niveaux d’autorisations par défaut réduits sont implémentés - Les applications/services ont examiné/audité tous les utilisateurs privilégiés et supprimé ces utilisateurs qui n’ont pas besoin de ce niveau d’accès |
Microsoft Entra ID Vérifier et restreindre les autorisations utilisateur et invité par défaut dans Microsoft Entra ID. Limitez le consentement de l’utilisateur aux applications et examinez le consentement actuel dans votre organisation. - Autorisations utilisateur par défaut - Restreindre les autorisations de consentement utilisateur Applications Microsoft Entra Les accès aux applications Microsoft Entra sont refusées par défaut. Microsoft Entra ID vérifie les droits et applique les stratégies d’accès conditionnel pour autoriser l’accès aux ressources. - Intégrer des applications - Intégration d’applications Gouvernance Microsoft Entra ID Utiliser la fonctionnalité de gouvernance des identités de gestion des droits d’utilisation pour gérer les cycles de vie des identités et des accès. Recherchez les flux de travail de demande d’accès automatisés, les affectations d’accès, les révisions et l’expiration. - Gestion des droits d’utilisation - Révisions d’accès Rôles personnalisés Utiliser les rôles intégrés Microsoft Entra ID pour la gestion des ressources. Toutefois, si les rôles ne répondent pas aux besoins de l’organisation ou si vous réduisez les privilèges de vos utilisateurs administratifs, créez un rôle personnalisé. Accordez des autorisations granulaires aux rôles personnalisés pour gérer les utilisateurs, les groupes, les appareils, les applications, etc. - Rôles personnalisés Unités administratives Une unité administrative est une ressource Microsoft Entra qui contient d’autres ressources Microsoft Entra, telles que les utilisateurs, les groupes ou les appareils. Utilisez des unités administratives pour déléguer des autorisations à un sous-ensemble d’administrateurs, en fonction de la structure organisationnelle. - Unités administratives - Unités administratives de gestion restreinte - Créer ou supprimer des unités administratives Gestion des identités privilégiées Utilisez les insights et la découverte P pour gérer les privilèges et réduire le nombre d’administrateurs. Configurez les alertes PIM lorsque des rôles privilégiés sont attribués en dehors de PIM. - Accès privilégié l’hybride et le cloud - Alertes de sécurité pour les rôles Microsoft Entra - Alertes de sécurité pour les rôles Azure Applications Microsoft Defender pour le cloud Vérifier les autorisations accordée aux demandes. Examinez les applications OAuth à risque dans les applications Defender pour le cloud. - Vérifier les autorisations accordées aux applications - Examiner les applications OAuth risquées Microsoft Sentinel Utiliser PIM pour attribuer des rôles Azure pour l’accès à Sentinel et auditer régulièrement les requêtes et les activités. - Auditer les requêtes et les activités |
1.8 Authentification continue
Microsoft Entra ID utilise des jetons de courte durée et de longue durée pour authentifier régulièrement les utilisateurs aux applications et services que Microsoft Entra protège. Microsoft Entra ID dispose du mécanisme d’évaluation d’accès continu (CAE) pour améliorer le protocole standard. Le moteur de stratégie répond aux changements environnementaux en quasi temps réel et applique des stratégies d’accès adaptatif.
| Description et résultat de l’activité DoD | Conseils et recommandations de Microsoft |
|---|---|
Target
1.8.1 Authentification uniqueLes organisations du DoD utilisent des processus d’authentification de base pour authentifier les utilisateurs et les serveurs réseau au moins une fois par session (par exemple, ouverture de session). Il est important que les utilisateurs authentifiés soient gérés par l’activité parallèle « MFA/IDP organisationnelle » avec le fournisseur d’identité organisationnelle (IDP) par rapport à l’utilisation d’identités et de groupes basés sur l’application/le service. Résultats : - Authentification implémentée entre les applications par session |
Microsoft Entra ID Microsoft Entra ID est un fournisseur d’identité centralisé qui facilite l’authentification unique (SSO) entre les applications cloud Microsoft et les applications que votre organisation utilise. - Microsoft Entra ID Authentification unique La méthode d’authentification unique (SSO) permet aux utilisateurs d’utiliser leurs informations d’identification Microsoft Entra ID pour authentifier les applications et les services. Les applications peuvent être SaaS, applications métier personnalisées ou applications locales. Utilisez l’authentification Microsoft Entra et les fonctionnalités Confiance Zéro pour permettre un accès sécurisé et facile aux applications. - Qu’est-ce que l’authentification unique (SSO) ? - intégrations de Microsoft Entra avec des protocoles d’authentification Approvisionnement d’applications Microsoft Entra L’approvisionnement d’applications Microsoft Entra crée, met à jour et supprime des utilisateurs, des rôles et des groupes dans des applications SaaS, ainsi que des applications personnalisées ou locales. Utilisez Microsoft Entra ID comme source d’identité centralisée pour les applications. Réduisez les identités d’application ou de service et les utilisateurs. - Approvisionnement automatisé - Approvisionnement d’applications Charge de travail Microsoft Entra ID Les principaux de service et les identités managées sont des identités d’entité non-identité (NPE) dans Microsoft Entra. Utilisez les principaux de service pour l’accès automatisé (non interactif) aux API protégées par Microsoft Entra. - Identités de charge de travail - Principaux de service dans Microsoft Entra ID |
Target
1.8.2 Authentification périodiqueLes organisations du DoD autorisent les exigences d’authentification relatives à la période pour les applications et les services. Traditionnellement, elles sont basées sur la durée et/ou le délai d’expiration, mais d’autres analyses basées sur des périodes peuvent être utilisées pour mandater la réauthentification des sessions utilisateur. Résultat : - Authentification implémentée plusieurs fois par session en fonction des attributs de sécurité |
Applications Microsoft Entra Les applications Microsoft Entra gèrent automatiquement l’actualisation de session sans interaction utilisateur. Consultez les conseils de Microsoft dans la section 1.8.1. Accès conditionnel Configurer le contrôle de session de fréquence de connexion dans l’accès conditionnel afin de réauthentifier les sessions utilisateur. Utilisez la fonctionnalité lorsque les connexions sont risquées ou qu’un appareil utilisateur n’est pas géré ou non conforme. - Configurer la gestion des sessions d’authentification - Stratégies d’accès dans les applications Defender pour le cloud |
Advanced
1.8.3 Authentification continue Pt1Les applications/services des organisations du DoD utilisent plusieurs authentifications de session en fonction des attributs de sécurité et de l’accès demandés. Les modifications de privilèges et les demandes de transaction association nécessitaient des niveaux d’authentification supplémentaires tels que l’authentification multifacteur (MFA) de type push aux utilisateurs. Résultat : - Authentification des transactions mise en œuvre par session sur la base d'attributs de sécurité |
Évaluation continue de l’accès Le CAE est basée sur une norme OpenID qui améliore l’expiration et les mécanismes d’actualisation de jetons basés sur le temps pour obtenir une réponse plus longue aux violations de stratégie. Le CAE nécessite un nouveau jeton d’accès en réponse aux événements critiques, comme un utilisateur qui passe d’un emplacement réseau approuvé à un autre qui n’est pas approuvé. Implémentez le CAE avec les applications clientes et les API de service principal. - Évaluation continue de l’accès - Évaluations d’événements critiques Applications Microsoft Office qui utilisent l’API Microsoft Graph, l’API Outlook Online et l’API SharePoint Online prennent en charge le CAE. Développez des applications avec les dernières bibliothèques d’authentification Microsoft (MSAL) pour accéder aux API compatibles CAE. - Le CAE pour les API compatibles avec Microsoft 365 - Le CAE dans les applications Accès conditionnel Définir et utiliser le contexte d’authentification de l’accès conditionnel pour protéger les sites SharePoint sensibles, Microsoft Teams, les applications protégées par Microsoft Defender pour le Cloud, l’activation de rôle PIM et les applications personnalisées. - Contexte d’authentification - Stratégie pour les sites SharePoint et stratégies de session OneDrive - Politique de session dans les applications Defender pour le cloud - Exiger un contexte d’authentification pour les rôles PIM - Aide sur le contexte d’authentification Utiliser des actions protégées pour ajouter une autre couche de protection lorsque les administrateurs effectuent des actions nécessitant des autorisations hautement privilégiées dans Microsoft Entra ID, comme gérer les stratégies d’accès conditionnel et les paramètres d’accès interlocataire. Protéger les actions utilisateur telles que l’inscription d’informations de sécurité et la jonction d’appareils. - Actions protégées - Ressource cible Privileged Identity Management Exiger le contexte d’authentification pour l’activation du rôle PIM. Consultez les conseils Microsoft dans la section 1.4.4. |
Advanced
1.8.4 Authentification continue Pt2Les organisations du DoD continuent d’utiliser l’authentification basée sur les transactions pour inclure l’intégration, comme les modèles utilisateur. Résultat : - Authentification des transactions mise en œuvre par session sur la base d'attributs de sécurité |
Microsoft Entra ID Protection Lorsque Microsoft Entra ID Protection détecte un comportement anormal, suspect ou risqué, le niveau de risque utilisateur augmente. Créer des stratégies d’accès conditionnel à l’aide de conditions de risque, ce qui augmente les protections avec le niveau de risque. - Détections de risques Consultez les conseils Microsoft dans la section 1.3.3. Évaluation continue de l’accès L’augmentation du niveau de risque est un événement critique d’Évaluation continue de l’accès. Les services qui implémentent le CAE, par exemple l’API Exchange Online, nécessitent le client (Outlook), pour s’authentifier à nouveau pour la transaction suivante. Les stratégies d’accès conditionnel pour le niveau de risque accru sont satisfaites avant que Microsoft Entra ID émet un nouveau jeton d’accès pour l’accès Exchange Online. - Évaluation des événements critiques |
1.9 Plateforme ICAM intégrée
Microsoft Entra ID prend en charge l’authentification par certificat avec des certificats émis par une infrastructure de clé publique externe (PKI) pour les entités utilisateur et non-identité (NPE). Les serveurs NPE dans Microsoft Entra ID sont des identités d’application et d’appareil. Les paramètres d’accès interlocataires de l’ID externe Microsoft Entra aident les organisations mutualisées, comme le DoD, à collaborer en toute transparence entre les locataires.
| Description et résultat de l’activité DoD | Conseils et recommandations de Microsoft |
|---|---|
Target
1.9.1 PKI/IDP d’entreprise Pt1L’entreprise du DoD collabore avec des organisations pour mettre en œuvre des solutions d’infrastructure à clé publique (PKI) et de fournisseur d’identité (IdP) d’entreprise de manière centralisée et/ou fédérée. La solution PKI d’entreprise utilise une seule ou un ensemble d’autorités de certification racine au niveau de l’entreprise, qui peuvent ensuite être approuvées par les organisations pour générer des autorités de certification intermédiaires. La solution Fournisseur d’identité peut être une solution unique ou un ensemble fédéré d’IDP organisationnels avec un niveau d’accès standard entre les organisations et un ensemble standardisé d’attributs. Les fournisseurs d’identité (IDP) et les autorités de certification PKI sont intégrés aux solutions IdP d’entreprise et PKI. Résultats : - Les composants utilisent l’IDP avec L’authentification multifacteur pour toutes les applications/services - MFA organisationnel/PKI intégré à l’infrastructure multifacteur d’entreprise/PKI - PKI standardisée organisationnelle pour tous les services |
Méthodes d’authentification Microsoft Entra ID Utiliser la stratégie de méthodes d’authentification dans Microsoft Entra ID pour contrôler les méthodes d’authentification utilisateur. - Authentification basée sur les certificats Microsoft Entra Consultez les conseils Microsoft dans la section 1.3.1 Force d’authentification Utiliser la force d’authentification pour contrôler l’accès des utilisateurs aux ressources. - Force d’authentification ID externe Microsoft Entra Configurer l’accès entre locataires pour les locataires Microsoft Entra ID du DoD. Utilisez les paramètres d’approbation pour accepter l’authentification multifacteur (MFA) et les revendications d’appareil conformes pour les identités externes provenant de locataires du DoD approuvés. - Accès interlocataire Stratégie de gestion des applications La stratégie de gestion des applications clientes est une infrastructure permettant d’implémenter les meilleures pratiques de sécurité pour les applications du locataire. Utilisez la stratégie pour restreindre les informations d’identification de l’application aux certificats émis par une infrastructure à clé publique approuvée. Pour créer une chaîne d’approbation de certificats, ajoutez une nouvelle collection d’autorité de certification à des certificats d’autorité de certification intermédiaires et racines pour votre infrastructure à clé publique d’entreprise. - Type de ressource certificateBasedApplicationConfiguration Pour créer une stratégie de gestion des applications pour exiger des certificats émis par des autorités de certification approuvées, configurez des restrictions pour interdire passwordAddition et exiger trustedCertificateauthority. Spécifiez l’ID de collection d’autorité de certification approuvé que vous avez créé. - API de méthodes d’authentification d’application Microsoft Intune Intune prend en charge les certificats de chiffrement à clé publique et privée (PKCS). - Certificats PKCS |
Advanced
1.9.2 PKI/IDP d’entreprise Pt2Les organisations du DoD permettent la prise en charge de la biométrie dans le fournisseur d’identité (IdP) pour les applications et les services essentiels à la mission ou à la tâche, le cas échéant. Les fonctionnalités biométriques sont déplacées des solutions organisationnelles à l’entreprise. L’authentification multifacteur (MFA) organisationnelle et l’infrastructure à clé publique (PKI) sont désaffectées et migrées vers l’entreprise selon les besoins. Résultats : - Intégration des services organisationnels critiques avec la biométrie - Démantèlement de l'AFM/ICP de l'organisation, le cas échéant, au profit du MFA/PKI de l'entreprise - Mise en œuvre des fonctions biométriques de l'entreprise |
Microsoft Entra ID Microsoft prend en charge la biométrie dans plusieurs composants compatibles avec l’authentification de Microsoft Entra ID. Méthodes d’authentification Microsoft Entra ID prend en charge les clés de passe matérielles (clés de sécurité FIDO2) qui utilisent la présence ou l’empreinte digitale. - Clés de sécurité FIDO Windows Hello Entreprise Windows Hello Entreprise utilise des mouvements biométriques tels que l’empreinte digitale et l’analyse des visages. - Paramètres de profil Protection des identités MacOS Appareils MacOS ont des données biométriques, comme Touch ID, pour se connecter avec des informations d’identification liées à l’appareil. - Plug-in d’authentification unique (SSO) pour les appareils Apple Microsoft Authenticator Les appareils mobiles et Authenticator utilisent la reconnaissance du toucher et du visage pour l’authentification sans mot de passe. La prise en charge de la clé secrète est une autre méthode d’authentification résistante au hameçonnage dans Authenticator. - Authenticator - Connexion sans mot de passe - Authentification renforcée contre le hameçonnage |
Advanced
1.9.3 Enterprise PKI/IDP Pt3Les organisations du DoD intègrent les applications/services restants avec des fonctionnalités biométriques. Vous pouvez utiliser d’autres jetons multifacteur (MFA). Résultat : - Tous les services organisationnels intègrent avec biométrie |
Vérification d’identité Microsoft Entra Les scénarios d’identités décentralisées utilisant Vérification d’identité peuvent nécessiter la vérification des visages lors de la présentation des informations d’identification. - Vérification d’identité - Vérification des visages |
Étapes suivantes
Configurer les services cloud Microsoft pour la stratégie Confiance Zéro du DoD :