Passer en revue les principes fondamentaux de Identity Protection
Identity protection est un service qui permet aux organisations d’afficher la posture de sécurité de n’importe quel compte. Les organisations peuvent accomplir trois tâches clés :
- Automatiser la détection et la correction des risques liés à l'identité
- Examiner les risques à l'aide des données disponibles sur le portail
- Exporter les données de détection des risques vers des utilitaires tiers pour une analyse plus approfondie
Gardez toujours à l'esprit que Microsoft Entra Identity Protection requiert une licence Microsoft Entra ID Premium P2 pour fonctionner. Les licences sont abordées plus en détail dans une unité ultérieure.
Identity Protection protège vos utilisateurs en appliquant les connaissances acquises par Microsoft auprès des organisations avec Microsoft Entra ID, dans l'espace grand public avec les comptes Microsoft et dans le domaine des jeux avec Xbox. Microsoft analyse 6 500 milliards de signaux par jour pour identifier les menaces et protéger les clients.
Les signaux générés par Identity Protection et transmis à celui-ci peuvent également être transmis à des outils tels que l'Accès conditionnel pour prendre des décisions en matière d'accès, ou renvoyés à un outil SIEM (Security Information and Event Management) pour un examen plus approfondi en fonction des stratégies appliquées par votre organisation.
Détection d'événements à risque et solutions pour y remédier
Identity Protection identifie les risques selon les classifications suivantes :
Type de détection des risques | Description |
---|---|
Adresse IP anonyme | Connexion à partir d'une adresse IP anonyme (par exemple : navigateur Tor, VPN anonymes). |
Voyage inhabituel | Connexion à partir d’un emplacement inhabituel selon les connexions récentes de l’utilisateur. |
Adresse IP liée à un programme malveillant | Connexion à partir d’une adresse IP liée à un programme malveillant. |
Propriétés de connexion inhabituelles | Connexion avec des propriétés inhabituelles pour l’utilisateur concerné. |
Informations d’identification divulguées | Indique que les informations d’identification valides de l’utilisateur ont été divulguées. |
Pulvérisation de mots de passe | Indique que plusieurs noms d’utilisateurs font l’objet d’une attaque par force brute unifiée avec des mots de passe courants. |
Veille des menaces Microsoft Entra | Les sources de renseignements sur les menaces internes et externes de Microsoft ont identifié un modèle d’attaque connu. |
Nouveau pays | Cette détection est découverte par Microsoft Defender pour les applications cloud (MDCA). |
Activité depuis une adresse IP anonyme | Cette détection est découverte par MDCA. |
Transfert de boîte de réception suspect | Cette détection est découverte par MDCA. |
Autorisations
Identity Protection exige que les utilisateurs disposent d'une des autorisations d'accès suivantes : Lecteur de sécurité, Opérateur de sécurité, Administrateur de la sécurité, Lecteur général ou Administrateur général.
Rôle | Vous pouvez : | Vous ne pouvez pas : |
---|---|---|
Administrateur général | Accès complet à Identity Protection | |
Administrateur de sécurité | Accès complet à Identity Protection | Réinitialiser un mot de passe pour un utilisateur |
Opérateur de sécurité | Afficher tous les rapports Identity Protection et l’écran Vue d’ensemble Ignorer les risques des utilisateurs, Confirmer la connexion sécurisée, Confirmer la compromission | Configurer ou modifier les stratégies, Réinitialiser le mot de passe d’un utilisateur, Configurer des alertes |
Lecteur Sécurité | Afficher tous les rapports Identity Protection et l’écran Vue d’ensemble | Configurer ou modifier les stratégies, Réinitialiser le mot de passe d’un utilisateur, Configurer des alertes, Envoyer des commentaires sur les détections |
Actuellement, le rôle d’opérateur de sécurité ne permet pas d’accéder au rapport sur les connexions risquées. Les administrateurs d’accès conditionnel peuvent également créer des stratégies qui prennent en compte le risque lié à la connexion en tant que condition.
Conditions de licence :
L'utilisation de cette caractéristique requiert une licence Microsoft Entra ID Premium P2.
Fonctionnalité | Détails | Microsoft Entra ID (édition gratuite)/Microsoft 365 Apps | Microsoft Entra ID Premium P1 | Microsoft Entra ID Premium P2 |
---|---|---|---|---|
Stratégies de risque | Stratégie de risque utilisateur (via Identity Protection) | Non | Non | Oui |
Stratégies de risque | Stratégie de risque de connexion (via Identity Protection ou l’accès conditionnel) | Non | Non | Oui |
Rapports de sécurité | Vue d’ensemble | Non | Non | Oui |
Rapports de sécurité | Utilisateurs à risque | Informations limitées. Seuls les utilisateurs présentant un risque moyen ou élevé sont affichés. Aucun tiroir de détails ou historique des risques. | Informations limitées. Seuls les utilisateurs présentant un risque moyen ou élevé sont affichés. Aucun tiroir de détails ou historique des risques. | Accès total |
Rapports de sécurité | Connexions risquées | Informations limitées. Aucun détail sur les risques ou niveau de risque n’est affiché. | Informations limitées. Aucun détail sur les risques ou niveau de risque n’est affiché. | Accès total |
Rapports de sécurité | Détections de risques | Non | Informations limitées. Aucun tiroir de détails. | Accès total |
Notifications | Alertes Utilisateurs à risque détectés | Non | Non | Oui |
Notifications | Synthèse hebdomadaire | Non | Non | Oui |
Stratégie d'inscription MFA | Non | Non | Oui |