Retour d’expérience surle monitoring et lasécurisation des identités Azure

Maxime RASTELLO

IT & Cloud Architect

Microsoft MVP – Enterprise Mobility

Mickaël LOPES

IT & Cloud Consultant

Microsoft MVP – Cloud & Datacenter

Management

Sécurisez avant de synchroniser• Azure AD Connect : les bonnes pratiques

Affinez votre délégation de droits• Role-Based Access Control (RBAC)• Azure AD Administrative Units

Monitorez et sécurisez vos identités Cloud• Rapports avancés & Audit• Azure AD Identity Protection• Azure AD Privileged Identity Management

AgendaC’est parti !

N° 3

Sécurisez avant de synchroniser

Les éditions d’Azure Active Directory

N° 5

Fonctionnalités Free Basic Premium P1 Premium P2 Office 365

Commun

Objets Active Directory 500 000 Illimité Illimité Illimité Illimité

SSO avec les applications SaaS 10 / utilisateur 10 / utilisateur Illimité Illimité 10 / utilisateur

Gestion des utilisateurs, provisionning, enregistrement d’appareils ✓ ✓ ✓ ✓ ✓

Synchronisation d’annuaire avec Azure AD Connect ✓ ✓ ✓ ✓ ✓

Modification du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓ ✓ ✓

Rapports de sécurité / d’utilisation 3 rapports 3 rapports Avancés Avancés 3 rapports

Basic

Gestion / provisionning des utilisateurs basés sur les groupes ✓ ✓ ✓

Réinitialisation du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓ ✓

Personnalisation des pages et portails ✓ ✓ ✓ ✓

Azure App Proxy ✓ ✓ ✓

SLA 99,9% ✓ ✓ ✓ ✓

Premium

Réinitialisation / modification du mot de passe en self-service pour les utilisateurs AD ✓ ✓

Gestion des groupes en self-service pour les utilisateurs cloud / groupes dynamiques ✓ ✓

Administrative Units ✓ ✓

Multi-Factor Authentication cloud (Azure MFA) & on-premises (MFA Server) ✓ ✓ Cloud uniquement

Connect Health ✓ ✓

Cloud App Discovery ✓ ✓

Azure AD Identity Protection / Azure AD Privileged Identity Management ✓

N° 6

On-premises

AAD Connect

Azure Active Directory

Dans le cloud…

Rapports

Identity Protection

Privileged Identity

Management

Admin Units

Bientôt

• Où placer le serveur Azure AD Connect ?

Sur un serveur dédié !

• Faut-il le mettre en DMZ ?

Pas nécessaire. Seuls des flux sortants vers Azure sont utilisés.

• Comment rendre l’infrastructure hautement disponible ?

Depuis la v1.0.8641.0, introduction du « staging mode »

• Comment sécuriser le serveur ?

Restriction des droits, restriction de la surface d’attaque

• Comment limiter les informations synchronisées ?

Filtrage par attributs possible. Certains sont néanmoins obligatoires

Azure AD ConnectLes interrogations récurrentes

N° 7

• Azure AD Connect fonctionne sur des serveurs FIPS-Compliant

A partir de la version 1.1.189.0

• Compte de service Active Directory / Azure Active Directory

Ne pas lui mettre de permissions Domain Admin / Global Admin

• Les mots de passe sont-ils synchronisés en clair ?

Non !

1. Les MDP sont stockés dans l’AD sous la forme d’un hash MD5

2. Ils sont en plus hashés en SHA256 par Azure AD Connect

3. Les hashs sont synchronisés, puis déchiffrés dans Azure

Azure AD ConnectLes autres points d’attention

N° 8

Affinez votre délégation de droits

Helpdesk AdministratorService Support AdministratorBilling AdministratorPartner Tier1 SupportPartner Tier2 SupportDirectory Readers (legacy)Exchange Service AdministratorLync Service AdministratorUser Account AdministratorDirectory Writers (legacy)Company AdministratorSharePoint Service AdministratorDevice UsersDevice AdministratorsDevice Join

Workplace Device JoinCompliance AdministratorDirectory Synchronization AccountsDevice ManagersApplication AdministratorApplication DeveloperSecurity ReaderSecurity AdministratorPrivileged Role AdministratorIntune Service AdministratorApplication Proxy Service AdministratorCustomer LockBox Access ApproverCRM Service AdministratorPower BI Service Administrator

Role-Based Access ControlQuelques rôles par défaut

N° 10

General

Availability

Nouveau portail uniquementNe pas utiliser

PowerShell + nouveau portail

PowerShell ou appli dédiée

Security Reader• Lecture des rapports Identity Protection• Lectures des rapports Privileged Identity

Management• Accès à Office 365 Service Health• Accès à Office 365 Security & Compliance Center

Security Administrator• Mêmes droits que Security Reader• En plus : Administration de ces services

Company Administrator• Même chose que Global administrator• Seul habilité à attribuer d’autres permissions admin

Service Support Administrator• Monitorer l’état du service Azure• Gérer les Service Requests

HelpDesk Administrator• Monitorer l’état du service Azure• Gérer les Service Requests• Réinitialiser les mots de passe

User Account Administrator• Monitorer l’état du service Azure• Gérer les Service Requests• Réinitialiser les mots de passe (limité à certains rôles)• Administrer les utilisateurs / groupes

Application Administrator• Gérer les applications Saas et Web App Proxy

Web App Proxy Administrator• Ne gérer que les applications Web App Proxy

Bientôt : un rôle admin par application !

Role-Based Access ControlIl faut les utiliser !

N° 11

General

Availability

Administrative UnitsLe retour de la part de nombreux clients

N° 12

Constat

• Manque de granularité dans les droits d’administration

• Les droits dans l’ancien et le nouveau portail sont différents

Besoin

• Retranscrire la hiérarchie des permissions admin AD dans Azure AD

• Limiter des champs d’actions des administrateurs

• Restriction des droits sur certains utilisateurs VIP

Preview

Administrative UnitsLa réponse de Microsoft

N° 13

Groupe RBAC : User Account AdministratorAzure AD Directory

US Users

UK Users

FR Users

US UA Admin

UK UA Admin

FR UA Admin

Preview

Demo

Types de membres

• Utilisateurs uniquement

Roadmap : groupes dans une future release

Rôles attribuables à une Admin Unit

• User Account Administrator

• HelpDesk Administrator

Roadmap : d’autres rôles seront pris en charge en Preview 2

Administration

• Uniquement en PowerShell

• Roadmap : intégration dans le nouveau portail à venir (TBD)

Administrative UnitsLes limitations de la Preview

N° 15

Preview

Monitorez et sécurisez vosidentités Cloud

Dans l’ancien portail

• Tous les logs sont centralisés

Limitations

• Rapports uniquement sur les 30 derniers jours

N’oubliez pas d’exporter vos rapports (PowerShell ou Microsoft Graph)

Rapports avancésLes points d’attention

N° 17

General

Availability

Dans le nouveau portail

• Les rapports sont éclatés entre plusieurs interfaces

o Users and groups

o Enterprise applications

Limitations

• Rapports uniquement sur les 30 derniers jours

N’oubliez pas d’exporter vos rapports (PowerShell ou Microsoft Graph)

Azure AD ReportingLes points d’attention

N° 18

Preview

Demo

L’accès aux applications SaaS avec AzureLe retour de nombreux clients

N° 20

Constat

• Mes utilisateurs peuvent se connecter depuis n’importe quel endroit

• Tous mes utilisateurs ne sont pas forcément enrollés dans le MFA

• La prévention et la remédiation des risques se fait manuellement (via les rapports)

Besoin

• Comment mettre en place une politique de conformité des accès ?

• Comment être sûr que mes utilisateurs utilisent MFA ?

• Comment prendre des actions préventives en cas d’activité suspecte ?

General

Availability

Surveillez les activités suspectes de vos utilisateurs

• Logins à des endroits différents en un cours laps de temps

• Pas de MFA d’activé sur le compte

• Identifiants « leakés » sur le Dark Web

• Connexion via des proxies anonymes (Tor…)

Lancez des actions préventives sur les comptes à risque

• Forcer l’enregistrement au MFA

• Forcer l’utilisation du MFA pour la connexion

• Forcer le changement du mot de passe

Azure AD Identity ProtectionLes fonctionnalités

N° 21

General

Availability

Demo

Les droits administrateurs dans AzureLe retour de nombreux clients

N° 23

Constat

• Les permissions sont attribuées de manière définitive

• Beaucoup de personnes ont des droits administrateurs

• Beaucoup d’utilisateurs ont des droits trop élevés ou superflus

Besoin

• Comment monitorer les permissions admin ?

• Comment limiter les risques liés à un vol d’identité ?

• Comment limiter le temps d’attribution d’un droit admin ?

General

Availability

Monitorez les permissions administrateur

• Identifiez les utilisateurs ayant des rôles RBAC admin

• Visualisez les attributions de droits admin en dehors de PIM

Limitez l’impact de ces permissions

• Attribuez des permissions admin temporaires (entre 30min et 72h)

• Gérez le délai d’expiration des droits admin pour chaque rôle RBAC

• Vérifier l’identité de l’administrateur avant utilisation de ses droits (MFA)

Notion d’administrateurs éligibles pour un rôle RBAC donné

Azure AD Privileged Identity ManagementLes fonctionnalités

N° 24

General

Availability

Arrivée d’un prestataire dans l’équipe Collaboration

Avant

1. Création du compte + synchronisation

2. Attribution des permissions admin (manuellement ou par script)

Après

1. Création du compte + synchronisation

2. Mise à disposition d’un rôle admin (l’utilisateur est éligible pour le rôle)

3. L’utilisateur active son rôle via MFA quand il en a besoin

Azure AD Privileged Identity ManagementCas d’usage

N° 25

General

Availability

Demo

Gestion des rôles

• Droits temporaires uniquement sur des utilisateurs (pas de groupes)

• L’utilisateur reste éligible même après expiration de son droit d’accès

Azure AD Privileged Identity ManagementLimitations actuelles

N° 27

General

Availability

N° 28

@microsoftfrance @Technet_France @msdev_fr

N° 29

N° 30