Mémo 22-09 système de gestion des identités au niveau de l’entreprise
Le Mémorandum M 22-09 à l’intention des cadres et des organismes de direction exige que les organismes élaborent un plan de regroupement pour leurs plateformes d’identité. L’objectif est d’avoir le moins possible de systèmes d’identité gérés par l’agence dans les 60 jours suivant la date de publication (28 mars 2022). La consolidation de la plateforme d’identités présente plusieurs avantages :
- Centraliser la gestion du cycle de vie des identités, de l’application des stratégies et des contrôles pouvant être audités
- Capacité uniforme et parité de l’application
- Diminuer la nécessité d’effectuer l'apprentissage de ressources sur plusieurs systèmes
- Permettre aux utilisateurs de se connecter une seule fois, puis d’accéder aux applications et services de l’environnement informatique
- Intégrer à autant d’applications d’agence que possible
- Utiliser des services d’authentification partagés et des relations d’approbation afin de faciliter l’intégration entre les agences
Pourquoi Microsoft Entra ID ?
Utilisez Microsoft Entra ID pour mettre en œuvre les recommandations du mémorandum 22-09. Microsoft Entra ID dispose de contrôles d'identité qui prennent en charge les initiatives Zero Trust. Avec Microsoft Office 365 ou Azure, Microsoft Entra ID est un fournisseur d'identité (IdP). Connectez vos applications et ressources à Microsoft Entra ID en tant que système d'identité à l'échelle de votre entreprise.
Exigences relatives à l’authentification unique
Le mémo ne demande qu’une seule connexion des utilisateurs pour accéder aux applications. Avec l’authentification unique (SSO) Microsoft, les utilisateurs se connectent qu’une seule fois avant d’avoir accès aux services cloud et aux applications. Voir Authentification unique transparente Microsoft Entra.
Intégration entre les agences
Utilisez la collaboration Microsoft Entra B2B pour répondre à l’exigence de faciliter l’intégration et la collaboration entre les agences. Les utilisateurs peuvent résider dans un tenant (locataire/client) Microsoft du même cloud. Les tenants peuvent se trouver sur un autre cloud Microsoft ou dans un tenant non Azure AD (fournisseur d’identité SAML/WS-Fed).
Grâce aux paramètres d'accès multi-locataires de Microsoft Entra, les agences gèrent la manière dont elles collaborent avec d'autres organisations Microsoft Entra et d'autres cloud Microsoft Azure :
- Limiter l’accès des utilisateurs tenants Microsoft
- Paramètres pour l’accès des utilisateurs externes, y compris l’application de l’authentification multifacteur et le signal d’appareil
En savoir plus :
- Vue d’ensemble de la collaboration B2B
- Microsoft Entra B2B dans les cloud gouvernementaux et nationaux
- Fédération avec des fournisseurs d’identité SAML/WS-Fed pour les utilisateurs invités
Connexion d’applications
Pour consolider et utiliser Microsoft Entra ID comme système d’identité à l’échelle de l’entreprise, examinez les actifs concernés.
Documenter les applications et services
Créez un inventaire d’applications et de services auxquels les utilisateurs ont accès. Un système de gestion des identités ne protège que ce qu’il connaît.
Classification des ressources :
- La confidentialité des données contenues
- Lois et réglementations relatives à la confidentialité, à l’intégrité ou à la disponibilité des données et/ou des informations dans les principaux systèmes
- Lois et réglementations qui s’appliquent aux exigences de protection des informations système
Pour votre inventaire d’applications, déterminez les applications qui utilisent des protocoles prêts pour le cloud ou des protocoles d’authentification hérités :
- Les applications prêtes pour le cloud prennent en charge les protocoles modernes pour l’authentification :
- SAML
- WS-Trust/WS-Federation
- OpenID Connect (OIDC)
- OAuth 2.0.
- Les applications d’authentification héritées s’appuient sur des méthodes d’authentification plus anciennes ou propriétaires :
- Kerberso/NTLM (authentification Windows)
- Authentification basée sur l’en-tête
- LDAP
- Authentification de base
En savoir plus sur les intégrations Microsoft Entra avec les protocoles d'authentification.
Outils de découverte d’applications et de services
Microsoft propose les outils suivants pour prendre en charge la découverte des applications et des services.
Outil | Utilisation |
---|---|
Analyse de l’utilisation pour Services ADFS (AD FS) | Analyse le trafic d’authentification de serveur fédéré. Voir Surveiller AD FS à l’aide de Microsoft Entra Connect Health |
Microsoft Defender for Cloud Apps | Analyse les journaux de pare-feu pour détecter les applications cloud, les services IaaS (Infrastructure as a Service) et les services PaaS (Platform as a Service) que votre organisation utilise. Intégrez des applications Microsoft Defender pour le cloud à Defender for Endpoint pour découvrir des données analysées d’appareils clients Windows. Consultez Vue d’ensemble des applications Microsoft Defender pour le cloud |
Feuille de calcul Découverte des applications | Documentez les états actuels de vos applications. Consultez Feuille de calcul Découverte des applications |
Vos applications peuvent se trouver dans des systèmes autres que ceux de Microsoft, et les outils Microsoft peuvent ne pas pouvoir découvrir ces applications. Veillez à disposer d’un inventaire complet. Les fournisseurs ont besoin de mécanismes pour découvrir les applications qui utilisent leurs services.
Hiérarchiser les applications pour la connexion
Après avoir découvert les applications de votre environnement, migrez-les en priorité. Considérez les aspects suivants :
- Caractère critique pour l’entreprise
- Profils utilisateur
- Usage
- Durée de vie
En savoir plus : Migrer l'authentification des applications vers Microsoft Entra ID.
Connectez vos applications prêtes pour le cloud dans l’ordre de priorité. Déterminez quelles applications utilisent des protocoles d’authentification hérités.
Pour les applications qui utilisent des protocoles d’authentification hérités :
- Pour les applications dotées d'une authentification moderne, reconfigurez-les pour utiliser Microsoft Entra ID
- Pour les applications sans authentification moderne, deux options s’offrent à vous :
- Mettre à jour le code de l’application pour qu’elle utilise les protocoles modernes en intégrant la bibliothèque d’authentification Microsoft (MSAL)
- Utilisez le proxy d'application Microsoft Entra ou l'accès partenaire hybride sécurisé pour un accès sécurisé
- Désactivation de l’accès aux applications qui ne sont plus nécessaires ou qui ne sont pas prises en charge
En savoir plus
- Intégrations Microsoft Entra avec les protocoles d'authentification
- Présentation de la plateforme d’identités Microsoft
- Accès hybride sécurisé : protégez les applications existantes avec Microsoft Entra ID
Connexion d’appareils
Une partie de la centralisation d’un système de gestion des identités consiste à permettre aux utilisateurs de se connecter à des appareils physiques et virtuels. Vous pouvez connecter des appareils Windows et Linux dans votre système Microsoft Entra centralisé, ce qui élimine plusieurs systèmes d'identité distincts.
Lors de votre inventaire et de votre cadrage, identifiez les appareils et l'infrastructure à intégrer à Microsoft Entra ID. L'intégration centralise votre authentification et votre gestion à l'aide de politiques d'accès conditionnel avec une authentification multifacteur appliquée via Microsoft Entra ID.
Outils pour découvrir les appareils
Vous pouvez utiliser les comptes d’automation Azure pour identifier les appareils via le regroupement d’inventaires connecté à Azure Monitor. Microsoft Defender for Endpoint dispose de fonctionnalités d’inventaire des appareils. Découvrez les appareils pour lesquels Defender for Endpoint est configuré et ceux qui ne le sont pas. L’inventaire des appareils provient de systèmes locaux tels que Configuration Manager System Center ou d’autres systèmes qui gèrent des appareils et des clients.
En savoir plus :
- Gérer une collecte de données d’inventaire à partir de machines virtuelles
- Présentation de Microsoft Defender pour point de terminaison
- Présentation de l’inventaire matériel
Intégrer des appareils avec Microsoft Entra ID
Les appareils intégrés à Microsoft Entra ID sont des appareils joints hybrides ou des appareils joints à Microsoft Entra. Séparez l’intégration des appareils par les appareils de clients et d’utilisateurs, et par les ordinateurs physiques et virtuels qui fonctionnent en tant qu’infrastructure. Pour plus d’informations sur la stratégie de déploiement pour les appareils utilisateur, consultez les conseils suivants.
- Planifiez le déploiement de votre appareil Microsoft Entra
- Appareils connectés hybrides Microsoft Entra
- Appareils joints à Microsoft Entra
- Connectez-vous à une machine virtuelle Windows dans Azure à l'aide de Microsoft Entra ID, y compris sans mot de passe
- Connectez-vous à une machine virtuelle Linux dans Azure à l'aide de Microsoft Entra ID et OpenSSH
- Rejoindre Microsoft Entra pour Azure Virtual Desktop
- Identité d’appareil et virtualisation de bureau
Étapes suivantes
Les articles suivants font partie de cet ensemble de documentation :
- Respectez les exigences d’identité du mémorandum 22-09 avec Microsoft Entra ID
- Répondre aux exigences d’authentification multifacteur du protocole 22-09
- Répondre aux exigences d’autorisation pour le mémorandum 22-09
- Les autres zones de Confiance Zéro ne sont pas traitées dans le mémo 22-09
- Sécurisation des identités avec la Confiance Zéro