Protéger Microsoft 365 des attaques locales
Beaucoup de clients connectent leurs réseaux d'entreprise privés à Microsoft 365 pour permettre à leurs utilisateurs, appareils et applications d'en bénéficier. Toutefois, ces réseaux privés peuvent être compromis de nombreuses façons bien documentées. Microsoft 365 agit comme une sorte de système nerveux pour de nombreuses organisations. Il est essentiel de le protéger contre la compromission des infrastructures locales.
Cet article vous explique comment configurer vos systèmes pour protéger votre environnement cloud Microsoft 365 de toute atteinte à la sécurité locale, et présente les éléments suivants :
- Les paramètres de configuration du locataire Microsoft Entra
- La façon dont les locataires Microsoft Entra peuvent être connectés de manière sécurisée aux systèmes locaux
- Les compromis requis pour faire fonctionner vos systèmes de manière à protéger vos systèmes cloud contre les compromissions locales
Microsoft vous recommande vivement de mettre en œuvre ces conseils.
Sources de menaces dans les environnements locaux
Votre environnement cloud Microsoft 365 bénéficie d'une infrastructure de surveillance et de sécurité étendue. Microsoft 365 utilise l’apprentissage automatique et l’intelligence humaine pour examiner le trafic mondial. Il peut rapidement détecter les attaques et vous permettre de modifier votre configuration presque en temps réel.
Les déploiements hybrides peuvent connecter l’infrastructure locale à Microsoft 365. Dans le cadre de ce type de déploiements, de nombreuses organisations délèguent l’approbation à des composants locaux pour les décisions critiques liés à l’authentification et à la gestion de l’état des objets d’annuaire. En cas d’atteinte à la sécurité de l’environnement local, ces relations de confiance deviennent des moyens pour un attaquant de compromettre votre environnement Microsoft 365.
Les deux principaux vecteurs de menace sont les relations d’approbation de fédération et la synchronisation des comptes. Ces deux vecteurs peuvent octroyer à un attaquant un accès administratif à votre cloud.
Les relations d’approbation de fédération, telles que l’authentification SAML, vous permettent de vous authentifier auprès de Microsoft 365 par le biais de votre infrastructure d’identité locale. Si un certificat de signature de jetons SAML est compromis, la fédération permet à toute personne en possession de ce certificat d’emprunter l’identité de n’importe quel utilisateur de votre cloud.
Si possible, nous vous recommandons de désactiver les relations d’approbation de fédération pour l’authentification auprès de Microsoft 365.
La synchronisation des comptes peut être utilisée pour modifier des utilisateurs privilégiés (ainsi que leurs informations d’identification) ou des groupes disposant de privilèges administratifs dans Microsoft 365.
Nous vous recommandons de vous assurer que les objets synchronisés ne détiennent pas de privilèges supérieurs à ceux d’un utilisateur dans Microsoft 365. Vous pouvez contrôler les privilèges directement ou via l’inclusion dans des rôles ou des groupes approuvés. Assurez-vous que ces objets ne disposent d'aucune attribution directe ou imbriquée dans des rôles ou groupes cloud approuvés.
Protéger Microsoft 365 des atteintes à la sécurité locales
Pour lutter contre les menaces décrites ci-dessus, nous vous recommandons de vous conformer aux principes illustrés dans le schéma suivant :
Isolez complètement vos comptes administrateur Microsoft 365. Ceux-ci doivent être :
- contrôlés dans Microsoft Entra ID ;
- authentifiés à l’aide de l’authentification multifacteur ;
- sécurisés par l’accès conditionnel Microsoft Entra ;
- uniquement accessibles via les stations de travail gérées par Azure.
Ces comptes administrateur sont des comptes à usage restreint. Aucun compte local ne doit disposer de privilèges administratifs dans Microsoft 365.
Pour plus d’informations, consultez À propos des rôles d’administrateur. Consultez également Rôles liés à Microsoft 365 dans Microsoft Entra ID.
Gérez les appareils à partir de Microsoft 365. Utilisez les fonctionnalités de jointure Microsoft Entra et de gestion des périphériques mobiles (GPM) dans le cloud pour éliminer les dépendances vis-à-vis de votre infrastructure locale de gestion des périphériques. Ces dépendances sont susceptibles de nuire aux contrôles des appareils et de la sécurité.
Assurez-vous qu’aucun compte local ne dispose de privilèges élevés vis-à-vis de Microsoft 365. Certains comptes accèdent à des applications locales qui requièrent l’authentification NTLM, LDAP ou Kerberos. Ces comptes doivent se trouver dans l’infrastructure d’identité locale de l’organisation. Assurez-vous que ces comptes, y compris les comptes de service, ne sont pas inclus dans les groupes ou rôles cloud privilégiés. Assurez-vous également que les modifications apportées à ces comptes ne peuvent pas altérer l’intégrité de votre environnement cloud. Les logiciels locaux privilégiés ne doivent pas avoir d’impact sur les comptes ou rôles Microsoft 365 privilégiés.
Utilisez l’authentification cloud Microsoft Entra pour éliminer les dépendances vis-à-vis de vos informations d’identification locales. Ayez toujours recours à une authentification forte, telle que Windows Hello, FIDO, Microsoft Authenticator ou l’authentification multifacteur Microsoft Entra.
Recommandations spécifiques en matière de sécurité
Les sections suivantes fournissent des instructions sur la manière de mettre en œuvre les principes décrits au-dessus.
Isoler les identités privilégiées
Dans Microsoft Entra ID, les utilisateurs disposant de rôles privilégiés, tels que les administrateurs, sont généralement ceux sur lesquels reposent la création et la gestion du reste de l’environnement. Conformez-vous aux pratiques suivantes pour réduire les effets d’une atteinte à la sécurité.
Utilisez des comptes « cloud uniquement » pour les rôles privilégiés Microsoft Entra ID et Microsoft 365.
Pour chaque rôle disposant de privilèges élevés, vous devez procéder comme suit :
- Passez en revue les utilisateurs pour lesquels
onPremisesImmutableId
etonPremisesSyncEnabled
sont définis. Consultez le type de ressource utilisateur de l’API Microsoft Graph. - Créez des comptes d’utilisateur cloud uniquement pour ces personnes et supprimez leur identité hybride des rôles privilégiés.
- Passez en revue les utilisateurs pour lesquels
Déployez des appareils à accès privilégié afin de disposer d’un accès privilégié pour gérer Microsoft 365 et Microsoft Entra ID. Consultez Rôles et profils des appareils.
Déployez Microsoft Entra Privileged Identity Management (PIM) pour disposer d’un accès juste-à-temps à tous les comptes humains disposant de rôles privilégiés. Exigez une authentification forte pour activer les rôles. Consultez Qu’est-ce que Microsoft Entra Privileged Identity Management ?.
Fournissez des rôles Administrateur qui accordent le moins de privilèges possible pour accomplir les tâches requises. Consultez Rôles les moins privilégiés par tâche dans Microsoft Entra ID.
Pour bénéficier d’une expérience d’attribution de rôle enrichie incluant la délégation et plusieurs rôles en même temps, envisagez d’utiliser des groupes de sécurité Microsoft Entra ou des groupes Microsoft 365. Ces groupes sont collectivement appelés des groupes cloud.
Activez également le contrôle d’accès en fonction du rôle. Consultez Attribuer des rôles Microsoft Entra à des groupes. Vous pouvez utiliser des unités administratives pour limiter l’étendue des rôles à une partie de l’organisation. Consultez Unités administratives dans Microsoft Entra ID.
Déployez des comptes d’accès d’urgence. N’utilisez pas de coffres de mots de passe locaux pour stocker les informations d’identification. Consultez Gérer les comptes d’accès d’urgence dans Microsoft Entra ID.
Pour plus d’informations, consultez Sécurisation de l’accès privilégié. Consultez également Pratiques d’accès sécurisé pour les administrateurs dans Microsoft Entra ID.
Utiliser l'authentification cloud
Les informations d'identification constituent le premier vecteur d'attaque. Conformez-vous aux pratiques suivantes pour renforcer la sécurité des informations d’identification :
Déployez l’authentification sans mot de passe. réduisez autant que possible l'utilisation de mots de passe en déployant des informations d'identification sans mot de passe. Ces informations d'identification sont gérées et validées en mode natif dans le cloud. Pour plus d’informations, consultez Planifier un déploiement d’authentification sans mot de passe dans Microsoft Entra ID.
Choisissez l’une des méthodes d’authentification suivantes :
Déployez l’authentification multifacteur. Pour plus d’informations, consultez Planifier un déploiement de l’authentification multifacteur Microsoft Entra.
Provisionnez plusieurs informations d’identification fortes en utilisant l’authentification multifacteur Microsoft Entra. Ainsi, l’accès aux ressources cloud demande obligatoirement les informations d’identification gérées par Microsoft Entra ID en plus d’un mot de passe local. Pour plus d’informations, consultez Renforcer la résilience grâce à la gestion des informations d’identification et Créer une stratégie de gestion du contrôle d’accès résiliente avec Microsoft Entra ID.
Limitations et compromis
La gestion des mots de passe des comptes hybrides nécessite des composants hybrides tels que des agents de protection par mot de passe et des agents de réécriture du mot de passe. Si votre infrastructure locale est compromise, des attaquants peuvent contrôler les ordinateurs sur lesquels ces agents résident. Cette vulnérabilité ne compromettra pas votre infrastructure cloud. Toutefois, vos comptes cloud ne protègent pas ces composants contre les compromissions locales.
Les comptes locaux synchronisés à partir d’Active Directory sont marqués pour ne jamais expirer dans Microsoft Entra ID. Ce paramètre est généralement atténué par les paramètres de mot de passe Active Directory locaux. Si votre instance d’Active Directory est compromise et que la synchronisation est désactivée, configurez l’option EnforceCloudPasswordPolicyForPasswordSyncedUsers pour forcer les modifications de mot de passe.
Approvisionner l’accès utilisateur à partir du cloud
L’approvisionnement fait référence à la création de comptes et de groupes d’utilisateurs dans des applications ou des fournisseurs d’identité.
Nous vous recommandons d’utiliser les méthodes d’approvisionnement suivantes :
Approvisionner des applications RH cloud vers Microsoft Entra ID. Cet approvisionnement permet d’isoler une compromission locale. Cette isolation ne perturbe pas le cycle JML (joiner-mover-leaver) de vos applications RH cloud vers Microsoft Entra ID.
Applications cloud. Dans la mesure du possible, déployez le provisionnement d’application Microsoft Entra plutôt que des solutions de provisionnement locales. Cette méthode protège certaines de vos applications software as a service (SaaS) des profils de pirates malveillants lors de violations locales. Pour plus d’informations, consultez Qu’est-ce que le provisionnement d’application dans Microsoft Entra ID ?.
Identités externes. Utilisez Microsoft Entra B2B Collaboration pour réduire la dépendance vis-à-vis des comptes locaux pour la collaboration externe avec les partenaires, les clients et les fournisseurs. Évaluez avec soin toute fédération directe avec d'autres fournisseurs d'identité. Pour plus d’informations, consultez Présentation de B2B Collaboration.
Nous vous recommandons de limiter les comptes invités B2B de l’une des manières suivantes :
- Limitez l'accès invité à des groupes de navigation et à d'autres propriétés de l'annuaire. Utilisez les paramètres de collaboration externe pour limiter la capacité des invités à lire des groupes dont ils ne sont pas membres.
- Bloquez l'accès au portail Azure. Vous pouvez raréfier les exceptions nécessaires. Créez une stratégie d’accès conditionnel qui comprend tous les invités et utilisateurs externes. Implémentez ensuite une stratégie pour bloquer l’accès. Consultez Accès conditionnel.
Forêts déconnectées. Utilisez le provisionnement cloud Microsoft Entra pour vous connecter aux forêts déconnectées. Cette approche vous évite d’avoir à établir une connectivité ou des approbations entre forêts, lesquelles peuvent étendre l’effet d’une violation locale. Pour plus d’informations, consultez Qu’est-ce que la synchronisation cloud Microsoft Entra Connect ?.
Limitations et compromis
Quand il est utilisé pour provisionner des comptes hybrides, le système « Microsoft Entra ID à partir de RH cloud » s’appuie sur la synchronisation locale pour acheminer les données d’Active Directory à Microsoft Entra ID. Si la synchronisation est interrompue, les enregistrements des nouveaux employés ne sont pas disponibles dans Microsoft Entra ID.
Utiliser des groupes cloud pour la collaboration et l'accès
Les groupes cloud vous permettent de dissocier votre collaboration et votre accès de votre infrastructure locale.
- Collaboration. utilisez des groupes Microsoft 365 et Microsoft Teams pour bénéficier d'une collaboration moderne. Désactivez les listes de distribution locales et procédez à une mise à niveau des listes de distribution vers des groupes Microsoft 365 dans Outlook.
- Accès. Utilisez des groupes de sécurité Microsoft Entra ID ou des groupes Microsoft 365 pour autoriser l’accès aux applications dans Microsoft Entra ID.
- Licence Office 365. utilisez une licence basée sur les groupes pour approvisionner Office 365 avec des groupes cloud uniquement. Cette méthode dissocie le contrôle de l’appartenance à un groupe de l’infrastructure locale.
Les propriétaires des groupes utilisés pour l’accès doivent être considérés comme des identités privilégiées afin d’éviter la prise de contrôle de l’appartenance à un groupe lors d’une atteinte à la sécurité locale. Une prise de contrôle comprendrait la manipulation directe de l’appartenance à un groupe au niveau local ou la manipulation d’attributs locaux qui peuvent modifier les groupes d’appartenance dynamique dans Microsoft 365.
Gérer des périphériques à partir du cloud
Utilisez les fonctionnalités de Microsoft Entra ID pour gérer les appareils de manière sécurisée.
Déployez des stations de travail Windows 10 jointes à Microsoft Entra en utilisant des stratégies de gestion des périphériques mobiles. Activez Windows AutoPilot pour une expérience d'approvisionnement entièrement automatisée. Consultez Planifier l’implémentation de votre jointure Microsoft Entra et Windows Autopilot.
- Utiliser les stations de travail Windows 10.
- Déconseillez les ordinateurs sous Windows 8.1 et versions antérieures.
- Ne déployez pas d’ordinateurs qui utilisent des systèmes d’exploitation serveur en tant que stations de travail.
- Utilisez Microsoft Intune comme source d’autorité pour toutes les charges de travail de gestion des périphériques. Acheter Microsoft Intune.
- Déployer des appareils à accès privilégié. Pour plus d’informations, consultez Rôles et profils d’appareil.
Charges de travail, applications et ressources
Systèmes d’authentification unique locale
Déconseillez toute infrastructure locale de fédération et de gestion de l’accès au web. Configurez les applications pour qu’elles utilisent Microsoft Entra ID.
Applications SaaS et applications métier prenant en charge les protocoles d’authentification modernes
Utilisez Microsoft Entra ID pour l’authentification unique. Plus vous configurez d’applications afin d’utiliser Microsoft Entra ID pour l’authentification, moins le risque est grand lors d’une atteinte à la sécurité locale. Pour plus d’informations, consultez Qu’est-ce que l’authentification unique dans Microsoft Entra ID ?.
Applications héritées
Vous pouvez activer l’authentification, l’autorisation et l’accès à distance sur les applications héritées qui ne prennent pas en charge l’authentification moderne. Utilisez le Proxy d’application Microsoft Entra. Vous pouvez également les activer par le biais d’une solution de contrôle de livraison de réseau ou d’application en utilisant des intégrations de partenaires d’accès hybride sécurisé. Consultez Sécuriser les applications héritées avec Microsoft Entra ID.
Choisissez un fournisseur VPN qui prend en charge l’authentification moderne. Intégrez son authentification à Microsoft Entra ID. Lors d’une atteinte à la sécurité locale, vous pouvez utiliser Microsoft Entra ID pour désactiver ou bloquer l’accès en désactivant le VPN.
Serveurs d'applications et de charges de travail
Les applications ou les ressources qui nécessitent des serveurs peuvent être migrées vers des modèles IaaS Azure. Utilisez Microsoft Entra Domain Services pour dissocier la confiance et la dépendance sur les instances locales d’Active Directory. Pour réaliser cette dissociation, vérifiez que les réseaux virtuels utilisés pour Microsoft Entra Domain Service n’ont pas de connexion aux réseaux d’entreprise. Consultez Microsoft Entra Domain Services.
Utilisez la hiérarchisation des informations d’identification. Les serveurs d’applications sont généralement considérés comme des ressources de niveau 1. Pour plus d’informations, consultez Modèle d’accès Enterprise.
Stratégies d’accès conditionnel
Utilisez l’accès conditionnel Microsoft Entra pour interpréter les signaux et les utiliser pour prendre des décisions d’authentification. Pour plus d’informations, consultez le plan de déploiement de l’accès conditionnel.
Utilisez l’accès conditionnel pour bloquer les protocoles d’authentification hérités lorsque cela est possible. En outre, désactivez les protocoles d’authentification hérités au niveau de l’application en utilisant une configuration spécifique à l’application. Consultez Bloquer l’authentification héritée.
Pour plus d’informations, consultez Protocoles d’authentification hérités. Vous pouvez également consulter les informations spécifiques à Exchange Online et SharePoint Online.
Implémentez les configurations recommandées pour l’identité et l’accès aux appareils. Consultez Stratégies d’accès courantes pour les appareils et identités Confiance zéro.
Si vous utilisez une version de Microsoft Entra ID qui n’inclut pas l’accès conditionnel, utilisez les paramètres de sécurité par défaut dans Microsoft Entra ID.
Pour plus d’informations sur la gestion des licences relatives aux fonctionnalités de Microsoft Entra, consultez le guide des tarifs Microsoft Entra.
Superviser
Après avoir configuré votre environnement de façon à protéger Microsoft 365 de toute atteinte à la sécurité locale, vous devez surveiller l’environnement de manière proactive. Pour plus d’informations, consultez Qu’est-ce que la surveillance Microsoft Entra ?
Scénarios à superviser
Surveillez les scénarios clés suivants, en plus des scénarios propres à votre organisation. Par exemple, vous devez surveiller de manière proactive l'accès à vos applications et ressources stratégiques.
Activité suspecte
Surveillez tous les événements à risque de Microsoft Entra à la recherche d’activités suspectes. Voir Guide pratique pour investiguer les risques. Le service Protection des ID Microsoft Entra est intégré en mode natif à Microsoft Defender pour Identity.
Définissez les emplacements nommés du réseau pour éviter les détections bruyantes sur les signaux basés sur l’emplacement. Consultez Utilisation de la condition d’emplacement dans une stratégie d’accès conditionnel.
Alertes d’analyse comportementale des utilisateurs et des entités
Utilisez l’analyse comportementale des utilisateurs et des entités pour obtenir des insights sur la détection d’anomalie. Microsoft Defender for Cloud Apps fournit une analyse comportementale des utilisateurs et des entités dans le cloud. Consultez Enquêter sur les utilisateurs à risque.
Vous pouvez intégrer l’analyse comportementale locale des utilisateurs et des entités à partir d’Azure Advanced Threat Protection (ATP). Microsoft Defender for Cloud Apps lit les signaux de Protection des ID Microsoft Entra. Consultez Connexion à votre forêt Active Directory.
Activité des comptes d’accès d’urgence
Surveillez tout accès qui utilise des comptes d’accès d’urgence. Consultez Gérer les comptes d’accès d’urgence dans Microsoft Entra ID. Créez des alertes pour les investigations. Cette surveillance doit inclure les actions suivantes :
- Connexions
- Gestion des informations d’identification
- Toutes les mises à jour relatives aux appartenances à des groupes
- Attributions d’applications
Activité des rôles privilégiés
Configurez et passez en revue les alertes de sécurité générées par Microsoft Entra Privileged Identity Management (PIM). Surveillez l'attribution directe des rôles privilégiés en dehors de PIM en générant des alertes chaque fois qu'un utilisateur est directement attribué. Consultez Alertes de sécurité.
Configurations Microsoft Entra à l’échelle des locataires
toute modification apportée aux configurations à l'échelle des locataires doit générer des alertes dans le système. Ces changements incluent, sans toutefois s’y limiter, les modifications suivantes :
- Domaines personnalisés mis à jour
- Modifications Microsoft Entra B2B relatives aux listes d’autorisation et de refus
- Modifications Microsoft Entra B2B relatives aux fournisseurs d’identité autorisés tels que les fournisseurs d’identité SAML par fédération directe ou connexions aux réseaux sociaux
- Modifications de la stratégie d'accès conditionnel ou de risque
Objets application et principal du service
- Nouvelles applications ou nouveaux principaux de service susceptibles de nécessiter des stratégies d’accès conditionnel
- Informations d’identification ajoutées aux principaux de service
- Activité de consentement d’application
Rôles personnalisés
- Mises à jour des définitions de rôles personnalisés
- Rôles personnalisés nouvellement créés
Gestion du journal
Définissez une stratégie, une conception et une implémentation du stockage et de la rétention des journaux afin de faciliter la mise en place d’un ensemble d’outils cohérents. Par exemple, vous pouvez prendre en compte les systèmes SIEM (Informations de sécurité et gestion d’événements) comme Microsoft Sentinel, les requêtes courantes et les guides opérationnels d’investigation et de forensique.
Journaux Microsoft Entra. Ingérez les signaux et les journaux générés en respectant systématiquement les meilleures pratiques pour les paramètres tels que les diagnostics, la rétention des journaux et l’ingestion SIEM.
La stratégie de journalisation doit inclure les journaux Microsoft Entra suivants :
- Activité de connexion
- Journaux d’audit
- Événements à risque
Microsoft Entra ID propose une intégration à Azure Monitor pour le journal des activités de connexion et les journaux d’audit. Consultez Journaux d’activité Microsoft Entra dans Azure Monitor.
Utilisez l’API Microsoft Graph pour ingérer des événements à risque. Consultez Utiliser les API Identity Protection dans Microsoft Graph.
Vous pouvez diffuser en continu les journaux Microsoft Entra vers des journaux Azure Monitor. Consultez Intégrer les journaux Microsoft Entra aux journaux Azure Monitor.
Journaux de sécurité du système d’exploitation de l’infrastructure hybride. Tous les journaux du système d’exploitation de l’infrastructure d’identité hybride doivent être archivés et soigneusement surveillés en tant que système de niveau 0, en raison des implications en termes de surface d’exposition. Incluez les éléments suivants :
Agents de Proxy d’application
Agents de réécriture du mot de passe
Ordinateurs avec passerelle de protection par mot de passe
Serveurs de stratégie réseau (NPS) ayant l’extension RADIUS pour l’authentification multifacteur Microsoft Entra.
Microsoft Entra Connect
Vous devez déployer Microsoft Entra Connect Health pour surveiller la synchronisation des identités. Consultez Qu’est-ce que Microsoft Entra Connect ?.