Les politiques d'accès conditionnel sont essentielles pour sécuriser Microsoft Teams et des ressources en nuage. Voici ce qu'il faut savoir :
- Mettre en place l'AMF pour tout le monde
- Bloquer les anciennes méthodes d'authentification
- Vérifier l'état de l'appareil
- Créer des règles basées sur la localisation
- Utiliser des règles de connexion basées sur le risque
- Contrôler les sessions des utilisateurs
- Définir des règles d'accès aux applications
- Tester et mettre à jour régulièrement les politiques
Points clés :
- L'AFM empêche 99,9% des piratages de comptes
- Les anciennes méthodes d'authentification multiplient par 10 le risque de piratage
- Microsoft a bloqué 4000 attaques de mots de passe par seconde en 2023
- Fixer le délai d'inactivité à 3 heures maximum
- Toujours tester les politiques avant de les appliquer
N'oubliez pas : équilibrez la sécurité et la facilité d'utilisation. Trop strict ? Les gens ne peuvent pas travailler. Trop laxiste ? Vous êtes vulnérable.
| Pratique | Pourquoi c'est important |
|---|---|
| MFA | Empêche la plupart des piratages de comptes |
| Bloquer l'ancienne authentification | Réduction des risques de sécurité |
| Santé de l'appareil | Veille à ce que seuls les appareils de confiance se connectent |
| Règles de localisation | Contrôle de l'accès en fonction de la localisation de l'utilisateur |
| Règles fondées sur le risque | S'adapte aux comportements suspects |
| Contrôle de la session | Gestion de la durée de la connexion et des actions de l'utilisateur |
| Accès à l'application | Limite les applications que les utilisateurs peuvent utiliser |
| Essais | Empêche les verrouillages accidentels |
L'accès conditionnel nécessite une licence Azure AD Premium P1.
Vidéo connexe de YouTube
1. Configurer l'AMF pour tout le monde
L'authentification multifactorielle (MFA) est votre super-héros de la sécurité. C'est comme avoir un videur à l'entrée de votre soirée Microsoft Teams.
Configuration des règles d'AMF
Vous souhaitez mettre en place l'AMF pour l'ensemble de votre équipe ? C'est plus simple que vous ne le pensez. Voici la marche à suivre :
- Créez un groupe de sécurité avec tous vos utilisateurs.
- Configurer les méthodes d'authentification dans Azure Active Directory.
- Créer une politique d'accès conditionnel.
Voici les détails :
1. Créer un groupe de sécurité
Regroupez tous vos utilisateurs dans un seul groupe. Il s'agit de la liste VIP de l'AMF.
2. Configurer les méthodes d'authentification
Allez dans Azure Active Directory > Security > Authentication methods. Choisissez votre poison (les méthodes d'authentification). N'oubliez pas : Les téléphones de bureau et les courriels sont interdits pour l'authentification primaire dans Azure.
3. Créer la politique d'accès conditionnel
Allez dans Azure Active Directory > Security > Conditional Access. Créez une nouvelle politique comme celle-ci :
| Paramètres | Configuration |
|---|---|
| Utilisateurs et groupes | Votre groupe de sécurité pour tous les utilisateurs |
| Applications ou actions dans le nuage | Toutes les applications en nuage |
| Conditions | Tous les appareils, tous les lieux, toutes les applications clients |
| Accorder l'accès | Exiger une authentification multifactorielle |
Conseil de pro : testez toujours avec un cobaye (je veux dire, un utilisateur test) avant de lâcher l'AFM sur tout le monde.
Configuration de l'accès d'urgence
Même les super-héros ont besoin d'un plan de secours. Il s'agit des comptes d'accès d'urgence.
Voici comment les mettre en place :
- Créez au moins un compte "bris de glace".
- Ne pas utiliser d'AMF.
- Utilisez un mot de passe plus long que Guerre et Paix.
- Configurer plusieurs clés FIDO2.
- Testez tout tous les 90 jours.
Créez des alertes Azure pour signaler toute utilisation de ce compte. C'est votre bat-signal numérique.
Gestion des comptes de service
Certains comptes sont comme des robots : ils ne peuvent pas utiliser l'AFM. Voici comment traiter ces flocons de neige particuliers :
- Rassemblez tous vos comptes de service.
- Créez une politique d'accès conditionnel distincte pour eux.
- Utiliser d'autres astuces de sécurité telles que les restrictions d'IP ou la conformité des appareils.
N'oubliez pas que la sécurité est comme un oignon - elle a des couches. Même si ces comptes ne peuvent pas utiliser l'AMF, vous pouvez toujours les entourer d'autres mesures de protection.
Comme l'équipe de sécurité de Microsoft aime à le dire, "Assumez la violation". En mettant en place le MFA pour tout le monde, en créant des comptes d'accès d'urgence et en gérant les comptes de service, vous construisez une forteresse autour de votre environnement Teams.
2. Arrêter les anciennes méthodes d'authentification
Les anciennes méthodes d'authentification sont comme une porte d'entrée non verrouillée. Elles invitent les cybercriminels à entrer. Il faut y remédier.
Retrouver les anciennes méthodes de connexion
Tout d'abord, nous devons trouver ces protocoles d'authentification obsolètes :
- Vérifier les journaux de connexion à Azure AD pour les tentatives d'authentification anciennes
- Voir Azure AD Connect Health pour AD FS
- Utiliser des scripts PowerShell pour trouver les applications qui utilisent encore l'authentification de base
Voici un fait effrayant : les données de Microsoft montrent que si vous utilisez l'authentification traditionnelle, vous avez dix fois plus de chances d'être piraté. C'est effrayant.
Comment bloquer les anciennes méthodes
Maintenant que nous avons trouvé le problème, nous allons le résoudre :
1. Créer une politique d'accès conditionnel
Mettez en place une politique pour bloquer l'authentification traditionnelle. Voici un guide rapide :
| Paramètres | Configuration |
|---|---|
| Utilisateurs et groupes | Tous les utilisateurs |
| Applications ou actions dans le nuage | Toutes les applications en nuage |
| Conditions | Applications clients : Autres clients |
| Contrôles d'accès | Bloquer l'accès |
2. Activer les valeurs par défaut de la sécurité
Si vous êtes une petite organisation, activez les paramètres de sécurité par défaut dans Azure AD. C'est un moyen rapide de bloquer l'authentification traditionnelle et de forcer le MFA.
3. Utiliser les politiques d'authentification dans Exchange Online
Si vous utilisez Exchange Online, définissez des règles d'authentification pour bloquer l'authentification de base pour des protocoles spécifiques.
Réduire les risques de sécurité
Bloquer les anciennes méthodes ne se résume pas à appuyer sur un bouton. Il faut le faire en douceur :
- Commencez modestement, puis passez à la vitesse supérieure. Microsoft conseille de le faire en 4 à 6 semaines.
- Expliquez à vos utilisateurs ce qui change et pourquoi. Donnez-leur des instructions claires.
- Surveillez les tickets du service d'assistance et les commentaires des utilisateurs. Soyez prêt à aider rapidement.
- Avant de l'appliquer pleinement, utilisez le mode "rapport seul" pour voir ce qui pourrait se passer.
Suivi des tentatives de connexion bloquées
Gardez un œil sur les tentatives bloquées :
- Utilisez les journaux de connexion Azure AD pour savoir qui a essayé de se connecter, quand et comment.
- Mettre en place des tableaux de bord personnalisés dans Moniteur Azure pour voir les tentatives d'authentification au fil du temps.
- Si vous utilisez une solution SIEM, ajoutez les journaux Azure AD pour une analyse plus approfondie.
3. Vérifier l'état de la sécurité de l'appareil
La sécurité des appareils est le videur de vos équipes. Il ne s'agit pas seulement de savoir qui essaie d'entrer, mais aussi ce qu'il apporte avec lui.
Règles de sécurité des appareils
Considérez ces règles comme un code vestimentaire pour votre fête numérique :
- Système d'exploitation à jour
- Logiciel antivirus en cours d'exécution
- Cryptage activé
- Pas de jailbreaking ni de rooting
Paramètres pour chaque type d'appareil
Des règles différentes s'appliquent à des dispositifs différents. En voici un aperçu :
| Type d'appareil | Paramètres de sécurité des clés |
|---|---|
| iOS | Exiger un code d'accès, Activer les mises à jour automatiques, Restreindre l'installation d'applications |
| Android | Renforcer le verrouillage de l'écran, Activer Play Protect, Exiger le cryptage de l'appareil |
| Fenêtres | Activer BitLocker, Utiliser Windows Hello, Garder Windows Defender actif |
Travailler avec Intune
Microsoft Intune est votre portier numérique. Il vérifie les appareils à la porte et garde un œil sur eux à l'intérieur.
Pour le mettre en place :
1. Connecter Intune à Azure AD
2. Créer des politiques de conformité des appareils
3. Lier les politiques de conformité à l'accès conditionnel
Commencez par un groupe pilote avant de généraliser. C'est comme une ouverture en douceur de vos mesures de sécurité.
Vérification de l'état de l'appareil
La sécurisation des appareils est un travail permanent. Voici comment rester au top :
Utilisez le tableau de bord de conformité des appareils d'Intune pour obtenir une vue d'ensemble rapide. Configurez des alertes pour les appareils non conformes. Et n'oubliez pas de revoir et de mettre à jour vos politiques régulièrement.
La sécurité des appareils n'est pas une chose que l'on met en place et que l'on oublie. C'est un peu comme un jardin : il faut s'en occuper en permanence.
"La sécurité n'est pas une destination, c'est un voyage. - Satya Nadella, PDG de Microsoft
4. Configurer les règles de géolocalisation
Les règles de localisation dans Microsoft Teams sont comme des clôtures numériques. Elles contrôlent l'accès en fonction de l'endroit où les utilisateurs se connectent.
Ajout de lieux autorisés
Pour définir des lieux d'accès approuvés :
- Aller à la page Microsoft Entra ID centre administratif
- Naviguer vers Sécurité > Accès conditionnel > Emplacements désignés
- Cliquez sur "Nouveau lieu"
- Définissez vos plages d'adresses IP de confiance
L'équipe informatique de Microsoft utilise ce système pour limiter l'accès aux données sensibles à des bureaux spécifiques.
Définir les limites de l'emplacement
Pour créer des limites de localisation efficaces :
- Définir l'empreinte géographique de votre organisation
- Créer des lieux nommés pour chaque domaine
- Utilisez-les dans vos politiques d'accès conditionnel
Conseil de pro: Commencez par un champ d'application large, puis réduisez-le. Commencez par des restrictions au niveau du pays, puis affinez pour des régions ou des bureaux spécifiques.
Règles d'accès au réseau
Des règles différentes s'appliquent à des réseaux différents :
| Type de réseau | Niveau d'accès | Exemple de règle |
|---|---|---|
| Bureau de l'entreprise | Accès complet | Autoriser toutes les applications si la plage d'adresses IP correspond à celle du bureau |
| Réseau domestique | Accès limité | Exiger le MFA pour les applications sensibles |
| Wi-Fi public | Accès restreint | Bloquer l'accès aux données hautement sensibles |
Ces règles doivent correspondre à votre stratégie de sécurité globale.
Configuration de l'accès VPN
Pour un accès VPN sécurisé :
- Identifiez vos plages d'adresses IP VPN
- Ajoutez-les à vos lieux nommés dans Microsoft Entra ID
- Créer une politique d'accès conditionnel pour les utilisateurs VPN
Vous pouvez exiger l'AMF pour toutes les connexions VPN, quelle que soit la localisation de l'utilisateur.
"L'accès VPN devrait être traité comme une catégorie de localisation distincte. Il ne s'agit pas seulement de savoir où se trouve l'utilisateur, mais aussi comment il se connecte". - Alex Weinert, directeur de la sécurité des identités chez Microsoft
Les règles de géolocalisation ajoutent une couche supplémentaire à votre sécurité. Elles ne sont pas parfaites, mais elles réduisent le risque d'accès non autorisé.
5. Ajouter des règles de connexion basées sur les risques
Considérez les règles de connexion basées sur les risques comme une barrière intelligente pour votre Microsoft Teams. Elles repèrent les comportements suspects et ajustent les conditions d'entrée à la volée.
Vérification du risque pour l'utilisateur
Microsoft Entra ID Protection (anciennement Azure AD) est votre détective numérique. Il est toujours à l'affût des signes de compromission des comptes en vérifiant :
- Comportement inhabituel des utilisateurs
- Fuite d'informations d'identification
- Adresses IP suspectes
En 2023, Microsoft a bloqué 4 000 attaques de mots de passe par seconde. C'est pourquoi ces contrôles sont importants.
Vérifications des risques de connexion
Chaque tentative de connexion fait l'objet d'une évaluation des risques en temps réel. Voici une brève description des éléments qui déclenchent les différents niveaux de risque :
| Niveau de risque | Déclencheurs |
|---|---|
| Haut | IP anonyme, IP malveillante, propriétés de connexion inconnues |
| Moyen | Voyage atypique, Utilisation atypique des appareils |
| Faible | Spray pour mot de passe, Voyage impossible |
Guide des niveaux de risque
Considérez les niveaux de risque comme un feu de circulation :
- Faible: Procédez avec prudence
- Moyen: Ralentir et revérifier
- Haut: Arrêter et vérifier
Microsoft suggère d'utiliser le MFA pour les risques d'ouverture de session moyens ou élevés. Pour les risques élevés, il est recommandé de modifier le mot de passe en toute sécurité.
Réponse automatique aux risques
Vous pouvez mettre en place des réponses automatiques en fonction des différents niveaux de risque. Voici comment procéder :
1. Connectez-vous au centre d'administration de Microsoft Entra en tant qu'administrateur d'accès conditionnel.
2. Créez une nouvelle politique avec un nom clair (par exemple, "Politique d'ouverture de session à haut risque").
3. En dessous de Conditions > Risque de connexion, fixer Configurer à Oui et sélectionnez Haut et Moyen les niveaux de risque.
4. Pour Contrôles d'accès > Subvention, choisir Exiger une force d'authentification, puis choisir Authentification multifactorielle.
Voici un exemple concret :
| Niveau de risque | Action |
|---|---|
| Faible | Autoriser l'accès |
| Moyen | Exiger l'AMF |
| Haut | Bloquer l'accès et alerter le service informatique |
N'oubliez pas d'exclure vos comptes d'accès d'urgence pour éviter de vous bloquer.
"L'accès VPN devrait être traité comme une catégorie de localisation distincte. Il ne s'agit pas seulement de savoir où se trouve l'utilisateur, mais aussi comment il se connecte". - Alex Weinert, directeur de la sécurité des identités chez Microsoft
sbb-itb-8be0fd2
6. Contrôler les sessions des utilisateurs
La gestion des sessions utilisateur est un peu comme le videur numérique de votre environnement Microsoft Teams. Il s'agit d'assurer la sécurité de la fête sans en briser l'ambiance.
Limites de temps pour les sessions
Vous devez définir les bonnes limites de temps de session. Voici comment configurer le délai d'inactivité d'une session :
- Se rendre au centre d'administration de Microsoft 365
- Allez dans Org Settings > Security & privacy
- Cliquez sur "Délai d'inactivité de la session"
- Définir la période d'inactivité (viser 3 heures ou moins)
"L'expulsion des utilisateurs inactifs renforce la sécurité. C'est particulièrement pratique pour les appareils non surveillés qui peuvent se trouver dans un café." - Équipe de sécurité de Microsoft
Vous voulez plus de contrôle ? Utilisez l'accès conditionnel Azure AD pour définir la fréquence de connexion :
| Paramètres | Ce qu'il faut faire |
|---|---|
| Fréquence de connexion par défaut | Tous les 90 jours |
| Applications de haute sécurité | Une fois par jour |
| Dispositifs non gérés | Chaque session |
Règles de sécurité des applications
La sécurité des applications ne se limite pas aux délais d'attente. Il s'agit de contrôler ce que les utilisateurs peuvent faire lorsqu'ils sont connectés. Voici la configuration :
- Ouvrir le portail Azure
- Allez dans Microsoft Intune > Accès conditionnel > Politiques
- Élaborer une nouvelle politique
- Sous le contrôle d'accès "Session", choisissez "Utiliser les restrictions imposées par l'application"
Cela vous permet d'arrêter les téléchargements ou de limiter le copier-coller dans des applications spécifiques.
Règles de protection des données
Il est essentiel de protéger les données pendant les sessions actives. Voici ce qu'il faut faire :
| Mesure | Ce qu'il fait | Ce qu'il faut faire |
|---|---|---|
| Cryptage | Rend les données illisibles si quelqu'un s'en empare. | Activer pour toutes les sessions |
| Arrêter les captures d'écran | Captures d'écran des blocs | A utiliser pour les affaires sensibles |
| Limiter les téléchargements | Contrôle ce que les utilisateurs peuvent enregistrer | Utilisation sur des appareils non gérés |
Contrôles d'accès en temps réel
Les contrôles d'accès en temps réel sont comparables à un garde de sécurité super vigilant. Ils vérifient en permanence si un utilisateur devrait toujours avoir accès, même au cours d'une session active.
Pour le mettre en place :
- Dans Azure AD, créez une nouvelle politique d'accès conditionnel.
- Sous "Contrôles de la session", choisissez "Fréquence d'ouverture de session"
- Choisissez "Chaque fois"
Les utilisateurs devront ainsi prouver qu'ils devraient avoir accès à une ressource protégée chaque fois qu'ils essaieront de l'utiliser.
"Soyez prudent avec la réauthentification constante. Elle peut ennuyer les utilisateurs et ralentir les choses. Ne l'utilisez que lorsque c'est vraiment nécessaire. - Alex Weinert, responsable de la sécurité des identités chez Microsoft
7. Définir les règles d'accès aux applications
La gestion de l'accès aux applications dans Microsoft Teams est essentielle pour la sécurité et la productivité. Voici comment mettre en place des règles d'accès aux applications efficaces :
Sécurité de l'informatique en nuage
Pour renforcer la sécurité de votre application Teams dans le nuage :
- Activer l'intégration de Microsoft Entra ID (anciennement Azure AD)
- Créer des politiques d'accès conditionnel
- Configurer l'authentification multifactorielle (MFA) pour l'accès aux applications
Voici un guide rapide pour configurer une politique d'accès conditionnel pour Teams :
1. Se connecter au portail Azure
Allez dans Azure Active Directory > Security > Conditional Access.
2. Créer une nouvelle politique
Cliquez sur "Nouvelle politique" et donnez-lui un nom (par exemple, "Politique d'accès à l'application Teams").
3. Définir les conditions
Choisissez "Microsoft Teams" sous "Cloud apps". Choisissez vos conditions (groupes d'utilisateurs, lieux, appareils).
4. Définir les contrôles d'accès
Choisissez des contrôles tels que le MFA ou des dispositifs conformes.
Limites d'accès aux applications
Pour contrôler l'accès aux applications :
Utiliser le Centre d'administration Teams pour gérer les autorisations des applications. Créer des politiques personnalisées pour différents groupes d'utilisateurs. Contrôler l'installation d'applications tierces.
Voici un exemple de différentes politiques :
| Groupe d'utilisateurs | Applications Microsoft | Applications tierces | Applications personnalisées |
|---|---|---|---|
| Cadres | Tous autorisés | Liste approuvée uniquement | Autorisé |
| Personnel informatique | Tous autorisés | Tous autorisés | Autorisé |
| Général | Tous autorisés | Liste approuvée uniquement | Bloqué |
Contrôles externes des applications
Pour les applications non Microsoft :
Vérifiez les autorisations de chaque application avant de les approuver. Utilisez le consentement spécifique aux ressources (RSC) pour un contrôle plus précis. Vérifier régulièrement l'utilisation et les autorisations des applications.
"Le consentement spécifique aux ressources permet aux propriétaires d'équipe d'autoriser une application à accéder aux données de l'équipe ou à les modifier, ce qui réduit le nombre d'examens administratifs pour chaque demande d'application. - Équipe de sécurité de Microsoft
Règles d'accès aux modèles
Utilisez des modèles pour faciliter la gestion de l'accès aux applications :
Créez des modèles basés sur les rôles (comme "équipe marketing", "département financier"). Inclure des listes d'applications pré-approuvées dans chaque modèle. Utilisez le Créateur de modèles de collaboration de nBold pour automatiser cette opération.
La fonction de modèle de nBold vous aide :
- Mettre en place un accès cohérent aux applications au sein d'équipes similaires
- Automatiser la création de canaux grâce à des applications préapprouvées
- Appliquer les règles tout en permettant une certaine flexibilité
8. Testez vos politiques
Il est essentiel de tester les politiques d'accès conditionnel. Vous devez vous assurer qu'elles fonctionnent correctement sans perturber l'accès des utilisateurs. Voici comment tester et vérifier efficacement vos politiques.
Utilisation du mode test
Microsoft propose un outil intéressant appelé "What If" dans le centre d'administration de Microsoft Entra. Il vous permet de jouer des scénarios de connexion sans affecter les utilisateurs réels.
Pour utiliser What If :
- Se rendre au centre d'administration de Microsoft Entra
- Aller à Protection > Accès conditionnel > Politiques
- Cliquez sur "Et si" dans la barre d'outils
Vous pouvez saisir différents facteurs tels que l'utilisateur, l'application en nuage et les conditions d'accès pour voir ce qui se passe.
Guide des étapes du test
Voici comment mettre vos politiques à l'épreuve :
1. Commencer modestement
Créez un groupe AD appelé "CAP Test Group". Appliquez d'abord votre nouvelle politique à ce groupe.
2. Utiliser le mode rapport uniquement
Activez la politique en mode rapport uniquement. Cela vous permet de voir ce qu'elle fait sans l'appliquer réellement.
3. Essayer différents scénarios
Utilisez la fonction "Et si" pour tester différentes conditions. Par exemple :
| Scénario | Utilisateur | Localisation | Dispositif | Ce qui devrait se passer |
|---|---|---|---|---|
| Accès normal | john@contoso.com | Office IP | Géré | Autoriser |
| Accès à distance | jane@contoso.com | Home IP | Personnel | Exiger l'AMF |
| Signature à haut risque | admin@contoso.com | Inconnu IP | Non géré | Bloc |
4. Vérifier les journaux
Gardez un œil sur les journaux d'ouverture de session Azure AD pour vérifier que la stratégie fonctionne comme il se doit.
5. Développer lentement
Si tout se passe bien, ajoutez progressivement d'autres utilisateurs à la politique.
Vérification des effets de la politique
Pour voir comment vos politiques fonctionnent :
- Utilisez le mode rapport uniquement pour prévisualiser les effets de la politique sans les appliquer.
- Consultez l'onglet "Accès conditionnel" dans les journaux de connexion pour voir quelles politiques ont été appliquées et pourquoi.
- Utilisez la fonction "What If" pour générer des rapports sur la manière dont les politiques s'appliquent dans des situations spécifiques.
"L'option "What If" n'évalue pas les politiques basées sur les rapports uniquement. Assurez-vous d'activer celles que vous souhaitez tester." - Équipe de sécurité de Microsoft
Annuler les changements de politique
Si vous devez faire marche arrière :
- Conservez toujours une copie de sauvegarde de la configuration initiale de votre politique.
- Utilisez la fonction de retour en arrière d'Azure AD pour revenir à un état antérieur si vous le pouvez.
- Si nécessaire, passez la politique en mode rapport uniquement pour la désactiver temporairement.
Il est essentiel de procéder à des tests approfondis. Comme le dit Alex Weinert de l'équipe Identity Security de Microsoft :
"Si vous ne respectez pas la politique de blocage, vous risquez de bloquer tout le monde. Testez toujours soigneusement avant d'appliquer de nouvelles politiques"."
9. Maintenir les politiques à jour
Maintenir vos politiques d'accès conditionnel au meilleur niveau est un processus continu. Voici comment le faire correctement :
Guide des noms de politiques
Microsoft propose cette structure de dénomination :
------
Voici ce que signifie chaque partie :
| Composant | Exemples |
|---|---|
| Numéro CA | CA001-CA099 |
| Persona | Global, Administrateurs, Internes, Externes |
| Type de politique | BaseProtection, AppProtection, DataProtection |
| Application | AllApps, O365, EXO (Exchange Online) |
| Plate-forme | Toute plate-forme, Inconnu, WindowsPhone, macOS |
| Contrôle des subventions | Bloc, ADHJ, conforme, non géré |
Par exemple : "CA001-Admins-IdentityProtection-O365-AnyPlatform-MFA" vous indique qu'il s'agit d'une politique d'administration exigeant l'utilisation du MFA pour l'accès à Office 365.
Modifications de la politique d'enregistrement
Il n'est pas toujours facile de suivre les changements. Voici ce que vous pouvez faire :
- Utilisez les journaux d'audit Azure AD pour savoir qui a modifié quoi et quand.
- Configurez des alertes dans Log Analytics pour recevoir des notifications instantanées sur les changements de politique.
- Enregistrez les politiques sous forme de fichiers JSON et utilisez des outils de contrôle de version tels que Azure DevOps ou GitHub Actions.
"Si vous ne respectez pas la politique de blocage, vous risquez de bloquer tout le monde. Testez toujours soigneusement avant d'appliquer de nouvelles politiques". - Alex Weinert, équipe de Microsoft chargée de la sécurité des identités
Vérification du statut de la police
Ces quelques conseils vous permettront de maintenir vos politiques en bonne santé :
- Utilisez l'outil "What If" pour tester des scénarios sans affecter les utilisateurs réels.
- Vérifier les journaux de connexion pour détecter des blocages ou des subventions inattendus.
- Examiner les exclusions pour voir si des exclusions temporaires sont encore nécessaires.
- Utiliser des aperçus d'accès conditionnel et des classeurs de rapports pour comprendre l'impact des politiques.
Mises à jour régulières des politiques
Ne vous contentez pas de mettre en place et d'oublier vos politiques. Voici ce qu'il faut faire :
- Prévoir des examens trimestriels.
- Restez informé avec le blog de Microsoft sur la sécurité.
- Utilisez le mode rapport uniquement pour prévisualiser les modifications avant de les appliquer.
- Documenter la raison d'être de chaque politique et la date de sa dernière mise à jour.
De petites erreurs peuvent entraîner de gros problèmes. En mars 2021, une politique mal configurée dans une entreprise du Fortune 500 a bloqué 10 000 employés pendant 4 heures. Des contrôles réguliers auraient pu éviter cette situation.
Résumé
Les politiques d'accès conditionnel sont essentielles pour sécuriser Microsoft Teams et d'autres ressources en nuage. Elles sont comme des videurs numériques, qui décident qui peut entrer en fonction de différents facteurs. Voici ce que vous devez savoir :
1. Configurer l'AMF pour tout le monde
L'authentification multifactorielle est votre super-héros de la sécurité. Elle empêche 99,9% des piratages de comptes. Mais n'oubliez pas :
- Créer des comptes d'accès d'urgence qui ignorent l'AMF
- Traiter les comptes de service différemment
2. Abandonner les anciennes méthodes d'authentification
Anciennes méthodes d'authentification ? Risque important pour la sécurité. Vous avez 10 fois plus de chances de vous faire pirater si vous les utilisez. Bloquez-les avec l'accès conditionnel.
3. Vérifier l'état de santé de l'appareil
Ne laissez entrer que des appareils sains et fiables. Utilisez Microsoft Intune pour faire respecter cette règle.
4. L'emplacement est important
Mettre en place des barrières numériques :
| Où | Accès | Politique |
|---|---|---|
| Bureau | Automatisation | Autoriser tous les |
| Accueil | Limitée | L'AMF pour les affaires sensibles |
| Wi-Fi public | Restreint | Pas d'accès aux données top secrètes |
5. Utiliser des règles de connexion basées sur le risque
Azure AD Identity Protection repère les comportements douteux. En 2023, Microsoft a bloqué 4000 attaques de mots de passe par seconde. A suivre !
6. Contrôler les sessions des utilisateurs
Gérer la durée de la connexion et les actions de l'utilisateur. C'est ce que dit Microsoft : Fixer le délai d'inactivité à 3 heures maximum.
7. Définir les règles d'accès aux applications
Contrôlez quelles applications les utilisateurs peuvent utiliser et comment. Les modèles facilitent cette tâche.
8. Testez vos politiques
Testez toujours avant d'appliquer. Utilisez l'outil "What If" de Microsoft pour jouer des scénarios.
9. Maintenir les politiques à jour
Révision trimestrielle et mise à jour du blog de Microsoft sur la sécurité.
Alex Weinert, responsable de la sécurité de l'identité chez Microsoft, met en garde :
"Si vous ne respectez pas la politique de blocage, vous risquez de bloquer tout le monde. Testez toujours avec soin"."
Ces pratiques renforcent considérablement votre sécurité. Mais n'oubliez pas : équilibrez la sécurité et la convivialité. Trop stricte ? Les gens ne peuvent pas travailler. Trop laxiste ? Vous êtes vulnérable.
Une dernière chose : l'accès conditionnel nécessite une licence Azure AD Premium P1. Cela vaut la peine pour la sécurité que vous obtenez.
FAQ
Quel est le nombre minimum de politiques d'accès conditionnel à créer ?
On peut penser qu'il faut une politique par application. Mais voici ce qu'il en est :
Il est plus judicieux de créer une politique unique qui couvre toutes vos applications en nuage. Il suffit ensuite d'exclure les applications auxquelles vous ne souhaitez pas qu'elle s'applique.
Pourquoi ? Elle est plus facile à gérer et couvre automatiquement les nouvelles applications que vous ajoutez ultérieurement. De plus, Microsoft recommande cette approche :
"Du point de vue de la sécurité, il est préférable de créer une politique qui englobe toutes les applications en nuage, puis d'exclure les applications auxquelles vous ne voulez pas que la politique s'applique. - Microsoft Community Hub
Quels sont les deux éléments indispensables d'une politique d'accès conditionnel ?
Toute politique d'accès conditionnel a besoin de ces deux éléments :
- Un nom (assez évident, n'est-ce pas ?)
- Utilisateurs et/ou groupes auxquels il s'applique
Mais ne vous arrêtez pas là. Pour que vos politiques soient vraiment efficaces, pensez à les compléter :
- Applications en nuage : quelles applications protégez-vous ?
- Conditions : Quand la police doit-elle entrer en vigueur ?
- Contrôles d'accès : Que se passe-t-il lorsque les conditions sont remplies ?
Voici une brève analyse de la situation :
| Composant | Ce qu'il fait | Exemples |
|---|---|---|
| Applications en nuage | Définit les applications protégées | Applications Microsoft 365, Azure AD |
| Conditions | Définit les déclencheurs de la politique | Risque lié à l'utilisateur, risque lié à la connexion, type d'appareil |
| Contrôles d'accès | Détermine les actions | Exiger l'AMF, faire respecter la conformité des appareils |
English 
French