Configurations Confiance Zéro de l'accès aux identités et aux appareils

Aujourd’hui, les employés ont besoin d’accéder à des applications et à des ressources qui résident au-delà des frontières traditionnelles d’un réseau d’entreprise. Les architectures de sécurité qui s’appuient sur des pare-feux réseau et des réseaux privés virtuels (VPN, Virtual Private Network) pour isoler et restreindre l’accès aux ressources ne suffisent plus.

Pour s’adapter à ce nouveau monde de l’informatique, Microsoft recommande fortement le modèle de sécurité Confiance Zéro, qui repose sur les principes suivants :

  • Vérifier explicitement : authentifiez et autorisez systématiquement en fonction de tous les points de données disponibles. Lors de cette vérification, les stratégies d’accès aux identités et aux appareils Confiance Zéro sont cruciales pour la connexion et la validation continue.
  • Utiliser l’accès avec le privilège minimum : limitez l’accès utilisateur avec l’accès Juste-à-temps et Accès suffisant (JIT/JEA), des stratégies adaptatives basées sur les risques et une protection des données.
  • Supposer une violation : réduisez le rayon d’explosion et segmentez l’accès. Vérifiez le chiffrement de bout en bout et utilisez l'analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses.

Voici l’architecture globale de la Confiance Zéro :

Diagramme illustrant l’architecture Confiance Zéro de Microsoft.

Les stratégies d’accès aux identités et aux appareils Confiance Zéro respectent le principe directeur Vérifier explicitement pour les éléments suivants :

  • Identités : lorsqu’une identité tente d’accéder à une ressource, vérifiez cette identité avec une authentification forte et assurez-vous que l’accès demandé est conforme et normal.
  • Appareils (également appelés points de terminaison) : monitorez et appliquez des exigences d’intégrité et de conformité des appareils pour garantir un accès sécurisé.
  • Applications : appliquez des contrôles et des technologies pour :
    • Garantir des autorisations appropriées dans l’application
    • Contrôler l’accès en fonction de l’analytique en temps réel
    • Monitorer tout comportement anormal
    • Contrôler les actions utilisateur
    • Valider les options de configuration sécurisée

Cette série d’articles décrit un ensemble de configurations et de stratégies d’accès aux identités et aux appareils qui utilisent Microsoft Entra ID, l’accès conditionnel, Microsoft Intune et d’autres fonctionnalités. Ces configurations et stratégies fournissent un accès Confiance Zéro à Microsoft 365 pour les applications et services cloud d’entreprise, les autres services SaaS et les applications locales publiées avec le Proxy d’application Microsoft Entra.

Les paramètres et stratégies d’accès aux identités et aux appareils Confiance Zéro sont recommandés à trois niveaux :

  • Point de départ.
  • Enterprise.
  • Sécurité spécialisée pour les environnements comprenant des données hautement réglementées ou classifiées.

Ces niveaux et leurs configurations correspondantes offrent des niveaux cohérents de protection Confiance Zéro pour vos données, identités et appareils. Ces fonctionnalités et leurs recommandations :

Si votre organisation a des exigences ou des complexités uniques, utilisez ces recommandations comme point de départ. Toutefois, la plupart des organisations peuvent implémenter ces recommandations telles qu’elles sont prescrites.

Regardez cette vidéo pour obtenir une vue d’ensemble des configurations d’accès aux identités et aux appareils pour Microsoft 365 Entreprise.

Remarque

Microsoft vend également des licences Enterprise Mobility + Security (EMS) pour les abonnements Office 365. Les fonctionnalités d’EMS E3 et d’EMS E5 sont équivalentes à celles offertes par Microsoft 365 E3 et Microsoft 365 E5. Pour plus d’informations, consultez Plans EMS.

Public concerné

Ces recommandations sont destinées aux architectes d’entreprise et professionnels de l’informatique ayant de bonnes connaissances des services de productivité et de sécurité du cloud Microsoft 365. Ces services incluent Microsoft Entra ID (identité), Microsoft Intune (gestion des appareils) et Microsoft Purview Information Protection (protection des données).

Environnement client

Les stratégies recommandées sont applicables aux entreprises fonctionnant entièrement dans le cloud Microsoft et aux clients disposant d’une infrastructure d’identité hybride. Une structure d’identité hybride est une forêt Active Directory locale qui est synchronisée avec Microsoft Entra ID.

La plupart de nos recommandations reposent sur des services disponibles uniquement avec les licences suivantes :

  • Microsoft 365 E5.
  • Microsoft 365 E3 avec le module complémentaire Sécurité E5.
  • EMS E5.
  • Licences Microsoft Entra ID P2.

Si votre organisation ne dispose pas de ces licences, nous vous recommandons d’implémenter au moins les paramètres de sécurité par défaut, qui sont inclus dans tous les plans Microsoft 365.

Mises en garde

Votre organisation peut être soumise à des exigences réglementaires ou à d’autres exigences de conformité, notamment des recommandations spécifiques qui vous obligent à appliquer des stratégies divergeant de ces configurations recommandées. Ces configurations recommandent des contrôles d’utilisation qui n’étaient pas disponibles jusqu’ici. Nous vous recommandons ces contrôles, car nous pensons qu’ils offrent un bon équilibre entre sécurité et productivité.

Nous avons fait de notre mieux pour tenir compte d’un large éventail d’exigences de protection au niveau organisationnel, mais nous ne pouvons pas prendre en compte toutes les exigences possibles ou de tous les aspects uniques de votre organisation.

Trois niveaux de protection

La plupart des organisations ont des conditions spécifiques relatives à la sécurité et à la protection des données. Ces exigences varient selon le secteur et les fonctions au sein des organisations. Par exemple, votre service juridique et les administrateurs peuvent demander une sécurité supplémentaire et des contrôles de protection des informations pour leur correspondance par e-mail, qui ne sont pas requis pour d’autres unités commerciales.

Chaque secteur possède également son propre ensemble de réglementations spécialisées. Nous n’essayons pas de fournir une liste de toutes les options de sécurité possibles ou une recommandation par secteur d’activité ou fonction professionnelle. Au lieu de cela, nous proposons des recommandations sur trois niveaux de sécurité et de protection que vous pouvez appliquer en fonction de la granularité de vos besoins.

  • Point de départ : nous recommandons à tous les clients d’établir et d’utiliser une norme minimale pour la protection des données, ainsi que pour les identités et les appareils qui accèdent à vos données. Vous pouvez suivre ces recommandations pour fournir une protection par défaut forte comme point de départ pour toutes les organisations.
  • Entreprise : certains clients disposent d’un sous-ensemble de données nécessitant une protection à des niveaux supérieurs ou exigent que toutes leurs données soient protégées à un niveau supérieur. Vous pouvez appliquer une protection renforcée à tous les jeux de données ou à certains d’entre eux dans votre environnement Microsoft 365. Nous vous recommandons de protéger les identités et les appareils accédant aux données sensibles avec des niveaux de sécurité comparables.
  • Sécurité spécialisée : au besoin, certains clients disposent d’une petite quantité de données hautement classifiées, réglementées ou représentant des secrets commerciaux. Microsoft fournit des fonctionnalités pour aider ces clients à respecter ces exigences, y compris une protection renforcée des appareils et des identités.

Capture d’écran du cône Sécurité montrant la plage de clients.

Ce guide vous montre comment implémenter la protection Confiance Zéro pour les identités et les appareils dans chacun de ces niveaux de protection. Utilisez ces conseils comme configuration minimale pour votre organisation et ajustez les stratégies pour répondre aux besoins spécifiques de votre organisation.

Il est important d’utiliser des niveaux de protection cohérents pour vos identités, appareils et données. Par exemple, la protection des utilisateurs disposant de comptes prioritaires (cadres, dirigeants, managers, etc.) doit inclure le même niveau de protection pour leur identité, leurs appareils et les données auxquelles ils accèdent.

Consultez également la solution Déployer la protection des informations pour les réglementations sur la confidentialité des données afin de protéger les informations stockées dans Microsoft 365.

Compromis entre sécurité et productivité

L’implémentation d’une stratégie de sécurité nécessite des compromis entre sécurité et productivité. Il est utile d’évaluer la façon dont chaque décision affecte l’équilibre entre sécurité, fonctionnalité et facilité d’utilisation.

Triade relative à la sécurité montrant l’équilibre entre sécurité, fonctionnalité et facilité d’utilisation

Les recommandations fournies sont basées sur les principes suivants :

  • Connaître ses utilisateurs et être flexible face à leurs exigences en matière de sécurité et de fonctionnalités.
  • Appliquer une stratégie de sécurité juste à temps et s’assurer de sa pertinence.

Services et concepts de la protection de l’accès aux identités et aux appareils Confiance Zéro

Microsoft 365 Entreprise est conçu pour les grandes organisations afin de favoriser la créativité des employés et la collaboration en toute sécurité.

Cette section fournit une vue d’ensemble des services et fonctionnalités de Microsoft 365 qui jouent un rôle important dans l’accès aux identités et aux appareils Confiance Zéro.

Microsoft Entra ID

Microsoft Entra ID fournit une suite complète de fonctionnalités de gestion des identités. Nous vous recommandons d’utiliser ces fonctionnalités pour sécuriser l’accès.

Fonctionnalités Description Gestion des licences
Authentification multifacteur (MFA) L’authentification multifacteur exige que les utilisateurs fournissent deux formes de vérification, telles qu’un mot de passe utilisateur et une notification de l’application Microsoft Authenticator ou un appel téléphonique. L’authentification multifacteur réduit considérablement le risque que des informations d’identification volées puissent être utilisées pour accéder à votre environnement. Microsoft 365 utilise le service d’authentification multifacteur Microsoft Entra pour les connexions basées sur l’authentification multifacteur. Microsoft 365 E3 ou E5
Accès conditionnel Microsoft Entra ID évalue les conditions de connexion de l’utilisateur et utilise des stratégies d’accès conditionnel pour déterminer l’accès autorisé. Par exemple, dans cette aide, nous vous montrons comment créer une stratégie d’accès conditionnel afin d’exiger la conformité de l’appareil pour l’accès aux données sensibles. Cela réduit considérablement le risque qu’un pirate utilisant son propre appareil et des informations d’identification volées puissent accéder à vos données sensibles. Cet accès protège également les données sensibles sur les appareils, car ceux-ci doivent répondre à des spécifications d’intégrité et de sécurité spécifiques. Microsoft 365 E3 ou E5
Groupes Microsoft Entra Les stratégies d’accès conditionnel, la gestion des appareils avec Intune et même les autorisations sur les fichiers et sites de votre organisation reposent sur l’affectation à des comptes d’utilisateur ou à des groupes Microsoft Entra. Nous vous recommandons de créer des groupes Microsoft Entra correspondant aux niveaux de protection que vous implémentez. Par exemple, les dirigeants constituent probablement des cibles de plus grande valeur pour des pirates informatiques. Il est donc judicieux d’ajouter les comptes d’utilisateur de ces employés à un groupe Microsoft Entra et d’affecter ce groupe à des stratégies d’accès conditionnel et d’autres stratégies qui appliquent un niveau de protection de l’accès plus élevé. Microsoft 365 E3 ou E5
Inscription de l’appareil Pour créer une identité pour un appareil, vous inscrivez l’appareil dans Microsoft Entra ID. Cette identité est utilisée pour authentifier l’appareil lorsqu’un utilisateur se connecte et applique des stratégies d’accès conditionnel qui nécessitent des PC joints à un domaine ou conformes. Dans le cadre de cette aide, nous utilisons l’inscription d’appareils pour inscrire automatiquement des ordinateurs Windows joints à un domaine. L’inscription d’appareils est un prérequis pour la gestion des appareils avec Intune. Microsoft 365 E3 ou E5
Microsoft Entra ID Protection Vous permet de détecter des vulnérabilités potentielles affectant les identités de votre organisation et de configurer une stratégie de correction automatique pour le risque faible, moyen et élevé concernant la connexion et l’utilisateur. Cette aide s’appuie sur cette évaluation des risques pour appliquer des stratégies d’accès conditionnel pour l’authentification multifacteur. Cette aide inclut également une stratégie d’accès conditionnel qui oblige les utilisateurs à modifier leur mot de passe si une activité à haut risque est détectée pour leur compte. Licences Microsoft 365 E5, Microsoft 365 E3 avec le module complémentaire Sécurité E5, EMS E5 ou Microsoft Entra ID P2
Réinitialisation de mot de passe en libre-service (SSPR) Permet à vos utilisateurs de réinitialiser leur mot de passe de manière sécurisée sans intervention du support technique grâce à la vérification de plusieurs méthodes d’authentification que l’administrateur peut contrôler. Microsoft 365 E3 ou E5
Protection par mot de passe Microsoft Entra Détecte et bloque les mots de passe faibles connus et leurs variantes ainsi que d’autres termes faibles propres à votre organisation. Les listes globales des mots de passe interdits par défaut sont appliquées automatiquement à tous les utilisateurs d’un locataire Microsoft Entra. Vous pouvez définir des entrées supplémentaires dans une liste de mots de passe interdits personnalisés. Lorsque les utilisateurs modifient ou réinitialisent leurs mots de passe, ces listes de mots de passe interdits sont vérifiées pour imposer l’utilisation de mots de passe forts. Microsoft 365 E3 ou E5

Voici les composants de l’accès aux identités et aux appareils Confiance Zéro, y compris les différents objets, paramètres et sous-services d’Intune et de Microsoft Entra.

Composants de l’accès aux identités et aux appareils Confiance Zéro

Microsoft Intune

Intune est le service de gestion des appareils mobiles basé sur le cloud de Microsoft. Cette aide recommande la gestion des appareils des PC Windows avec Intune ainsi que des configurations de stratégie de conformité des appareils. Intune détermine si les appareils sont conformes et envoie ces données à Microsoft Entra ID qui s’en sert lors de l’application de stratégies d’accès conditionnel.

Intune App Protection

Vous pouvez utiliser des stratégies de protection d’application Intune pour protéger les données de votre organisation dans les applications mobiles, que les appareils soient inscrits ou non au service de gestion. Intune contribue à protéger les informations, à maintenir le niveau de productivité de vos employés et à empêcher la perte de données. Par la mise en œuvre de stratégies au niveau de l’application, vous pouvez restreindre l’accès aux ressources d’entreprise et conserver les données sous le contrôle de votre service informatique.

Cette aide vous montre comment créer des stratégies recommandées pour appliquer l’utilisation d’applications approuvées et déterminer comment utiliser ces applications avec vos données métier.

Microsoft 365

Cette aide vous montre comment implémenter un ensemble de stratégies pour protéger l’accès aux services cloud Microsoft 365, notamment Microsoft Teams, Exchange, SharePoint et OneDrive. Outre l’implémentation de ces stratégies, nous vous recommandons également de renforcer le niveau de protection de votre locataire à l’aide des ressources suivantes :

Windows 11 ou Windows 10 avec Microsoft 365 Apps for enterprise

Windows 11 ou Windows 10 avec Microsoft 365 Apps for enterprise est l’environnement client recommandé pour les PC. Nous recommandons Windows 11 ou Windows 10, car Microsoft Entra est conçu pour fournir l’expérience d’authentification unique à la fois en local et avec Microsoft Entra ID. Windows 11 ou Windows 10 inclut également des fonctionnalités de sécurité avancées que vous pouvez gérer par le biais d’Intune. Microsoft 365 Apps for enterprise inclut les dernières versions des applications Office. Ces applications utilisent l’authentification moderne, qui est plus sécurisée et obligatoire pour l’accès conditionnel. Ces applications incluent également des outils de conformité et de sécurité améliorés.

Application de ces fonctionnalités aux trois niveaux de protection

Le tableau suivant résume nos recommandations relatives à l’utilisation de ces fonctionnalités pour les trois niveaux de protection.

Mécanisme de protection Point de départ Enterprise Sécurité spécialisée
Authentification multifacteur Risque de connexion moyen ou plus élevé Risque de connexion faible ou plus élevé Toutes les nouvelles sessions
Appliquer la modification du mot de passe Pour les utilisateurs à haut risque Pour les utilisateurs à haut risque Pour les utilisateurs à haut risque
Appliquer la protection des applications Intune Oui Oui Oui
Appliquer l’inscription Intune pour les appareils appartenant à l’organisation Exiger un PC conforme ou joint à un domaine, mais autoriser les téléphones et tablettes via BYOD (Apportez votre propre appareil) Exiger un appareil conforme ou joint à un domaine Exiger un appareil conforme ou joint à un domaine

Propriété des appareils

Le tableau ci-dessus reflète la tendance de nombreuses organisations à prendre en charge une combinaison d’appareils appartenant à l’organisation et d’appareils personnels ou BYOD pour favoriser la productivité mobile de tous les employés. Les stratégies de protection des applications Intune garantissent que les e-mails ne peuvent pas être exfiltrés de l’application mobile Outlook ni d’autres applications mobiles Office, que ce soit sur les appareils appartenant à l’organisation ou BYOD.

Il est recommandé que les appareils appartenant à l’organisation soient gérés par Intune ou joints à un domaine pour permettre l’application de protections et de contrôles supplémentaires. Selon la sensibilité des données, votre organisation peut choisir de ne pas autoriser les appareils BYOD pour des types d’utilisateurs ou des applications spécifiques.

Déploiement et applications

Avant de configurer et de déployer la configuration de l’accès aux identités et aux appareils Confiance Zéro pour vos applications intégrées à Microsoft Entra, vous devez :

  • Déterminer les applications qui sont utilisées dans votre organisation et que vous souhaitez protéger.

  • Analyser cette liste d’applications pour déterminer les ensembles de stratégies qui fournissent les niveaux de protection appropriés.

    Vous ne devez pas créer d’ensembles de stratégies distincts pour chaque application, car leur gestion peut devenir fastidieuse. Microsoft vous recommande de regrouper les applications ayant les mêmes exigences de protection pour les mêmes utilisateurs.

    Par exemple, créez un ensemble de stratégies incluant toutes les applications Microsoft 365 pour tous les utilisateurs dans le cadre de la protection « point de départ ». Créez un deuxième ensemble de stratégies pour toutes les applications sensibles, telles que celles utilisées par le service des ressources humaines ou le service financier, et les appliquer à ces groupes.

Une fois que vous avez déterminé l’ensemble de stratégies pour les applications que vous souhaitez sécuriser, déployez les stratégies sur les utilisateurs de manière incrémentielle, en traitant les problèmes en cours de route. Par exemple :

  1. Configurez les stratégies que vous comptez utiliser pour toutes les applications Microsoft 365.
  2. Ajoutez simplement Exchange avec les modifications requises, déployez les stratégies sur les utilisateurs et résolvez les éventuels problèmes.
  3. Ajoutez Teams avec les modifications requises, déployez les stratégies sur les utilisateurs et résolvez les éventuels problèmes.
  4. Ajoutez SharePoint avec les modifications requises, déployez les stratégies sur les utilisateurs et résolvez les éventuels problèmes.
  5. Ajoutez les applications restantes jusqu’à ce que vous puissiez configurer en toute confiance ces stratégies de point de départ en incluant toutes les applications Microsoft 365.

De même, pour vos applications sensibles, créez l’ensemble de stratégies et ajoutez une application à la fois. Résolvez les éventuels problèmes jusqu’à ce que tout soit inclus dans l’ensemble de stratégies pour applications sensibles.

Microsoft vous recommande de ne pas créer d’ensembles de stratégies qui s’appliquent à toutes les applications, car cela peut entraîner des configurations inattendues. Par exemple, des stratégies qui bloquent toutes les applications peuvent empêcher vos administrateurs d’accéder au centre d’administration Microsoft Entra et les exclusions ne peuvent pas être configurées pour des points de terminaison importants tels que Microsoft Graph.

Étapes pour configurer l’accès aux identités et aux appareils Confiance Zéro

Étapes à suivre pour configurer l’accès aux identités et aux appareils Confiance Zéro

  1. Configurez les fonctionnalités d’identité requises et leurs paramètres.
  2. Configurez les stratégies courantes d’accès conditionnel pour les identités et les accès.
  3. Configurez les stratégies d’accès conditionnel pour les invités et les utilisateurs externes.
  4. Configurez des stratégies d’accès conditionnel pour des applications cloud Microsoft 365, comme Microsoft Teams, Exchange et SharePoint, ainsi que des stratégies Microsoft Defender for Cloud Apps.

Une fois que vous avez configuré l’accès aux identités et aux appareils Confiance Zéro, consultez le guide de déploiement des fonctionnalités Microsoft Entra pour obtenir une liste de contrôle progressive des fonctionnalités supplémentaires à prendre en compte et Gouvernance Microsoft Entra ID pour protéger, monitorer et auditer les accès.

Étape suivante

Prérequis à respecter pour implémenter des stratégies d’accès aux identités et aux appareils Confiance Zéro