Éléments essentiels de l’identité pour les organisations de défense multilocataires
Le guide suivant fournit des éléments essentiels d’identité de Confiance Zéro pour les organisations de défense multilocataires et se concentre sur Microsoft Entra ID. La confiance zéro est une stratégie clé pour garantir l’intégrité et la confidentialité des informations sensibles. L’identité est un pilier fondamental de la confiance zéro. Microsoft Entra ID est le service d’identité cloud de Microsoft. Microsoft Entra ID est un composant de confiance zéro essentiel utilisé par tous les clients du cloud de Microsoft.
Les architectes et les décideurs doivent comprendre les principales fonctionnalités de Microsoft Entra ID et son rôle en matière de confiance zéro avant d’établir la stratégie d’entreprise de défense. Les organisations de défense peuvent répondre à de nombreuses exigences de confiance zéro en adoptant Microsoft Entra ID. Beaucoup ont déjà accès aux fonctionnalités essentielles de Microsoft Entra via leurs licences Microsoft 365 existantes.
Locataires Microsoft Entra
Une instance de Microsoft Entra ID est appelée locataire Microsoft Entra. Un locataire Microsoft Entra est une plateforme d’identité et une limite. Il s’agit de la plateforme d’identité pour votre organisation et d’une limite d’identité sécurisée pour les services cloud Microsoft que vous utilisez. En tant que tel, il est idéal pour protéger les données d’identité de défense sensibles.
Consolidation des locataires Microsoft Entra. Microsoft recommande un locataire par organisation. Un seul locataire Microsoft Entra offre l’expérience de gestion des identités la plus transparente pour les utilisateurs et les administrateurs. Il fournit les fonctionnalités de confiance zéro les plus complètes. Les organisations disposant de plusieurs locataires Microsoft Entra doivent gérer différents ensembles d’utilisateurs, de groupes, d’applications et de stratégies, ce qui augmente les coûts et ajoute de la complexité administrative. Un locataire unique réduit également le coût des licences.
Vous devez essayer de faire en sorte que Microsoft 365, les services Azure, Power Platform, les applications métier, les applications SaaS (software-as-a-service) et d’autres fournisseurs de services cloud utilisent un seul locataire Microsoft Entra.
Microsoft Entra ID versus Active Directory. Microsoft Entra ID n’est pas une évolution d’Active Directory Domain Services (AD DS). Le concept de locataire est semblable à une forêt Active Directory, mais l’architecture sous-jacente est différente. Microsoft Entra ID est un service d’identité informatique hyperscale moderne.
Noms de domaine initiaux et ID de locataire. Chaque locataire a un nom de domaine initial et un ID de locataire uniques. Par exemple, une organisation nommée Contoso peut avoir le nom de domaine initial contoso.onmicrosoft.com pour Microsoft Entra ID et contoso.onmicrosoft.us pour Microsoft Entra Government. Les ID de locataire sont des identificateurs globalement uniques (GUID). Chaque locataire n’a qu’un domaine initial et un ID de locataire. Les deux valeurs sont immuables et ne peuvent pas être modifiées après la création du locataire.
Les utilisateurs se connectent à des comptes Microsoft Entra avec leur nom d’utilisateur principal (UPN). L’UPN est un attribut utilisateur Microsoft Entra et nécessite un suffixe routable. Le domaine initial est le suffixe routable par défaut (user@contoso.onmicrosoft.com). Vous pouvez ajouter des domaines personnalisés pour créer et utiliser un UPN plus convivial. L’UPN convivial correspond généralement à l’adresse e-mail de l’utilisateur (user@contoso.com). L’UPN pour Microsoft Entra ID peut différer de celui de votre utilisateur AD DS userPrincipalName. Le fait d’avoir un nom d’utilisateur UPN et AD DS différent est courant lorsque les valeurs UPN d’AD DS ne sont pas routables ou qu’elles utilisent un suffixe qui ne correspond pas à un domaine personnalisé vérifié dans le locataire.
Vous ne pouvez vérifier qu’un domaine personnalisé dans un locataire Microsoft Entra globalement. Les domaines personnalisés ne sont pas des limites de sécurité ou de confiance comme les forêts Active Directory Domain Services (AD DS). Il s’agit d’un espace de noms DNS pour identifier le locataire d’accueil d’un utilisateur Microsoft Entra.
Architecture de Microsoft Entra
Microsoft Entra ID n’a pas de contrôleurs de domaine, d’unités organisationnelles, d’objets de stratégie de groupe, d’approbations de domaine/forêt ou de rôles FSMO (Flexible Single Master Operation). Microsoft Entra ID est une solution de gestion des identités SaaS (software as a service). Vous pouvez accéder à Microsoft Entra ID via des API RESTful. Vous utilisez l’authentification moderne et des protocoles d’autorisation pour accéder aux ressources protégées par Microsoft Entra ID. Le répertoire a une structure plate et utilise des autorisations basées sur les ressources.
Chaque locataire Microsoft Entra est un magasin de données hautement disponible pour les données de gestion des identités. Il stocke les objets d’identité, de stratégie et de configuration et les réplique dans les régions Azure. Un locataire Microsoft Entra fournit la redondance des données pour les informations de défense critiques.
Types d’identités
Microsoft Entra ID a deux types d’identités. Les deux types d’identité sont les utilisateurs et les principaux de service.
Utilisateurs. Les utilisateurs sont des identités pour les personnes qui accèdent à Microsoft et aux services cloud fédérés. Les utilisateurs peuvent être membres ou invités dans une instance de Microsoft Entra ID. En règle générale, les membres sont internes à votre organisation et les invités appartiennent à une organisation externe comme un partenaire de mission ou un sous-traitant de défense. Pour en savoir plus sur les utilisateurs invités et la collaboration entre les organisations, consultez Vue d’ensemble de la collaboration B2B.
Des principaux de service. Les principaux de service sont des entités non personnelles (NPE) dans Microsoft Entra ID. Les principaux de service peuvent représenter des applications, des comptes de service/automation et des ressources Azure. Même les ressources non Azure, telles que les serveurs locaux, peuvent avoir un principal de service dans Microsoft Entra ID et interagir avec d’autres ressources Azure. Les principaux de service sont utiles pour automatiser les flux de travail de défense et gérer les applications critiques pour les opérations de défense. Pour plus d’informations, consultez Objets d’application et du principal de service dans Microsoft Entra ID.
Synchronisation des identités. Vous pouvez utiliser Microsoft Entra Connect Sync ou Microsoft Entra Connect Cloud Sync pour synchroniser les objets utilisateur, groupe et ordinateur (appareil) dans Active Directory Domain Services avec Microsoft Entra ID. Cette configuration est appelée une identité hybride.
Autorisations
Microsoft Entra ID utilise une approche des autorisations différente de l’approche locale traditionnelle d’Active Directory Domain Services (AD DS).
Rôles Microsoft Entra. Vous attribuez des autorisations dans Microsoft Entra ID à l’aide de rôles d’annuaire Microsoft Entra. Ces rôles accordent l’accès à des API et des étendues spécifiques. Administrateur général est le rôle privilégié le plus élevé dans Microsoft Entra ID. Il existe de nombreux rôles intégrés pour diverses fonctions d’administration limitées. Vous devez déléguer des autorisations granulaires pour réduire la surface d’exposition d’attaque.
Important
Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cela permet d’améliorer la sécurité de votre organisation. Administrateur général est un rôle hautement privilégié à ne limiter qu’aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Attribution d’autorisations élevées. Pour améliorer la sécurité et réduire les privilèges inutiles, Microsoft Entra ID fournit deux principes pour l’attribution d’autorisations :
Juste-à-temps (JIT): Microsoft Entra ID prend en charge l’accès juste-à-temps. La fonctionnalité JIT vous permet d’attribuer des autorisations temporairement si nécessaire. L’accès JIT réduit l’exposition de privilèges inutiles et réduit la surface d’attaque.
Just-Enough-Admin (JEA): Microsoft Entra ID suit le principe just-enough-admin. Les rôles intégrés vous permettent de déléguer des tâches d’administration sans accorder d’autorisations excessives. Les unités administratives peuvent restreindre davantage l’étendue des autorisations pour les rôles Microsoft Entra.
Authentification
Contrairement à Active Directory, les utilisateurs dans Microsoft Entra ID ne sont pas limités à l’authentification par mot de passe ou par carte à puce. Les utilisateurs Microsoft Entra peuvent utiliser des mots de passe et de nombreuses autres méthodes d’authentification et de vérification. Microsoft Entra ID utilise des protocoles d’authentification moderne, protège contre les attaques basées sur des jetons et détecte un comportement de connexion suspect.
Méthodes d’authentification. Les méthodes d’authentification Microsoft Entra incluent la prise en charge native des certificats de carte à puce et des informations d’identification dérivées, Microsoft Authenticator sans mot de passe, les clés de sécurité FIDO2 (clé de passe matérielle) et les informations d’identification d’appareil telles que Windows Hello Entreprise. Microsoft Entra ID propose des méthodes sans mot de passe et résistantes au hameçonnage qui prennent en charge les fonctionnalités du mémorandum 22-09 et de la stratégie DODCIO confiance zéro.
Protocoles d’authentification. Microsoft Entra ID n’utilise pas Kerberos, NTLM ou LDAP. Il utilise des protocoles ouverts modernes destinés à être utilisés sur Internet, tels que OpenID Connect, OAuth 2.0, SAML 2.0 et SCIM. Bien qu’Entra n’utilise pas Kerberos pour sa propre authentification, il peut émettre des tickets Kerberos pour les identités hybrides afin de prendre en charge Azure Files et d’activer la connexion sans mot de passe aux ressources sur site. Le proxy d’application Entra vous permet de configurer l’authentification unique Entra pour les applications sur site qui prennent uniquement en charge les protocoles hérités tels que Kerberos et l’authentification basée sur l’en-tête.
Protections contre les attaques par jeton. AD DS traditionnel est sensible aux attaques basées sur Kerberos. AD DS utilise des groupes de sécurité avec des identificateurs de sécurité (SID) connus, comme S-1-5-domain-512 pour les administrateurs de domaine. Lorsqu’un administrateur de domaine effectue une connexion locale ou réseau, le contrôleur de domaine émet un ticket Kerberos contenant le SID des administrateurs de domaine et le stocke dans un cache d’informations d’identification. Les acteurs des menaces exploitent généralement ce mécanisme à l’aide de techniques de mouvement latéral et d’élévation des privilèges telles que pass-the-hash et pass-the-ticket.
Toutefois, Microsoft Entra ID n’est pas susceptible d’attaquer Kerberos. L’équivalent cloud correspond aux techniques d’adversaire dans le milieu (adversary-in-the-middle / AiTM), comme le détournement de session et la relecture de session, pour voler des jetons de session (jeton de connexion). Les applications clientes, le gestionnaire de comptes web (WAM) ou le navigateur web de l’utilisateur (cookies de session) stockent ces jetons de session. Pour vous protéger contre les attaques par vol de jetons, Microsoft Entra ID enregistre l’utilisation de jetons pour empêcher la relecture et peut exiger que les jetons soient liés par chiffrement à l’appareil de l’utilisateur.
Pour en savoir plus sur le vol de jetons, consultez le guide opérationnel de vol de jetons.
Détecter un comportement de connexion suspect. Microsoft Entra ID Protection utilise une combinaison de détections en temps réel et hors ligne pour identifier les utilisateurs et événements de connexion à risque. Vous pouvez utiliser des conditions de risque dans l’Accès conditionnel Entra pour contrôler ou bloquer dynamiquement l’accès à vos applications. L’évaluation continue de l’accès (CAE) permet aux applications clientes de détecter les modifications apportées à la session d’un utilisateur pour appliquer des stratégies d’accès en quasi-temps réel.
Applications
Microsoft Entra ID ne s’adresse pas uniquement aux applications et services Microsoft. Microsoft Entra ID peut être le fournisseur d’identité pour n’importe quelle application, fournisseur de services cloud, fournisseur SaaS ou système d’identité qui utilise les mêmes protocoles. Il prend facilement en charge l’interopérabilité avec les forces de défense et les sous-traitants alliés.
Point d’application de stratégie (PEP) et point de décision de stratégie (PDP). Microsoft Entra ID est un point d’application de stratégie (PEP) et un point de décision de stratégie (PDP) courants dans les architectures de confiance zéro. Il applique des stratégies de sécurité et des contrôles d’accès pour les applications.
Gouvernance des ID Microsoft Entra. Microsoft Entra ID Governance est une fonctionnalité de Microsoft Entra. Il vous aide à gérer l’accès utilisateur et à automatiser le cycle de vie de l’accès. Il garantit que les utilisateurs disposent d’un accès approprié et opportun aux applications et aux ressources.
Accès conditionnel. L’accès conditionnel vous permet d’utiliser des attributs pour une autorisation affinée pour les applications. Vous pouvez définir des stratégies d’accès basées sur différents facteurs. Ces facteurs incluent les attributs utilisateur, la force des informations d’identification, les attributs d’application, le risque utilisateur et de connexion, l’intégrité de l’appareil et l’emplacement. Pour plus d’informations, consultez Sécurité Confiance Zéro.
Appareils
Microsoft Entra ID fournit un accès sécurisé et transparent aux services Microsoft via la gestion des appareils. Vous pouvez gérer et joindre des appareils Windows à Microsoft Entra comme vous le feriez avec Active Directory Domain Services.
Appareils inscrits. Les appareils sont inscrits auprès de votre client Entra lorsque les utilisateurs se connectent à des applications à l’aide de leur compte Entra. L’inscription d’appareils Entra n’est pas la même que l’enregistrement d’appareils ou l’adhésion à Entra. Les utilisateurs se connectent à des appareils inscrits à l’aide d’un compte local ou d’un compte Microsoft. Les appareils inscrits incluent souvent Apportez votre propre appareil (BYOD / Bring Your Own Devices) comme le PC domestique d’un utilisateur ou un téléphone personnel.
Appareils joints à Microsoft Entra. Lorsque les utilisateurs se connectent à un appareil connecté à Microsoft Entra, une clé liée à l’appareil est déverrouillée à l’aide d’un code PIN ou d’un mouvement. Après validation, Microsoft Entra ID émet un jeton d’actualisation principal (PRT) sur l’appareil. Ce PRT facilite l’accès à l’authentification unique aux services protégés par Microsoft Entra ID comme Microsoft Teams.
Les appareils connectés à Microsoft Entra inscrits dans Microsoft Endpoint Manager (Intune) peuvent utiliser la conformité des appareils comme contrôle d’octroi dans l’accès conditionnel.
Appareils hybrides joints à Microsoft Entra. Microsoft Entra hybrid join permet aux appareils Windows d’être simultanément connectés à Active Directory Domain Services et à Microsoft Entra ID. Ces appareils authentifient d’abord les utilisateurs auprès d’Active Directory, puis récupèrent un jeton d’actualisation principal à partir de Microsoft Entra ID.
Appareils et applications gérés par Intune. Microsoft Intune facilite l’enregistrement et l’inscription des appareils pour la gestion. Intune vous permet de définir des états conformes et sécurisés pour les appareils utilisateur, de protéger les appareils avec Microsoft Defender for Endpoint et de demander aux utilisateurs d’utiliser un appareil conforme pour accéder aux ressources d’entreprise.
Microsoft 365 et Azure
Microsoft Entra ID est la plateforme d’identités de Microsoft. Il sert à la fois les services Microsoft 365 et Azure. Les abonnements Microsoft 365 créent et utilisent un locataire Microsoft Entra. Les services Azure s’appuient également sur un locataire Microsoft Entra.
Identité Microsoft 365. Microsoft Entra ID fait partie intégrante de toutes les opérations d’identité dans Microsoft 365. Il gère la connexion utilisateur, la collaboration, le partage et l’attribution d’autorisations. Est prise en charge la gestion des identités pour les services Office 365, Intune et Microsoft Defender XDR. Vos utilisateurs utilisent Microsoft Entra chaque fois qu’ils se connectent à une application Office comme Word ou Outlook, partagent un document à l’aide de OneDrive, invitent un utilisateur externe à un site SharePoint ou créent une équipe dans Microsoft Teams.
Identité Azure. Dans Azure, chaque ressource est associée à un abonnement Azure et les abonnements sont liés à un seul locataire Microsoft Entra. Vous déléguez des autorisations pour la gestion des ressources Azure en attribuant des rôles Azure à des utilisateurs, des groupes de sécurité ou des principaux de service.
Les identités managées jouent un rôle crucial pour permettre aux ressources Azure d’interagir en toute sécurité avec d’autres ressources. Ces identités managées sont des principaux de sécurité au sein du locataire Microsoft Entra. Vous leur accordez des autorisations sur la base du moindre privilège. Vous pouvez autoriser une identité managée à accéder aux API protégées par Microsoft Entra ID, telles que Microsoft Graph. Lorsqu’une ressource Azure utilise une identité managée, l’identité managée est un objet principal de service. L’objet principal de service réside dans le même locataire Microsoft Entra que l’abonnement associé à la ressource.
Microsoft Graph
Les portails web Microsoft pour Microsoft Entra, Azure et Microsoft 365 fournissent une interface graphique à Microsoft Entra ID. Vous pouvez automatiser l’accès par programme pour lire et mettre à jour des objets Microsoft Entra et des stratégies de configuration à l’aide d’API RESTful appelées Microsoft Graph. Microsoft Graph prend en charge les clients dans différentes langues. Les langages pris en charge incluent PowerShell, Go, Python, Java, .NET, Ruby et bien plus encore. Explorez les référentiels Microsoft Graph sur GitHub.
Azure Government dans le cloud
Il existe deux versions différentes des organisations de défense des services Microsoft Entra qui peuvent être utilisées sur des réseaux publics (connectés à Internet) : Microsoft Entra Global et Microsoft Entra Government.
Microsoft Entra Global. Microsoft Entra Global est destiné à Microsoft 365 commercial et Azure, Microsoft 365 GCC Moderate. Le service de connexion pour Microsoft Entra Global est login.microsoftonline.com.
Microsoft Entra Government. Microsoft Entra Government est Azure Government (IL4), DoD (IL5), Microsoft 365 GCC High, Microsoft 365 DoD (IL5). Le service de connexion pour Microsoft Entra Government est login.microsoftonline.us.
URL de service. Différents services Microsoft Entra utilisent des URL de connexion différentes. Par conséquent, vous devez utiliser des portails web distincts. Vous devez également fournir des commutateurs d’environnement pour vous connecter aux clients Microsoft Graph et aux modules PowerShell pour la gestion d’Azure et de Microsoft 365 (voir le tableau 1).
Tableau 1. Points de terminaison Azure Government.
| Point de terminaison | Global | GCC High | DoD Impact Level 5 (IL5) |
|---|---|---|---|
| Centre d’administration Microsoft Entra | entra.microsoft.com | entra.microsoft.us | entra.microsoft.us |
| Portail Azure | portal.azure.com | portal.azure.us | portal.azure.us |
| Centre d’administration Defender | security.microsoft.com | security.microsoft.us | security.apps.mil |
| MS Graph PowerShell | Connect-MgGraph<br>-Environment Global |
Connect-MgGraph<br>-Environment USGov |
Connect-MgGraph<br>-Environment USGovDoD |
| Module az PowerShell | Connect-AzAccount<br>-Environment AzureCloud |
Connect-AzAccount<br>-Environment AzureUSGovernment |
Connect-AzAccount<br>-Environment AzureUSGovernment |
| Azure CLI | az cloud set --name AzureCloud |
az cloud set --name AzureUSGovernment |
az cloud set --name AzureUSGovernment |