EExplorer les outils et technologies utilisés pour le contrôle d'accès au sein de Microsoft 365

Effectué

Microsoft 365 utilise divers outils et technologies pour sécuriser les comptes d’équipe de service. Dans cet article, nous allons examiner certains de ces outils afin de vous présenter comment Microsoft applique l'accès permanent zéro (ZSA).

Outil de gestion des identités (IDM)

Microsoft 365 utilise un système de gestion des comptes appelé outil de gestion des identités (IDM) pour suivre les comptes d’équipe de service tout au long de leur cycle de vie. IDM effectue un suivi automatique de l'état de tous les comptes de l'équipe de service, depuis la demande initiale de compte jusqu'à la vérification de l'éligibilité, l'approbation, la création, la modification et la désactivation lorsque le compte n'est plus nécessaire.

Avant qu’un nouveau compte d’équipe de service puisse être créé, IDM s’assure que toutes les conditions d’éligibilité ont été respectées. Ces exigences comprennent le filtrage du personnel, la formation à la sécurité et confidentialité, et l'approbation du responsable approprié. L'IDM informe également les responsables pour approbation lorsque des modifications de compte sont demandées. Lorsqu'un employé est transféré, licencié ou ne suit pas la formation requise, IDM révoque automatiquement l'accès à son compte d'équipe de service et en informe son responsable.

L’automatisation est au cœur de notre façon de fournir une sécurité mise à l’échelle. L’ensemble de la gestion des comptes est automatisé par IDM. IDM désactive automatiquement les comptes d'équipe de service après un maximum de 90 jours d'inactivité. En outre, les comptes d’équipe de service qui dépassent le seuil de tentatives échouées de connexion sont automatiquement verrouillés. Les comptes d’équipe de service sont audités automatiquement tout au long de leur cycle de vie. Les évaluations d’accès manuel sont une exception. Lorsqu’elles se produisent, les équipes du service Microsoft 365 les traitent au moins tous les trois mois.

Contrôle d’accès en fonction du rôle

Les équipes de service Microsoft 365 utilisent Role-Based contrôle d’accès (RBAC) appliqué par Active Directory (AD) et l’ID Microsoft Entra. Le personnel d’équipe de service demande l’accès aux rôles requis, moyennant l’approbation de la direction. S’ils sont approuvés, ils sont placés dans des groupes de sécurité correspondant à leurs rôles pour la prise en charge du système.

L’accès au compte d’équipe de service est géré selon le principe des privilèges minimum. Le RBAC limite les comptes d’équipe de service uniquement à l’accès nécessaire pour effectuer les tâches requises dans les environnements qui correspondent à leur rôle. Le RBAC permet également d’appliquer la séparation des exigences de responsabilités en limitant les comptes d’équipe de service aux rôles appropriés pour leurs responsabilités actuelles.

Accès à distance

Les composants système Microsoft 365 sont hébergés dans des centres de données répartis géographiquement par rapport aux équipes d’exploitation. Le personnel du centre de données dispose d’un accès physique, mais n’a pas d’accès logique à l’environnement Microsoft 365. Sinon, le personnel de l’équipe de service dispose d’un accès logique, mais n’a pas d’accès physique. Par conséquent, le personnel d’équipe de service gère l’environnement via l’accès à distance. Toutes les activités approuvées sont autorisées à être exécutées via l’accès à distance à l’environnement Microsoft 365. Le personnel de l'équipe de service qui a besoin d'un accès à distance pour prendre en charge Microsoft 365 ne se voit accorder un accès à distance qu'après approbation d'un responsable autorisé. Tout accès à distance utilise un TLS compatible FIPS 140-2 pour les connexions à distance sécurisées.

Postes de travail d’accès sécurisé (SAWs)

Microsoft 365 fournit des Postes de travail d’accès sécurisé (SAWs) au service des ingénieurs de l’équipe qui prennent en charge les environnements de production Microsoft 365. Les Postes de travail d’accès sécurisé (SAWs) fournissent un sécurité accrue en réduisant la surface d’attaque des appareils que les ingénieurs utilisent pour effectuer des actions administratives lors de la prise en charge des services Microsoft 365.

Les postes de travail d’accès sécurisé chez Microsoft sont des ordinateurs portables spécialement conçus et fabriqués avec une protection supplémentaire contre les vulnérabilités matérielles et logicielles. Microsoft s'associe directement avec des fournisseurs de confiance pour créer des SAW, ce qui permet de raccourcir la chaîne d'approvisionnement pour garantir la sécurité du matériel des SAW. Les systèmes d’exploitation renforcés disposant de fonctionnalités limitées délibérées atténuent ou éliminent davantage les vecteurs d'attaque courants. Les pratiques de renforcement SAW incluent la désactivation de l’écriture sur les lecteurs USB, l’application d’une liste d’autorisation d’application stricte, la suppression des suites de productivité et de l’accès aux e-mails, la limitation de la navigation Internet, l’utilisation forcée d’un navigateur renforcé, le routage du trafic via un filtre proxy et l’application de verrouillages d’écran d’inactivité par le biais d’une stratégie de groupe.

Les systèmes de contrôle d'accès Microsoft 365 vérifient automatiquement l'état d'un SAW d'ingénieur au moment de l'accès et refusent les connexions des SAW non conformes. Les vérifications d’intégrité des appareils viennent compléter les autres contrôles d’accès, notamment les restrictions IP, les stratégies IPsec et l’identification des utilisateurs à l’aide de l’authentification multifacteur. L’utilisation de SAW est strictement contrôlée et journalisée pour détecter et empêcher toute utilisation non autorisée. Les appareils non conformes sont automatiquement désactivés.

Authentification multifacteur (MFA)

Microsoft 365 nécessite l’authentification multifacteur (MFA) pour tous les comptes d’équipe de service. L’authentification multifacteur renforce la sécurité du compte en imposant plusieurs formes de vérification, ou facteurs, pour prouver l’identité d’un ingénieur lors de la connexion au système. Les types de facteurs qui peuvent être utilisés pour l’authentification multifacteur sont classés en trois catégories :

  • Quelque chose que vous connaissez : un mot de passe, une réponse à une question de sécurité ou un code d'identification personnel (PIN)
  • Quelque chose que vous avez : générateur de jetons de sécurité ou application mobile qui reçoit une notification
  • Une propriété biométrique, telle qu’une empreinte digitale ou une image numérisée

Microsoft 365 requiert au moins deux facteurs pour l’authentification multifacteur. L’utilisation de l’authentification multifacteur renforce la sécurité de Microsoft 365 en limitant l’impact de l’exposition des informations d’identification. Dans Microsoft 365, un attaquant qui compromet le mot de passe d'un utilisateur aurait également besoin de posséder son générateur de jetons de sécurité pour s'authentifier complètement. L'authentification par un seul facteur est insuffisante pour accéder à Microsoft 365, car elle bloque les attaquants potentiels et donne à l'utilisateur le temps de modifier son mot de passe compromis.

En savoir plus