Partager via

Prise en main de l’évaluation à la demande de Microsoft Entra ID

  • Article

L’évaluation à la demande de Microsoft Entra ID est un service Cloud qui analyse et fournit des instructions IAM (gestion des identités et des accès) pour Microsoft Entra ID et les composants associés. L’analyse génère une liste de recommandations à prendre en compte accompagnée de recommandations et de bonnes pratiques pour améliorer l’intégrité et la sécurité des ressources Azure. De plus, l’évaluation identifie les fonctions qui peuvent être activées pour développer les fonctionnalités de Microsoft Entra ID. Les évaluations sont disponibles sur le Portail de services et vous permettent d’optimiser la disponibilité, la sécurité et les performances des investissements technologiques Microsoft. Ces évaluations utilisent Microsoft Azure Log Analytics, qui est conçu pour simplifier la gestion de l’informatique et de la sécurité dans l’environnement.

Cette évaluation fournit des instructions actionnables spécifiques regroupées en domaines d’intérêt afin d’atténuer les risques pour Microsoft Entra ID et pour l’organisation.

Piliers essentiels de l’évaluation Microsoft Entra ID

  • Gestion des identités et de l’accès
  • Gouvernance
  • Opérations
  • Authentification
  • Sécurité

Exécution de l’évaluation Microsoft Entra ID

Conditions préalables

Pour exploiter au maximum les évaluations à la demande disponibles sur le Portail de services, vous devez :

  1. Avoir associé un abonnement Azure actif au Services Hub et ajouté l’évaluation Microsoft Entra ID. Pour plus d’informations, consultez l’article Prise en main des évaluations à la demande ou regardez la vidéo sur la procédure d’association.

  2. Avoir un compte de tâche planifiée Évaluation (domaine ou utilisateur local) avec les droits suivants :

  • Accès d’administration à l’ordinateur de collecte de données
  • Privilèges d’ouverture de session en tant que tâche sur la machine de collecte de données
  1. Avoir un compte Microsoft Entra ID pour configurer l’application inscrite Microsoft Entra ID avec les propriétés suivantes :
  • Administrateur général
  • Non fédéré

Remarque

en moyenne, il faut compter environ deux heures au départ pour configurer votre environnement afin d’exécuter une évaluation à la demande. Après avoir exécuté l’évaluation, vous pouvez consulter les données dans Azure Log Analytics. Vous disposerez ainsi d’une liste de recommandations classées par ordre de priorité et selon six domaines qui vous permettront de comprendre rapidement les niveaux de risque et l’intégrité de vos environnements, d’agir pour réduire les risques et d’améliorer l’intégrité globale de vos outils informatiques.

Configurer l’évaluation Microsoft Entra ID sur l’ordinateur de collecte de données

Remarque

Vous ne pourrez configurer correctement l’évaluation que si vous avez lié votre abonnement Azure au Services Hub et ajouté l’évaluation Microsoft Entra ID à partir de l’intégrité informatique -> Évaluations à la demande dans le Services Hub.

Enregistrez l’application d’évaluations Microsoft dans le locataire Microsoft Entra ID dans la portée.

  1. Sur l’ordinateur de collecte de données, créez le dossier suivant : C :\OMS\AzureAD (ou tout autre dossier)
  2. Ouvrez PowerShell standard (pas ISE) en mode Administrateur et exécutez l’applet de commande ci-dessous pour créer l’application inscrite dans le client Microsoft Entra ID évalué :
 New-MicrosoftAssessmentsApplication

Remarque

Si la commande New-MicrosoftAssessmentsApplication n’est pas disponible, le module n’est pas encore trouvé. En effet, son apparition peut prendre du temps après l’installation de l’agent.

  1. Entrez les informations d’identification du compte Microsoft Entra ID nécessaires répondant aux exigences mentionnées précédemment dans cet article. Cliquez sur Accepter dans l’invite de consentement de l’administrateur en ce qui concerne les autorisations de lecture nécessaires à l’évaluation de cette application.

Remarque

Consultez l’article Autorisations pour l’application Évaluations Microsoft Entra ID pour obtenir des détails sur les autorisations.

Créer la tâche planifiée d’évaluation

  1. Ouvrez le Powershell standard (et non l’ISE) en mode Administrateur et exécutez le cmdlet ci-dessous en utilisant les paramètres suivants, en remplaçant<Directory> et <AccountName> par le répertoire de travail de l’évaluation et le nom du compte de la tâche d’évaluation planifiée :

[!IMPORTANT] N’utilisez pas « C :\ODA » comme chemin d’accès au répertoire de travail, car il est réservé par le système !

 Add-AzureAssessmentTask -WorkingDirectory <Directory> -ScheduledTaskUsername <accountname>

WorkingDirectory is a path to an existing directory used to store the files created while collecting and analyzing the data from the environment

Workspace Id – provide id for the Log Analytics workspace that will be used to store the uploaded data

Remarque

Si la commande Add-AzureAssessmentTask n’est pas disponible, le module n’est pas encore trouvé. En effet, son apparition peut prendre du temps après l’installation de l’agent.

  1. Le script se poursuit avec la configuration nécessaire et crée une tâche planifiée qui déclenche la collecte de données.

  2. La collecte de données est déclenchée par une tâche planifiée appelée AzureAssessment dans l’heure qui suit l’exécution du script précédent, puis tous les 7 jours. Il est possible de configurer la tâche de manière à l’exécuter à une date/heure différente ou immédiatement à partir de la bibliothèque du planificateur de tâches -> Microsoft -> Operations Management Suite -> AOI*** -> Évaluations -> AzureAssessment

Exécution de l’évaluation

  1. Pendant la collecte et l’analyse, les données sont temporairement stockées dans le dossier Répertoire de travail défini au moment de la configuration.

  2. Au bout de quelques heures, les résultats de votre évaluation seront disponibles dans votre tableau de bord Log Analytics et Services Hub. Vous pouvez accéder aux résultats en accédant au Portail de services -> Intégrité -> Évaluations, puis en cliquant sur « Afficher toutes les recommandations » dans l’évaluation active.

  3. Si vous souhaitez qu’un ingénieur agréé Microsoft passe en revue les problèmes concernant votre évaluation Microsoft Entra ID avec vous, renseignez-vous sur la fourniture menée par un CSA distant ou sur site auprès de votre représentant Microsoft.

Contrat Ingénieur distant Ingénieur sur site
Premier Feuille de données distante Microsoft Entra ID Feuille de données sur site Microsoft Entra ID
Unifié Feuille de données distante Microsoft Entra ID Feuille de données sur site Microsoft Entra ID