Opérations de sécurité Microsoft Entra pour les comptes consommateur
Les activités d’identité des consommateurs sont un domaine important que votre organisation doit protéger et surveiller. Cet article est destiné aux locataires Azure Active Directory B2C (Azure AD B2C) et contient des conseils pour la supervision des activités des comptes de consommateur. Les activités sont les suivantes :
- Compte client
- Compte privilégié
- Application
- Infrastructure
Avant de commencer
Avant d’utiliser les conseils de cet article, nous vous recommandons de lire le Guide des opérations de sécurité Microsoft Entra.
Définir une ligne de base
Pour découvrir un comportement anormal, définissez le comportement normal et attendu. Le fait de définir le comportement attendu pour votre organisation vous aide à découvrir les comportements inattendus. Utilisez la définition pour réduire les faux positifs pendant la supervision et les alertes.
Une fois le comportement attendu défini, effectuez une supervision de base pour valider les attentes. Ensuite, surveillez les journaux d’activité pour déterminer ce qui se trouve en dehors de la tolérance.
Pour les comptes créés en dehors des processus normaux, utilisez les journaux d’audit Microsoft Entra, les journaux de connexion Microsoft Entra et les attributs d’annuaire comme sources de données. Les suggestions suivantes peuvent vous aider à définir la normale.
Création d’un compte d'utilisateur
Évaluez la liste suivante :
- Stratégie et principes pour les outils et les processus de création et de gestion des comptes de consommateurs
- Par exemple, les attributs standard et les formats appliqués aux attributs de comptes de consommateurs
- Sources approuvées pour la création de comptes.
- Par exemple, intégration de stratégies personnalisées, d’approvisionnement de clients ou d’outil de migration
- Stratégie d’alerte pour les comptes créés en dehors des sources approuvées.
- Créer une liste contrôlée d’organisations avec lesquelles votre organisation collabore
- Paramètres de stratégie et d’alerte pour les comptes créés, modifiés ou désactivés par un administrateur de consommateur approuvé
- Stratégie de surveillance et d’alerte pour les comptes de contrôle serveur consommateur qui n’ont pas d’attributs standard, tels que le nombre de clients ou qui ne suivent pas les conventions d’affectation de noms organisationnelles
- Stratégie, principes et processus pour la suppression et la rétention des comptes
Emplacement des fichiers
Utilisez des fichiers journaux pour examiner et surveiller. Consultez les articles suivants pour plus de détails :
- Journaux d’audit dans Microsoft Entra ID
- Journaux de connexion dans Microsoft Entra ID (préversion)
- Guide pratique pour examiner les risques
Journaux d’audit et outils d’automatisation
À partir du portail Azure, vous pouvez afficher les journaux d’audit Microsoft Entra et les télécharger sous forme de fichiers CSV (valeurs séparées par des virgules) ou JSON (JavaScript Object Notation). Utilisez le portail Azure pour intégrer les journaux Microsoft Entra à d’autres outils pour automatiser la surveillance et les alertes :
- Microsoft Sentinel – Analytique de sécurité avec des fonctionnalités de sécurité et de gestion des événements (SIEM)
- Règles Sigma – Standard ouvert évolutif d’écriture de règles et de modèles que les outils de gestion automatisés peuvent utiliser pour analyser les fichiers journaux. S’il existe des modèles Sigma pour nos critères de recherche recommandés, nous avons ajouté un lien vers le dépôt Sigma. Microsoft n’écrit, ne teste ni ne gère les modèles Sigma. Le référentiel et les modèles sont créés et collectés par la communauté de la sécurité informatique.
- Azure Monitor - Permet de mettre en place des alertes et un monitoring automatisés répondant à diverses situations. Créer ou utiliser des classeurs pour combiner des données provenant de différentes sources.
- Azure Event Hubs intégré à une SIEM : intégrer les journaux Microsoft Entra à des SIEM comme Splunk, ArcSight, QRadar et Sumo Logic avec Azure Event Hubs
- Microsoft Defender for Cloud Apps – Permet de découvrir et gérer les applications, de gouverner les applications et les ressources, et de vérifier la conformité de vos applications cloud
- Protection des ID Microsoft Entra : détecter les risques sur les identités de charge de travail entre le comportement des connexions et les indicateurs hors connexion de compromission
Utilisez le reste de l’article pour obtenir des suggestions d’éléments à superviser et à signaler. Reportez-vous aux tables, organisées par type de menace. Consultez les liens vers des solutions prédéfinies ou des exemples selon le tableau. Générez des alertes à l’aide des outils mentionnés précédemment.
Comptes consommateur
Éléments à analyser | Niveau de risque | Where | Filtre/sous-filtre | Notes |
---|---|---|---|---|
Grand nombre de créations ou de suppressions de compte | Élevée | Journaux d'audit Microsoft Entra | Activité : ajouter un utilisateur État = réussite Initié par (intervenant) = Service CPIM -et- Activité : supprimer un utilisateur État = réussite Initié par (intervenant) = Service CPIM |
Définissez un seuil de base de référence, puis surveillez-le et ajustez-le pour l’adapter aux comportements de votre organisation. Limitez les fausses alertes. |
Comptes créés et supprimés par des utilisateurs ou des processus non approuvés | Moyenne | Journaux d'audit Microsoft Entra | Initié par (intervenant) : USER PRINCIPAL NAME -et- Activité : ajouter un utilisateur État = réussite Initié par (intervenant) != Service CPIM and-or Activité : supprimer un utilisateur État = réussite Initié par (intervenant) != Service CPIM |
Si les acteurs sont des utilisateurs non approuvés, effectuez la configuration pour envoyer une alerte. |
Comptes attribués à un rôle privilégié | Élevée | Journaux d'audit Microsoft Entra | Activité : ajouter un utilisateur État = réussite Initié par (intervenant) == Service CPIM -et- Activité : ajout d’un membre au rôle État = réussite |
Si le compte est affecté à un rôle Microsoft Entra, à un rôle Azure ou à une appartenance à un groupe privilégié, générez une alerte et donnez la priorité à l’investigation. |
Échecs de tentatives de connexion | Moyen - si incident isolé Élevé - si de nombreux comptes rencontrent le même modèle |
Journal de connexion Microsoft Entra | État = échec -et- Code d’erreur de connexion 50126 - Erreur de validation des informations d’identification en raison d’un nom d’utilisateur ou d’un mot de passe non valide. -et- Application == « CPIM PowerShell Client » -ou- Application == "ProxyIdentityExperienceFramework" |
Définissez un seuil de base de référence, puis effectuez une supervision et ajustez-le pour l’adapter aux comportements de votre organisation et limiter la génération de fausses alertes. |
Événements de verrouillage intelligent | Moyen - si incident isolé Élevé - si de nombreux comptes rencontrent le même modèle ou une adresse IP virtuelle |
Journal de connexion Microsoft Entra | État = échec -et- Code d’erreur de connexion = 50053 – IdsLocked -et- Application == « CPIM PowerShell Client » -ou- Application =="ProxyIdentityExperienceFramework" |
Définissez un seuil de base de référence, puis effectuez une supervision et ajustez-le pour l’adapter aux comportements de votre organisation et limiter les fausses alertes. |
Échec des authentifications à partir de pays ou de régions à partir desquels vous n’opérez pas | Moyenne | Journal de connexion Microsoft Entra | État = échec -et- Emplacement = <emplacement non approuvé> -et- Application == « CPIM PowerShell Client » -ou- Application == "ProxyIdentityExperienceFramework" |
Supervisez les entrées non égales aux noms de ville fournis. |
Amélioration des authentifications ayant échoué de tout type | Moyenne | Journal de connexion Microsoft Entra | État = échec -et- Application == « CPIM PowerShell Client » -ou- Application == "ProxyIdentityExperienceFramework" |
Si vous n’avez pas de seuil, surveillez et signalez si les échecs augmentent de 10 % ou plus. |
Compte désactivé/bloqué pour les connexions | Faible | Journal de connexion Microsoft Entra | État = échec -et- Code d’erreur = 50057, le compte d’utilisateur est désactivé. |
Ce scénario peut indiquer qu’un utilisateur tente d’accéder à un compte après avoir quitté une organisation. Le compte est bloqué, mais il est important d’enregistrer et de signaler cette activité. |
Augmentation mesurable des connexions réussies | Faible | Journal de connexion Microsoft Entra | État = réussite -et- Application == « CPIM PowerShell Client » -ou- Application == "ProxyIdentityExperienceFramework" |
Si vous ne disposez pas d’un seuil, surveillez et signalez si les authentifications réussies augmentent de 10 % ou plus. |
Comptes privilégiés
Éléments à analyser | Niveau de risque | Where | Filtre/sous-filtre | Notes |
---|---|---|---|---|
Échec de connexion, seuil de mot de passe incorrect | Élevée | Journal de connexion Microsoft Entra | État = échec -et- Code d’erreur = 50126 |
Définissez un seuil de base de référence, effectuez une supervision et ajustez-le pour l’adapter aux comportements de votre organisation. Limitez les fausses alertes. |
Échec en raison des exigences de l’accès conditionnel | Élevée | Journal de connexion Microsoft Entra | État = échec -et- Code d’erreur = 53003 -et- Motif de l’échec = Bloqué par l’accès conditionnel |
L’événement peut indiquer qu’un attaquant tente d’accéder au compte. |
Interruption | Élevé, moyen | Journal de connexion Microsoft Entra | État = échec -et- Code d’erreur = 53003 -et- Motif de l’échec = Bloqué par l’accès conditionnel |
L’événement peut indiquer qu’un attaquant a le mot de passe du compte, mais qu’il ne réussit pas la demande d’authentification multifacteur. |
Verrouillage de compte | Élevée | Journal de connexion Microsoft Entra | État = échec -et- Code d’erreur = 50053 |
Définissez un seuil de base de référence, puis effectuez une supervision et ajustez-le pour l’adapter aux comportements de votre organisation. Limitez les fausses alertes. |
Compte désactivé ou bloqué pour les connexions | low | Journal de connexion Microsoft Entra | État = échec -et- Cible = UPN de l’utilisateur -et- Code d’erreur = 50057 |
L’événement peut indiquer qu’un utilisateur tente d’accéder à un compte une fois qu’il a quitté l’organisation. Même si le compte est bloqué, enregistrez et signalez cette activité. |
Blocage ou alerte de fraude MFA | Élevée | Journal de connexion Microsoft Entra/Azure Log Analytics | Détails de l’authentification et des connexions Détails des résultats = authentification multifacteur refusée, code frauduleux entré |
L’utilisateur privilégié indique qu’il n’a pas provoqué l’invite MFA, ce qui peut indiquer qu’un attaquant a le mot de passe du compte. |
Blocage ou alerte de fraude MFA | Élevée | Journal de connexion Microsoft Entra/Azure Log Analytics | Type d’activité = Fraude signalée - L’utilisateur ne peut pas utiliser MFA ou fraude signalée - Aucune action entreprise, selon les paramètres au niveau du locataire du rapport de fraude | L’utilisateur privilégié n’a indiqué aucune instigation de l’invite MFA. Ce scénario peut indiquer qu’un attaquant a le mot de passe du compte. |
Connexions à des comptes privilégiés en dehors des contrôles attendus | Élevée | Journal de connexion Microsoft Entra | État = échec UserPricipalName = <Compte d’administrateur> Emplacement = <emplacement non approuvé> Adresse IP = <adresse IP non approuvée> Informations sur l’appareil = <navigateur non approuvé, système d’exploitation> |
Supervisez et signalez les entrées que vous définissez comme approuvées. |
En dehors des heures de connexion normales | Élevée | Journal de connexion Microsoft Entra | État = réussite -et- Emplacement = -et- Heure = En dehors des heures de travail |
Surveillez et signalez les connexions qui se produisent en dehors des périodes attendues. Trouvez le modèle de travail normal pour chaque compte privilégié et signalez les modifications non planifiées en dehors des périodes de travail normales. Les connexions en dehors des heures de travail normales peuvent indiquer une compromission ou une menace potentielle provenant d’initiés. |
Modification de mot de passe | Élevée | Journaux d'audit Microsoft Entra | Intervenant de l’activité = Administrateur/libre-service -et- Cible = Utilisateur -et- État = Réussite ou échec |
Alertez en cas de changement d’un mot de passe de compte administrateur. Écrivez une requête pour les comptes privilégiés. |
Modifications apportées aux méthodes d’authentification | Élevée | Journaux d'audit Microsoft Entra | Activité : Créer le fournisseur d’identité Catégorie : ResourceManagement Cible : Nom d’utilisateur principal |
La modification peut indiquer qu’une personne malveillante ajoute une méthode d’authentification au compte pour obtenir un accès continu. |
Fournisseur d’identité mis à jour par des intervenants non approuvés | Forte | Journaux d'audit Microsoft Entra | Activité : Mettre à jour le fournisseur d’identité Catégorie : ResourceManagement Cible : Nom d’utilisateur principal |
La modification peut indiquer qu’une personne malveillante ajoute une méthode d’authentification au compte pour obtenir un accès continu. |
Fournisseur d’identité supprimé par des intervenants non approuvés | Forte | Révision d’accès à Microsoft Entra | Activité : Supprimer le fournisseur d’identité Catégorie : ResourceManagement Cible : Nom d’utilisateur principal |
La modification peut indiquer qu’une personne malveillante ajoute une méthode d’authentification au compte pour obtenir un accès continu. |
Applications
Éléments à analyser | Niveau de risque | Where | Filtre/sous-filtre | Notes |
---|---|---|---|---|
Ajout d’informations d’identification à des applications | Élevée | Journaux d'audit Microsoft Entra | Répertoire Service-Core, Category-ApplicationManagement Activité : Mise à jour de la gestion des certificats d’application et des secrets -et- Activité : Mise à jour du principal de service ou de l’application |
Une alerte est émise quand les informations d’identification sont ajoutées en dehors des heures d’ouverture ou des workflows habituels, quand elles sont ajoutées avec des types non utilisés dans votre environnement, ou quand elles sont ajoutées à un principal de service qui ne prend pas en charge les flux SAML. |
Application affectée à un rôle de contrôle d’accès en fonction du rôle (RBAC) Azure ou à un rôle Microsoft Entra | Élevé à moyen | Journaux d'audit Microsoft Entra | Type : Principal de service Activité : « Ajouter un membre au rôle » or « Ajouter un membre éligible au rôle » -ou- « Ajouter un membre inclus dans une étendue à un rôle ». |
N/A |
Application se voyant accorder des autorisations à privilèges élevés, telles que des autorisations « .All » (Directory.ReadWrite.All) ou des autorisations étendues (Mail.) | Élevée | Journaux d'audit Microsoft Entra | N/A | Applications se voyant accorder des autorisations générales comme « .All » (Directory.ReadWrite.All) ou des autorisations étendues (Mail.) |
Administrateur accordant des autorisations d’application (rôles d’application) ou des permissions déléguées à privilèges élevés | Élevé | Portail Microsoft 365 | « Ajouter une attribution de rôle d’application à un principal de service » -où- Target(s) identifie une API avec des données sensibles (par exemple, Microsoft Graph) « Ajouter l’octroi d’autorisations déléguées » -où- Target(s) identifie une API avec des données sensibles (par exemple Microsoft Graph) -et- DelegatedPermissionGrant.Scope comprend des autorisations à privilèges élevés. |
Déclenchez une alerte quand un administrateur général, d’application ou d’application cloud accorde son consentement à une application. Recherchez en particulier les consentements accordés en dehors des activités et des procédures de modification habituelles. |
L’application se voit accorder des autorisations pour Microsoft Graph, Exchange, SharePoint ou Microsoft Entra ID. | Élevée | Journaux d'audit Microsoft Entra | « Ajout de l’octroi de permissions déléguées » -ou- « Ajouter une attribution de rôle d’application à un principal de service » -où- Target(s) identifie une API avec des données sensibles (par exemple Microsoft Graph, Exchange Online, etc.) |
Utilisez l’alerte de la ligne précédente. |
Des permissions déléguées à privilèges élevés sont accordées pour le compte de tous les utilisateurs | Élevée | Journaux d'audit Microsoft Entra | « Ajout de l’octroi de permissions déléguées » où Target(s) identifie une API avec des données sensibles (par exemple Microsoft Graph) DelegatedPermissionGrant.Scope comprend des autorisations à privilèges élevés -et- DelegatedPermissionGrant.ConsentType est « AllPrincipals ». |
Utilisez l’alerte de la ligne précédente. |
Applications qui utilisent le flux d’authentification ROPC | Moyenne | Journal de connexion Microsoft Entra | État=Réussite Protocole d’authentification-ROPC |
Un niveau de confiance élevé est placé dans cette application, car les informations d’identification peuvent être mises en cache ou stockées. Si possible, passez à un flux d’authentification plus sécurisé. Utilisez le processus uniquement dans les tests d’application automatisés, le cas échéant. |
URI non résolu | Élevée | Journaux Microsoft Entra et inscription d’application | Service-Répertoire principal Category-ApplicationManagement Activité : Mise à jour de l’application Réussite : nom de propriété AppAddress |
Recherchez par exemple des URI non résolus qui pointent vers un nom de domaine qui n’existe plus ou qui ne vous appartient pas. |
Modification de la configuration des URI de redirection | Élevée | Journaux Microsoft Entra | Service-Répertoire principal Category-ApplicationManagement Activité : Mise à jour de l’application Réussite : nom de propriété AppAddress |
Recherchez les URI qui n’utilisent pas HTTPS*, les URI avec des caractères génériques à la fin ou le domaine de l’URL, les URI qui ne sont pas uniques à l’application, les URI qui pointent vers un domaine que vous ne contrôlez pas. |
Modifications apportées à l’URI AppID | Élevée | Journaux Microsoft Entra | Service-Répertoire principal Category-ApplicationManagement Activité : Mise à jour de l’application Activité : Mise à jour du principal de service |
Recherchez les modifications d’URI AppID, telles que l’ajout, la modification ou la suppression de l’URI. |
Modifications apportées à la propriété des applications | Moyenne | Journaux Microsoft Entra | Service-Répertoire principal Category-ApplicationManagement Activité : Ajouter un propriétaire à une application |
Recherchez les instances d’utilisateurs ajoutés en tant que propriétaires d’applications en dehors des activités de gestion des changements normales. |
Modifications apportées à l’URL de déconnexion | Faible | Journaux Microsoft Entra | Service-Répertoire principal Category-ApplicationManagement Activité : Mise à jour de l’application -et- Activité : Mise à jour du principal de service |
Recherchez toute modification apportée à une URL de déconnexion. Les entrées vides ou les entrées correspondant à des emplacements inexistants empêchent un utilisateur de mettre fin à une session. |
Infrastructure
Éléments à analyser | Niveau de risque | Where | Filtre/sous-filtre | Notes |
---|---|---|---|---|
Nouvelle stratégie d’accès conditionnel créée par des intervenants non approuvés | Forte | Journaux d'audit Microsoft Entra | Activité : Ajouter une stratégie d’accès conditionnel Catégorie : Stratégie Lancé par (intervenant) : Nom d’utilisateur principal |
Superviser et signaler les modifications d’accès conditionnel. Lancé par (intervenant) : est-il autorisé à modifier l’accès conditionnel ? |
Stratégie d’accès conditionnel supprimée par des intervenants non approuvés | Moyenne | Journaux d'audit Microsoft Entra | Activité : Supprimer une stratégie d’accès conditionnel Catégorie : Stratégie Lancé par (intervenant) : Nom d’utilisateur principal |
Superviser et signaler les modifications d’accès conditionnel. Lancé par (intervenant) : est-il autorisé à modifier l’accès conditionnel ? |
Stratégie d’accès conditionnel mise à jour par des intervenants non approuvés | Forte | Journaux d'audit Microsoft Entra | Activité : Mettre à jour une stratégie d’accès conditionnel Catégorie : Stratégie Lancé par (intervenant) : Nom d’utilisateur principal |
Superviser et signaler les modifications d’accès conditionnel. Lancé par (intervenant) : est-il autorisé à modifier l’accès conditionnel ? Passez en revue les propriétés modifiées et comparez l’ancienne valeur et la nouvelle |
Stratégie personnalisée B2C créée par des intervenants non approuvés | Forte | Journaux d'audit Microsoft Entra | Activité : Créer une stratégie personnalisée Catégorie : ResourceManagement Cible : Nom d’utilisateur principal |
Superviser et signaler les modifications de stratégie personnalisée. Lancé par (intervenant) : est-il autorisé à modifier des stratégies personnalisées ? |
Stratégie personnalisée B2C mise à jour par des intervenants non approuvés | Forte | Journaux d'audit Microsoft Entra | Activité : Obtenir des stratégies personnalisées Catégorie : ResourceManagement Cible : Nom d’utilisateur principal |
Superviser et signaler les modifications de stratégie personnalisée. Lancé par (intervenant) : est-il autorisé à modifier des stratégies personnalisées ? |
Stratégie personnalisée B2C supprimée par des intervenants non approuvés | Moyenne | Journaux d'audit Microsoft Entra | Activité : Supprimer une stratégie personnalisée Catégorie : ResourceManagement Cible : Nom d’utilisateur principal |
Superviser et signaler les modifications de stratégie personnalisée. Lancé par (intervenant) : est-il autorisé à modifier des stratégies personnalisées ? |
Flux d’utilisateurs créé par des intervenants non approuvés | Forte | Journaux d'audit Microsoft Entra | Activité : Créer un flux utilisateur Catégorie : ResourceManagement Cible : Nom d’utilisateur principal |
Superviser et signaler en cas de modifications apportées au flux utilisateur. Lancé par (intervenant) : est-il autorisé à modifier des flux d'utilisateurs ? |
Flux d’utilisateurs mis à jour par des intervenants non approuvés | Forte | Journaux d'audit Microsoft Entra | Activité : Mettre à jour le flux d’utilisateurs Catégorie : ResourceManagement Cible : Nom d’utilisateur principal |
Superviser et signaler en cas de modifications apportées au flux utilisateur. Lancé par (intervenant) : est-il autorisé à modifier des flux d'utilisateurs ? |
Flux d’utilisateurs supprimé par des intervenants non approuvés | Moyenne | Journaux d'audit Microsoft Entra | Activité : Supprimer un flux d’utilisateurs Catégorie : ResourceManagement Cible : Nom d’utilisateur principal |
Superviser et signaler en cas de modifications apportées au flux utilisateur. Lancé par (intervenant) : est-il autorisé à modifier des flux d'utilisateurs ? |
Connecteurs d’API créés par des intervenants non approuvés | Moyenne | Journaux d'audit Microsoft Entra | Activité : Créer un connecteur d’API Catégorie : ResourceManagement Cible : Nom d’utilisateur principal |
Superviser et signaler en cas de modifications apportées au connecteur d’API. Lancé par (intervenant) : est-il autorisé à modifier des connecteurs d’API ? |
Connecteurs d’API mis à jour par des intervenants non approuvés | Moyenne | Journaux d'audit Microsoft Entra | Activité : Mettre à jour le connecteur d’API Catégorie : ResourceManagement Cible : Nom d’utilisateur principal : ResourceManagement |
Superviser et signaler en cas de modifications apportées au connecteur d’API. Lancé par (intervenant) : est-il autorisé à modifier des connecteurs d’API ? |
Connecteurs d’API supprimés par des intervenants non approuvés | Moyenne | Journaux d'audit Microsoft Entra | Activité : Mettre à jour le connecteur d’API Catégorie : ResourceManagment Cible : Nom d’utilisateur principal : ResourceManagment |
Superviser et signaler en cas de modifications apportées au connecteur d’API. Lancé par (intervenant) : est-il autorisé à modifier des connecteurs d’API ? |
Fournisseur d’identité (IdP) créé par des intervenants non approuvés | Forte | Journaux d'audit Microsoft Entra | Activité : Créer le fournisseur d’identité Catégorie : ResourceManagement Cible : Nom d’utilisateur principal |
Superviser et signaler les modifications du fournisseur d’identité et envoyer des alertes. Lancé par (intervenant) : est-il autorisé à modifier la configuration de fournisseur d'identité ? |
IdP mis à jour par des intervenants non approuvés | Forte | Journaux d'audit Microsoft Entra | Activité : Mettre à jour le fournisseur d’identité Catégorie : ResourceManagement Cible : Nom d’utilisateur principal |
Superviser et signaler les modifications du fournisseur d’identité et envoyer des alertes. Lancé par (intervenant) : est-il autorisé à modifier la configuration de fournisseur d'identité ? |
IdP supprimé par des intervenants non approuvés | Moyenne | Journaux d'audit Microsoft Entra | Activité : Supprimer le fournisseur d’identité Catégorie : ResourceManagement Cible : Nom d’utilisateur principal |
Superviser et signaler les modifications du fournisseur d’identité et envoyer des alertes. Lancé par (intervenant) : est-il autorisé à modifier la configuration de fournisseur d'identité ? |
Étapes suivantes
Pour plus d’informations sur la sécurité, consultez les articles suivants sur les opérations de sécurité :
- Guide des opérations de sécurité Microsoft Entra
- Opérations de sécurité Microsoft Entra pour les comptes d’utilisateur
- Opérations de sécurité pour les comptes privilégiés dans Microsoft Entra ID
- Opérations de sécurité Microsoft Entra pour Privileged Identity Management
- Guide sur les opérations de sécurité Microsoft Entra pour les applications
- Opérations de sécurité Microsoft Entra pour les appareils
- Opérations de sécurité pour l’infrastructure