Partager via

Configurations Confiance Zéro de l'accès aux identités et aux appareils

  • Article

Aujourd’hui, les employés ont besoin d’accéder à des applications et à des ressources qui résident au-delà des frontières traditionnelles d’un réseau d’entreprise. Les architectures de sécurité qui s’appuient sur des pare-feux réseau et des réseaux privés virtuels (VPN, Virtual Private Network) pour isoler et restreindre l’accès aux ressources ne suffisent plus.

Pour s’adapter à ce nouveau monde de l’informatique, Microsoft recommande fortement le modèle de sécurité Confiance Zéro, qui repose sur les principes suivants :

  • Vérifier explicitement : authentifiez et autorisez systématiquement en fonction de tous les points de données disponibles. Les stratégies d’accès Confiance zéro pour les identités et les appareils sont cruciales pour l'authentification et la validation continue.
  • Utiliser l’accès avec le privilège minimum : limitez l’accès utilisateur avec l’accès Juste-à-temps et Accès suffisant (JIT/JEA), des stratégies adaptatives basées sur les risques et une protection des données.
  • Supposer une violation : réduisez le rayon d’explosion et segmentez l’accès. Vérifiez le chiffrement de bout en bout et utilisez l'analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses.

Voici l’architecture globale de la Confiance Zéro :

Diagramme illustrant l’architecture Confiance Zéro de Microsoft.

Les stratégies d’accès aux identités et aux appareils Confiance Zéro respectent le principe directeur Vérifier explicitement pour les éléments suivants :

  • Identités : lorsqu’une identité tente d’accéder à une ressource, vérifiez cette identité avec une authentification forte et assurez-vous que l’accès demandé est conforme et normal.
  • Appareils (également appelés points de terminaison) : monitorez et appliquez des exigences d’intégrité et de conformité des appareils pour garantir un accès sécurisé.
  • Applications : appliquez des contrôles et des technologies pour :
    • Garantir des autorisations appropriées dans l’application
    • Contrôler l’accès en fonction de l’analytique en temps réel
    • Monitorer tout comportement anormal
    • Contrôler les actions utilisateur
    • Valider les options de configuration sécurisée

Cette série d’articles décrit un ensemble de configurations et de stratégies d’accès aux identités et aux appareils qui utilisent Microsoft Entra ID, l’accès conditionnel, Microsoft Intune et d’autres fonctionnalités. Ces configurations et stratégies fournissent un accès Confiance Zéro aux emplacements suivants :

  • Microsoft 365 pour les applications et services cloud d’entreprise.
  • Autres services SaaS.
  • Applications locales publiées avec le proxy d’application Microsoft Entra.

Les paramètres et stratégies d’accès aux identités et aux appareils Confiance Zéro sont recommandés à trois niveaux :

  • Point de départ.
  • Enterprise.
  • Sécurité spécialisée pour les environnements comprenant des données hautement réglementées ou classifiées.

Ces niveaux et leurs configurations correspondantes offrent des niveaux cohérents de protection Confiance Zéro pour vos données, identités et appareils. Ces fonctionnalités et leurs recommandations :

Si votre organisation a des exigences ou des complexités uniques, utilisez ces recommandations comme point de départ. Toutefois, la plupart des organisations peuvent implémenter ces recommandations telles qu’elles sont prescrites.

Regardez cette vidéo pour obtenir une vue d’ensemble des configurations d’accès aux identités et aux appareils pour Microsoft 365 Entreprise.

Remarque

Microsoft vend également des licences Enterprise Mobility + Security (EMS) pour les abonnements Office 365. Les fonctionnalités EMS E3 et EMS E5 sont équivalentes à Microsoft 365 E3 et Microsoft 365 E5. Pour plus d’informations, consultez Plans EMS.

Public concerné

Ces recommandations sont destinées aux architectes d’entreprise et professionnels de l’informatique ayant de bonnes connaissances des services de productivité et de sécurité du cloud Microsoft 365. Ces services incluent Microsoft Entra ID (identité), Microsoft Intune (gestion des appareils) et Microsoft Purview Information Protection (protection des données).

Environnement client

Les stratégies recommandées s’appliquent aux organisations d’entreprise qui fonctionnent entièrement dans le cloud Microsoft et pour les clients disposant d’une identité hybride. Une infrastructure d’identité hybride synchronise une forêt Active Directory locale avec l’ID Microsoft Entra.

La plupart de nos recommandations reposent sur des services disponibles uniquement avec les licences suivantes :

  • Microsoft 365 E5
  • Microsoft 365 E3 avec le module complémentaire Sécurité E5
  • EMS E5
  • Licences Microsoft Entra ID P2.

Pour les organisations qui n’ont pas ces licences, nous vous recommandons les paramètres de sécurité par défaut, qui sont disponibles dans tous les plans Microsoft 365 et activés par défaut.

Mises en garde

Votre organisation peut être soumise à des exigences réglementaires ou d’autres exigences de conformité, notamment des recommandations spécifiques qui nécessitent des stratégies qui diffèrent de nos configurations recommandées. Nous vous recommandons ces contrôles, car nous pensons qu’ils offrent un bon équilibre entre sécurité et productivité.

Même si nous avons essayé de tenir compte d’un large éventail d’exigences de protection organisationnelles, nous ne pouvons pas tenir compte de toutes les exigences possibles ou des éléments uniques de votre organisation.

Trois niveaux de protection

La plupart des organisations ont des conditions spécifiques relatives à la sécurité et à la protection des données. Ces exigences varient selon le secteur et les fonctions au sein des organisations. Par exemple, votre service juridique et vos administrateurs peuvent nécessiter davantage de contrôles de sécurité et de protection des informations autour de leur correspondance par e-mail qui ne sont pas requises pour d’autres unités commerciales.

Chaque secteur possède également son propre ensemble de réglementations spécialisées. Nous n’essayons pas de fournir une liste de toutes les options de sécurité possibles ou une recommandation par secteur d’activité ou fonction professionnelle. Au lieu de cela, nous proposons des recommandations sur trois niveaux de sécurité et de protection que vous pouvez appliquer en fonction de la granularité de vos besoins.

  • Point de départ : nous recommandons à tous les clients d’établir et d’utiliser une norme minimale pour la protection des données, ainsi que pour les identités et les appareils qui accèdent à vos données. Vous pouvez suivre ces recommandations pour fournir une protection par défaut forte comme point de départ pour toutes les organisations.
  • Entreprise : certains clients disposent d’un sous-ensemble de données nécessitant une protection à des niveaux supérieurs ou exigent que toutes leurs données soient protégées à un niveau supérieur. Vous pouvez appliquer une protection renforcée à tous les jeux de données ou à certains d’entre eux dans votre environnement Microsoft 365. Nous vous recommandons de protéger les identités et les appareils accédant aux données sensibles avec des niveaux de sécurité comparables.
  • Sécurité spécialisée : au besoin, certains clients disposent d’une petite quantité de données hautement classifiées, réglementées ou représentant des secrets commerciaux. Microsoft fournit des fonctionnalités pour aider ces clients à respecter ces exigences, y compris une protection renforcée des appareils et des identités.

Capture d’écran du cône Sécurité montrant la plage de clients.

Ce guide vous montre comment implémenter la protection Confiance Zéro pour les identités et les appareils dans chacun de ces niveaux de protection. Utilisez ces conseils comme configuration minimale pour votre organisation et ajustez les stratégies pour répondre aux besoins spécifiques de votre organisation.

Il est important d’utiliser des niveaux de protection cohérents pour vos identités, appareils et données. Par exemple, la protection des utilisateurs ayant des comptes prioritaires (cadres, dirigeants, responsables, etc.) doit inclure le même niveau de protection pour leurs identités, leurs appareils et les données qu’ils accèdent.

Consultez également la solution : Déployer la protection des informations pour les réglementations en matière de confidentialité des données pour protéger les informations stockées dans Microsoft 365.

Compromis entre sécurité et productivité

L’implémentation d’une stratégie de sécurité nécessite des compromis entre sécurité et productivité. Il est utile d’évaluer la façon dont chaque décision affecte l’équilibre entre sécurité, fonctionnalité et facilité d’utilisation.

Triade relative à la sécurité montrant l’équilibre entre sécurité, fonctionnalité et facilité d’utilisation

Les recommandations fournies sont basées sur les principes suivants :

  • Connaître ses utilisateurs et être flexible face à leurs exigences en matière de sécurité et de fonctionnalités.
  • Appliquer une stratégie de sécurité juste à temps et s’assurer de sa pertinence.

Services et concepts de la protection de l’accès aux identités et aux appareils Confiance Zéro

Microsoft 365 Entreprise est conçu pour les grandes organisations afin de favoriser la créativité des employés et la collaboration en toute sécurité.

Cette section fournit une vue d’ensemble des services et fonctionnalités de Microsoft 365 qui jouent un rôle important dans l’accès aux identités et aux appareils Confiance Zéro.

Microsoft Entra ID

Microsoft Entra ID fournit une suite complète de fonctionnalités de gestion des identités. Nous vous recommandons d’utiliser ces fonctionnalités pour sécuriser l’accès.

Fonctionnalités Description Gestion des licences
Authentification multifacteur (MFA) L’authentification multifacteur exige que les utilisateurs fournissent deux formes de vérification, telles qu’un mot de passe utilisateur et une notification de l’application Microsoft Authenticator ou un appel téléphonique. L’authentification multifacteur réduit considérablement le risque que des informations d’identification volées puissent être utilisées pour accéder à votre environnement. Microsoft 365 utilise le service d’authentification multifacteur Microsoft Entra pour les connexions basées sur l’authentification multifacteur. Microsoft 365 E3 ou E5
Accès conditionnel Microsoft Entra ID évalue les conditions de connexion de l’utilisateur et utilise des stratégies d’accès conditionnel pour déterminer l’accès autorisé. Par exemple, dans cette aide, nous vous montrons comment créer une stratégie d’accès conditionnel afin d’exiger la conformité de l’appareil pour l’accès aux données sensibles. Cette configuration réduit considérablement le risque qu’un pirate avec son propre appareil et les informations d’identification volées puissent accéder à vos données sensibles. Cet accès protège également les données sensibles sur les appareils, car ceux-ci doivent répondre à des spécifications d’intégrité et de sécurité spécifiques. Microsoft 365 E3 ou E5
Groupes Microsoft Entra Les stratégies d’accès conditionnel, la gestion des appareils avec Intune et même les autorisations sur les fichiers et sites de votre organisation reposent sur l’affectation à des comptes d’utilisateur ou à des groupes Microsoft Entra. Nous vous recommandons de créer des groupes Microsoft Entra qui correspondent aux niveaux de protection implémentés. Par exemple, les membres de votre personnel exécutif sont probablement des cibles à valeur élevée pour les pirates. Vous devez ajouter ces comptes d’utilisateur à un groupe Microsoft Entra et affecter ce groupe à des stratégies d’accès conditionnel et d’autres stratégies qui appliquent un niveau de protection supérieur. Microsoft 365 E3 ou E5
Inscription de l’appareil Pour créer une identité pour un appareil, vous inscrivez l’appareil dans Microsoft Entra ID. Cette identité est utilisée pour authentifier l’appareil lorsqu’un utilisateur se connecte et applique des stratégies d’accès conditionnel qui nécessitent des PC joints à un domaine ou conformes. Dans le cadre de cette aide, nous utilisons l’inscription d’appareils pour inscrire automatiquement des ordinateurs Windows joints à un domaine. L’inscription d’appareils est un prérequis pour la gestion des appareils avec Intune. Microsoft 365 E3 ou E5
Microsoft Entra ID Protection Vous permet de détecter des vulnérabilités potentielles affectant les identités de votre organisation et de configurer une stratégie de correction automatique pour le risque faible, moyen et élevé concernant la connexion et l’utilisateur. Cette aide s’appuie sur cette évaluation des risques pour appliquer des stratégies d’accès conditionnel pour l’authentification multifacteur. Cette aide inclut également une stratégie d’accès conditionnel qui oblige les utilisateurs à modifier leur mot de passe si une activité à haut risque est détectée pour leur compte. Licences Microsoft 365 E5, Microsoft 365 E3 avec le module complémentaire Sécurité E5, EMS E5 ou Microsoft Entra ID P2
Réinitialisation de mot de passe en libre-service (SSPR) Permet à vos utilisateurs de réinitialiser leur mot de passe de manière sécurisée sans intervention du support technique grâce à la vérification de plusieurs méthodes d’authentification que l’administrateur peut contrôler. Microsoft 365 E3 ou E5
Protection par mot de passe Microsoft Entra Détectez et bloquez les mots de passe faibles connus, les variantes de mot de passe et d’autres termes faibles spécifiques à votre organisation. Les listes de mots de passe interdits globaux par défaut sont automatiquement appliquées à tous les utilisateurs d’une organisation Microsoft Entra. Vous pouvez également définir des entrées spécifiques dans une liste personnalisée de mots de passe interdits. Lorsque les utilisateurs modifient ou réinitialisent leurs mots de passe, ces listes de mots de passe interdits sont vérifiées pour imposer l’utilisation de mots de passe forts. Microsoft 365 E3 ou E5

Voici les composants de l’accès aux identités et aux appareils Confiance Zéro, y compris les différents objets, paramètres et sous-services d’Intune et de Microsoft Entra.

Composants de l’accès aux identités et aux appareils Confiance Zéro

Microsoft Intune

Intune est le service de gestion des appareils mobiles basé sur le cloud de Microsoft. Cette aide recommande la gestion des appareils des PC Windows avec Intune ainsi que des configurations de stratégie de conformité des appareils. Intune détermine si les appareils sont conformes et envoie ces données à Microsoft Entra ID qui s’en sert lors de l’application de stratégies d’accès conditionnel.

Intune App Protection

Vous pouvez utiliser des stratégies de protection d’application Intune pour protéger les données de votre organisation dans les applications mobiles, que les appareils soient inscrits ou non au service de gestion. Intune permet de protéger les informations tout en conservant la productivité des utilisateurs et en empêchant la perte de données. Par la mise en œuvre de stratégies au niveau de l’application, vous pouvez restreindre l’accès aux ressources d’entreprise et conserver les données sous le contrôle de votre service informatique.

Ce guide montre comment créer des stratégies pour appliquer l’utilisation d’applications approuvées et spécifier comment ces applications peuvent être utilisées avec vos données métier.

Microsoft 365

Cette aide vous montre comment implémenter un ensemble de stratégies pour protéger l’accès aux services cloud Microsoft 365, notamment Microsoft Teams, Exchange, SharePoint et OneDrive. Outre l’implémentation de ces stratégies, nous vous recommandons également de renforcer le niveau de protection de votre organisation à l’aide de ces ressources :

Windows 11 ou Windows 10 avec Microsoft 365 Apps for enterprise

Windows 11 ou Windows 10 avec Microsoft 365 Apps for enterprise est l’environnement client recommandé pour les PC. Nous recommandons Windows 11 ou Windows 10, car Microsoft Entra est conçu pour fournir l’expérience d’authentification unique à la fois en local et avec Microsoft Entra ID. Windows 11 ou Windows 10 inclut également des fonctionnalités de sécurité avancées que vous pouvez gérer par le biais d’Intune. Microsoft 365 Apps for enterprise inclut les dernières versions des applications Office. Ces applications utilisent l’authentification moderne, plus sécurisée et requise pour l’accès conditionnel. Ces applications incluent également des outils de conformité et de sécurité améliorés.

Application de ces fonctionnalités aux trois niveaux de protection

Le tableau suivant résume nos recommandations relatives à l’utilisation de ces fonctionnalités pour les trois niveaux de protection.

Mécanisme de protection Point de départ Enterprise Sécurité spécialisée
Authentification multifacteur Le risque de connexion est moyen ou élevé. Le risque de connexion est faible, moyen ou élevé. Toutes les nouvelles sessions.
Appliquer la modification du mot de passe Pour les utilisateurs à haut risque. Pour les utilisateurs à haut risque. Pour les utilisateurs à haut risque.
Appliquer la protection des applications Intune Oui Oui Oui
Appliquer l’inscription Intune pour les appareils appartenant à l’organisation Exiger un PC conforme ou joint à un domaine, mais autoriser les téléphones et tablettes BYOD (bring-your-own devices). Exiger un appareil conforme ou joint à un domaine. Exiger un appareil conforme ou joint à un domaine.

Propriété des appareils

Le tableau précédent reflète la tendance pour de nombreuses organisations à prendre en charge un mélange d’appareils d’organisation et personnels (BYOD) qui accèdent aux données de l’entreprise. Les stratégies de protection des applications Intune garantissent que les données d’entreprise sont protégées contre l’exfiltration dans Outlook pour iOS et Android et d’autres applications mobiles Microsoft 365 sur les appareils personnels et d’organisation.

Nous vous recommandons d’utiliser Intune pour gérer les appareils appartenant à l’organisation ou que les appareils sont joints à un domaine pour appliquer des protections et un contrôle supplémentaires. Selon la sensibilité des données, votre organisation peut ne pas autoriser les BYOD pour des groupes d’utilisateurs ou des applications spécifiques.

Déploiement et applications

Avant de configurer et de déployer la configuration de l’identité et de l’accès aux appareils Zero Trust pour vos applications intégrées Microsoft Entra, vous devez effectuer les étapes suivantes :

  • Décidez des applications de votre organisation à protéger.

  • Analyser cette liste d’applications pour déterminer les ensembles de stratégies qui fournissent les niveaux de protection appropriés.

    Nous vous déconseillons de définir des ensembles distincts de stratégies pour chaque application, car la gestion de stratégies distinctes peut devenir fastidieuse. Au lieu de cela, nous vous recommandons de regrouper des applications avec les mêmes exigences de protection pour les mêmes utilisateurs.

    Par exemple, commencez par un ensemble de stratégies qui incluent toutes les applications Microsoft 365 pour tous les utilisateurs. Utilisez un autre ensemble de stratégies plus restrictif pour toutes les applications sensibles (par exemple, les applications utilisées par les ressources humaines ou les services financiers) et appliquez ces stratégies restrictives aux groupes concernés.

Après avoir déterminé l’ensemble de stratégies pour les applications que vous souhaitez sécuriser, déployez de manière incrémentielle les stratégies auprès des utilisateurs, en traitant les problèmes en cours de route. Par exemple :

  1. Configurez les stratégies que vous comptez utiliser pour toutes les applications Microsoft 365.
  2. Ajoutez Exchange avec ses modifications requises, déployez les stratégies pour les utilisateurs et traitez les problèmes.
  3. Ajoutez Teams avec les modifications requises, déployez les stratégies sur les utilisateurs et résolvez les éventuels problèmes.
  4. Ajoutez SharePoint avec les modifications requises, déployez les stratégies sur les utilisateurs et résolvez les éventuels problèmes.
  5. Continuez à ajouter des applications jusqu’à ce que vous puissiez configurer en toute confiance ces stratégies de point de départ pour inclure toutes les applications Microsoft 365.

De même, créez l’ensemble de stratégies pour les applications sensibles en ajoutant une application à la fois. Résolvez les éventuels problèmes jusqu’à ce que tout soit inclus dans l’ensemble de stratégies pour applications sensibles.

Microsoft vous recommande de ne pas créer d’ensembles de stratégies qui s’appliquent à toutes les applications, car cela peut entraîner des configurations inattendues. Par exemple, des stratégies qui bloquent toutes les applications peuvent empêcher vos administrateurs d’accéder au centre d’administration Microsoft Entra et les exclusions ne peuvent pas être configurées pour des points de terminaison importants tels que Microsoft Graph.

Étapes pour configurer l’accès aux identités et aux appareils Confiance Zéro

Étapes à suivre pour configurer l’accès aux identités et aux appareils Confiance Zéro

  1. Configurez les fonctionnalités et les paramètres des identités requises.
  2. Configurez les stratégies courantes d’accès conditionnel pour les identités et les accès.
  3. Configurer des stratégies d’accès conditionnel pour l’accès invité.
  4. Configurez des stratégies d’accès conditionnel pour les applications cloud Microsoft 365 (par exemple, Microsoft Teams, Exchange et SharePoint) et configurez les stratégies Microsoft Defender pour Cloud Apps.

Après avoir configuré l’identité et l’accès aux appareils Zero Trust, consultez le guide de déploiement des fonctionnalités de Microsoft Entra pour une liste de contrôle progressive des autres fonctionnalités à prendre en compte et Microsoft Entra ID Governance pour protéger, surveiller et auditer l’accès.

Étape suivante

Prérequis à respecter pour implémenter des stratégies d’accès aux identités et aux appareils Confiance Zéro