Politiques de sécurité et d'identité

Description

Cette politique vise à identifier les utilisateurs administratifs qui n'ont rencontré aucune politique d’accès conditionnel lors de leurs connexions réussies au cours des 30, 14 ou 7 derniers jours. L’objectif est de révéler d’éventuelles vulnérabilités et d’appliquer les mesures de sécurité nécessaires.

Impact sur votre tenant

Les comptes administratifs sans politiques d’accès conditionnel appliquées sont plus exposés à des vecteurs d’attaque sophistiqués. Cette négligence réduit la capacité de l’organisation à garantir un environnement d’accès sécurisé, ce qui peut entraîner des violations d’intégrité et des actions administratives non autorisées.

Action de remédiation

Planifier et envoyer le rapport à un destinataire personnalisé.

Paramètres configurables

• Saisir le destinataire de l’e-mail (adresse personnalisée)
• Envoyer un e-mail lorsque le rapport est vide, non vide ou toujours
• Envoyer au format Excel, CSV ou PDF
• Planifier la récurrence de l’action de remédiation

Description

Cette politique cible les utilisateurs administratifs à qui il n’a pas été demandé de compléter une authentification multifacteur (MFA) lors de leurs connexions réussies au cours des 30, 14 ou 7 derniers jours, conformément aux politiques d’accès conditionnel. L’objectif est de déceler d’éventuelles faiblesses de sécurité et de s’assurer que des pratiques d’authentification strictes sont appliquées. 

Impact sur votre tenant

Lorsque les comptes administratifs sont accessibles sans MFA, cela constitue une menace de sécurité majeure pour l’organisation. Ces comptes à privilèges élevés sont souvent ciblés par les attaquants qui, s’ils réussissent, peuvent modifier la configuration, exfiltrer des données ou perturber les services essentiels, compromettant gravement les opérations de l’entreprise.

Action de remédiation

Planifier et envoyer le rapport à un destinataire personnalisé.

Paramètres configurables

• Saisir le destinataire de l’e-mail (adresse personnalisée)
• Envoyer un e-mail lorsque le rapport est vide, non vide ou toujours
• Envoyer au format Excel, CSV ou PDF
• Planifier la récurrence de l’action de remédiation

Description

Cette politique identifie le nombre total d’administrateurs dans l’organisation.

Impact sur votre tenant

Un nombre excessivement élevé d’administrateurs dans l’organisation augmente considérablement le risque de potentielles failles de sécurité.

Action de remédiation

Planifier et envoyer le rapport à un destinataire personnalisé.

Paramètres configurables

• Saisir le destinataire de l’e-mail (adresse personnalisée)
• Envoyer un e-mail lorsque le rapport est vide, non vide ou toujours
• Envoyer au format Excel, CSV ou PDF
• Planifier la récurrence de l’action de remédiation

Description

Cette politique identifie les administrateurs cloud qui n’ont pas de politique de mot de passe fort appliquée à leur compte. 

Elle affiche le nom principal de l’utilisateur, confirme son statut de rôle administratif, indique le type de compte en tant qu’utilisateur cloud et met en évidence l’absence d’exigence de mot de passe fort pour ce compte. 

Cet outil favorise des pratiques de sécurité robustes en identifiant les comptes administrateurs potentiellement dépourvus d’exigences de mot de passe strictes dans l’environnement cloud.

Impact sur votre tenant

Les administrateurs sans mot de passe fort présentent un risque de sécurité important pour l’ensemble de l’organisation.

Action de remédiation

Exécuter l’action « Définir le mot de passe requis »

Paramètres configurables

• Planifier la récurrence de l’action de remédiation
• Activer/désactiver l’alerte e-mail en cas d’échec du flux de travail

Description

Cette politique vous aide à repérer rapidement les administrateurs cloud qui n’ont pas activé la sécurité supplémentaire via l’authentification multifacteur (MFA). 

Elle indique leur nom, leur rôle et leur responsable afin de faciliter la prise de contact et encourager le renforcement de la sécurité.

Impact sur votre tenant

Les administrateurs sans MFA sont davantage exposés au risque de compromission de compte, ce qui peut entraîner un accès non autorisé à des données et systèmes sensibles de l’entreprise.

Action de remédiation

1. Envoyer une attestation au responsable (ou à une adresse personnalisée)
2. Exécuter l’action « Gérer le MFA »

Paramètres configurables

• Modifier le destinataire de l’attestation
• Définir la durée de validité (min : 1 jour – max : 180 jours)
• Planifier la récurrence de l’action de remédiation
• Activer/désactiver l’alerte e-mail en cas d’échec du flux de travail

Description

Ce filtre affiche les administrateurs actifs dont les comptes ne sont pas bloqués et dont les mots de passe sont définis pour ne jamais expirer.

Impact sur votre tenant

Trop d’administrateurs avec un mot de passe sans expiration peut représenter un risque de sécurité, car ces comptes deviennent plus vulnérables avec le temps s’ils ne changent pas régulièrement leur mot de passe.

Action de remédiation

Désactiver l’option « Mot de passe sans expiration ».

Paramètres configurables

• Activer/désactiver l’alerte e-mail en cas d’échec du flux de travail
• Planifier la récurrence de l’action de remédiation

Description

Cette politique décrit la procédure pour identifier les administrateurs cloud dont le mot de passe n’a pas été mis à jour au cours des 90 derniers jours. 

Elle liste des informations essentielles telles que l’identifiant de l’utilisateur, le nom complet, le statut admin et le nom du responsable, afin d’assurer un suivi professionnel de la sécurité des mots de passe des utilisateurs cloud.

Impact sur votre tenant

Microsoft recommande de changer régulièrement les mots de passe des comptes administrateur et des comptes partagés. Veillez à ce que tous les comptes admin et partagés se soient connectés et aient changé leur mot de passe au moins une fois au cours des 90 derniers jours.

Action de remédiation

1. Envoyer une attestation au responsable (ou à une adresse personnalisée)
2. Exécuter l’action « Gérer le mot de passe »

Paramètres configurables

• Sélectionner le destinataire (responsable ou adresse personnalisée)
• Insérer un message additionnel
• Définir la durée de validité (min : 1 jour – max : 180 jours)
• Planifier la récurrence de l’action de remédiation
• Activer/désactiver l’alerte e-mail en cas d’échec du flux de travail

Description

Cette politique identifie les groupes de distribution qui n’ont pas de membres.

Impact sur votre tenant

Les groupes de distribution vides dans votre tenant peuvent générer de la confusion et encombrer l’environnement, compliquant la gestion et masquant les mauvaises configurations qui pourraient être exploitées. Les bonnes pratiques incluent l’audit régulier et le nettoyage de ces groupes pour garantir un environnement sécurisé et clair ainsi qu’une gestion efficace des accès.

Action de remédiation

Supprimer le groupe de distribution vide.

Paramètres configurables

• Activer/désactiver l’alerte e-mail en cas d’échec du flux de travail
• Planifier la récurrence de l’action de remédiation

Description

Cette politique identifie les groupes M365 qui n’ont pas de membres.

Impact sur votre tenant

Les groupes MS 365 vides dans votre tenant peuvent générer de la confusion et encombrer l’environnement, compliquant la gestion et masquant les mauvaises configurations exploitables. Les bonnes pratiques incluent l’audit et le nettoyage réguliers de ces groupes pour assurer un environnement sécurisé et une gestion efficace des accès.

Action de remédiation

Supprimer le groupe Microsoft 365.

Paramètres configurables

• Activer/désactiver l’alerte e-mail en cas d’échec du flux de travail
• Planifier la récurrence de l’action de remédiation

Description

Cette politique identifie les groupes de sécurité qui n’ont pas de membres.

Impact sur votre tenant

Les groupes de sécurité vides dans votre tenant peuvent générer de la confusion et encombrer l’environnement, compliquant la gestion et masquant les mauvaises configurations exploitables. Il est recommandé d’auditer et de nettoyer régulièrement ces groupes pour garantir un environnement sécurisé et une gestion claire des accès.

Action de remédiation

Supprimer le groupe de sécurité vide.

Paramètres configurables

• Activer/désactiver l’alerte e-mail en cas d’échec du flux de travail
• Planifier la récurrence de l’action de remédiation

Description

Ces politiques identifient les membres externes dans les groupes de distribution.

Impact sur votre tenant

Trop de membres externes dans les groupes de distribution peut augmenter le risque de fuite de données, car des informations sensibles pourraient être partagées avec des personnes non autorisées. Cela accroît aussi la surface d’attaque pour le phishing et les attaques d’ingénierie sociale ciblant les membres externes pour accéder au réseau de l’organisation.

Action de remédiation

Supprimer un membre du groupe de distribution.

Paramètres configurables

• Activer/désactiver l’alerte e-mail en cas d’échec du flux de travail
• Planifier la récurrence de l’action de remédiation

Description

Cette politique offre une vue claire des utilisateurs externes dans vos groupes Microsoft 365. 

Elle liste leur nom principal, le nom d’affichage et les détails du groupe, y compris l’ID unique du groupe et le nom du groupe. Elle indique également si l'utilisateur est marqué comme invité, abonné, membre ou propriétaire du groupe. 

Il s’agit d’un moyen simple d’auditer l’accès externe aux espaces collaboratifs Microsoft 365.

Impact sur votre tenant

Les utilisateurs externes ayant accès aux ressources et données via leur appartenance à des groupes M365 nécessitent une attestation périodique pour s'assurer qu'ils ne sont pas oubliés et qu’ils disposent du minimum d’accès nécessaire.

Action de remédiation

1. Envoyer une attestation au responsable (ou à une adresse personnalisée)
2. Exécuter l’action « Supprimer un membre du groupe M365 »

Paramètres configurables

• Sélectionner le destinataire (propriétaires du groupe ou adresse personnalisée)
• Insérer un message additionnel
• Définir la durée de validité (min : 1 jour – max : 180 jours)
• Planifier la récurrence de l’action de remédiation
• Activer/désactiver l’alerte e-mail en cas d’échec du flux de travail

Description

Cette politique affiche une liste d’utilisateurs externes dans vos groupes de sécurité. Elle détaille leur nom principal, le nom d’affichage, le type de membre du groupe, le nom du groupe de sécurité concerné et leur statut invité. 

Elle indique également s’ils sont propriétaires et fournit l’identifiant unique du groupe de sécurité (GUID). 

Cet outil est utile pour gérer et contrôler l’accès externe aux zones sensibles au sein de votre organisation.

Impact sur votre tenant

Les utilisateurs externes ayant accès aux ressources et données via leur appartenance à des groupes de sécurité nécessitent une attestation périodique pour s'assurer qu'ils ne sont pas oubliés et disposent du minimum de privilèges requis.

Action de remédiation

1. Envoyer une attestation au responsable (ou à une adresse personnalisée)
2. Exécuter l’action « Supprimer un membre du groupe de sécurité »

Paramètres configurables

• Sélectionner le destinataire (propriétaires du groupe ou adresse personnalisée)
• Insérer un message additionnel
• Définir la durée de validité (min : 1 jour – max : 180 jours)
• Planifier la récurrence de l’action de remédiation
• Activer/désactiver l’alerte e-mail en cas d’échec du flux de travail

Description

Cette politique vous aide à identifier les utilisateurs invités qui sont inactifs dans Microsoft 365 depuis 180 jours. 

Elle indique leur nom principal et comprend une colonne pour le responsable, même si cela ne s’applique pas toujours aux invités. 

Elle précise également la date de dernière activité et confirme leur statut d’utilisateur invité. Ceci est utile pour auditer et nettoyer les utilisateurs externes inactifs du système.

Impact sur votre tenant

Les utilisateurs invités inactifs depuis 180 jours ou plus peuvent générer des risques de sécurité et encombrer la gestion des utilisateurs. Il est essentiel d’identifier et de gérer ces comptes pour maintenir un environnement efficace et sécurisé.

Action de remédiation

Exécuter l’action « Supprimer l’utilisateur invité »

Paramètres configurables

• Planifier la récurrence de l’action de remédiation
• Activer/désactiver l’alerte e-mail en cas d’échec du flux de travail

Description

Cette politique met en avant les utilisateurs inactifs depuis 60 jours, mais dont le compte n’a pas été bloqué. 

Elle indique leur nom principal, la dernière tentative de connexion et les informations du responsable. 

Elle confirme également que les identifiants de leur compte ne sont pas bloqués, ce qui est utile pour examiner l’activité et le statut des utilisateurs dans le système.

Impact sur votre tenant

Les groupes Teams contenant des invités peuvent entraîner des défis en matière de sécurité. Il est important de s’assurer que ces invités sont nécessaires et bien gérés pour préserver la sécurité de l’environnement.

Action de remédiation

1. Envoyer une attestation au responsable (ou à une adresse personnalisée)
2. Exécuter l’action « Bloquer l’état de connexion »

Paramètres configurables

• Sélectionner le destinataire (responsable ou adresse personnalisée)
• Insérer un message additionnel
• Définir la durée de validité (min : 1 jour – max : 180 jours)
• Planifier la récurrence de l’action de remédiation
• Activer/désactiver l’alerte e-mail en cas d’échec du flux de travail

Description

Cette politique identifie les groupes Microsoft 365 avec un ou plusieurs propriétaires attribués, dont tous sont des comptes invalides (ex : utilisateurs désactivés ou boîtes aux lettres supprimées).

Elle affiche le nom de chaque groupe et confirme l’absence de propriétaire valide. Elle fournit également l’adresse SMTP principale de chaque groupe, utile à des fins administratives. 

Cet outil contribue à la gouvernance et garantit que chaque groupe dispose d’une supervision appropriée.

Impact sur votre tenant

Sans propriétaires valides, les groupes Microsoft 365 deviennent impossibles à gérer, ce qui fait courir un risque de perte de données, de problèmes de conformité et d’accès ou de modifications non surveillés des ressources du groupe.

Action de remédiation

1. Envoyer un e-mail d’attestation à l’adresse SMTP principale du groupe (ou à une adresse personnalisée)
2. Aucune action ne sera exécutée - l’attestation a uniquement une valeur informative

Paramètres configurables

• Sélectionner le destinataire (adresse SMTP principale du groupe, adresse personnalisée ou personne)
• Sélectionner un destinataire de secours si le groupe n’a pas de membres (obligatoire)
• Personnaliser le message de l’e-mail
• Planifier la récurrence de l’action de remédiation
• Activer/désactiver l’alerte e-mail en cas d’échec du flux de travail

Description

Cette politique est conçue pour identifier les groupes Microsoft 365 qui n’ont actuellement aucun propriétaire attribué. 

Elle affiche le nom de chaque groupe et confirme que le nombre total de propriétaires est zéro. Elle fournit également l’adresse SMTP principale de chaque groupe, utile à des fins administratives. 

Cet outil aide à la gouvernance et s’assure que chaque groupe dispose d’une supervision appropriée.

Impact sur votre tenant

Les groupes Microsoft 365 sans propriétaires peuvent générer des ressources non gérées ou orphelines. S’assurer qu’un propriétaire est désigné pour chaque groupe est essentiel pour une gestion efficace et la gouvernance.

Action de remédiation

1. Envoyer un e-mail d’attestation à l’adresse SMTP principale du groupe (ou à une adresse personnalisée)
2. Aucune action ne sera exécutée - l’attestation a uniquement une valeur informative

Paramètres configurables

• Sélectionner le destinataire (adresse SMTP principale du groupe ou adresse personnalisée)
• Personnaliser le message de l’e-mail
• Planifier la récurrence de l’action de remédiation
• Activer/désactiver l’alerte e-mail en cas d’échec du flux de travail

Description

Cette politique cible les utilisateurs qui n’ont rencontré aucune politique d’accès conditionnel lors de leurs connexions réussies au cours des 30, 14 ou 7 derniers jours. Elle vise à mettre en évidence les failles de sécurité en identifiant les utilisateurs non soumis aux politiques de CA.

Impact sur votre tenant

Ne pas appliquer d’accès conditionnel aux connexions utilisateur peut entraîner des accès non autorisés à partir d’emplacements non fiables ou risqués. Ce manque de contrôle permet aux attaquants potentiels d’exploiter des points d’entrée vulnérables, augmentant le risque de compromission d’identité et d’accès non autorisé aux données.

Action de remédiation

Planifier et envoyer le rapport à un destinataire personnalisé.

Paramètres configurables

• Saisir le destinataire de l’e-mail (adresse personnalisée)
• Envoyer un e-mail lorsque le rapport est vide, non vide ou toujours
• Envoyer au format Excel, CSV ou PDF
• Planifier la récurrence de l’action de remédiation

Description

Cette politique cible les utilisateurs à qui il n’a pas été demandé de compléter le MFA lors de leurs connexions réussies au cours des 30, 14 ou 7 derniers jours, tel que dicté par les politiques d’accès conditionnel. L’objectif est d’identifier les failles de sécurité potentielles et d’assurer des pratiques d’authentification robustes. 

Impact sur votre tenant

Autoriser les utilisateurs à se connecter sans authentification multifacteur (MFA) augmente considérablement le risque d’accès non autorisé par des cyberattaquants, car ils peuvent facilement contourner une authentification simple. Cette faille de sécurité expose votre organisation aux violations de données et au phishing, compromettant potentiellement des informations sensibles.

Action de remédiation

Planifier et envoyer le rapport à un destinataire personnalisé.

Paramètres configurables

• Saisir le destinataire de l’e-mail (adresse personnalisée)
• Envoyer un e-mail lorsque le rapport est vide, non vide ou toujours
• Envoyer au format Excel, CSV ou PDF
• Planifier la récurrence de l’action de remédiation

Description

Cette politique vous aide à repérer rapidement les administrateurs cloud qui n’ont pas activé de sécurité supplémentaire via l’authentification multifacteur (MFA).

Elle indique leur nom, leur rôle et leur responsable, ce qui facilite la prise de contact et l’incitation au renforcement de la sécurité.

Impact sur votre tenant

Les utilisateurs sans méthode MFA par défaut sont plus vulnérables aux failles de sécurité. Appliquer le MFA à tous les utilisateurs aide à protéger contre les accès non autorisés.

Action de remédiation

Envoyer une alerte à l’utilisateur sans MFA activé

Paramètres configurables

• Planifier la récurrence de l’action de remédiation
• Activer/désactiver l’alerte e-mail en cas d’échec du flux de travail

Description

Cette politique permet d’identifier les utilisateurs qui n’ont pas activé l’authentification multifacteur (MFA).

Elle liste l’UPN, le nom d’affichage, l’état de leur authentification multifacteur, leur responsable et la détention éventuelle de rôles administratifs. 

Cet outil est essentiel pour les équipes de sécurité informatique afin de s’assurer que le MFA est appliqué sur l’ensemble de l’organisation pour renforcer la sécurité des comptes.

Impact sur votre tenant

Les utilisateurs sans méthode MFA sont plus vulnérables aux failles de sécurité. Appliquer le MFA à tous les utilisateurs aide à protéger contre les accès non autorisés.

Action de remédiation

Exécuter l’action « Gérer le MFA »

Paramètres configurables

• Planifier la récurrence de l’action de remédiation
• Activer/désactiver l’alerte e-mail en cas d’échec du flux de travail

Description

Ce filtre affiche une liste d’utilisateurs de l’organisation répondant aux critères suivants : ils ont un type de compte UserMailbox ou User, ne sont pas bloqués pour la connexion (BlockCredential à faux), possèdent au moins une licence (sont donc autorisés à utiliser certains services ou fonctionnalités) et ne disposent pas d’une méthode d’authentification forte par défaut. Il s’agit essentiellement d’identifier les utilisateurs actifs et licenciés sans méthodes d’authentification avancées configurées.

Impact sur votre tenant

Un grand nombre d’utilisateurs répondant à ces critères accroît les risques de sécurité à cause d’une authentification faible, contournant potentiellement les politiques d’accès conditionnel conçues pour protéger le système, exposant ainsi votre organisation à des vulnérabilités et des problèmes de conformité.

Action de remédiation

Planifier et envoyer le rapport à un destinataire personnalisé.

Paramètres configurables

• Saisir le destinataire de l’e-mail (adresse personnalisée)
• Envoyer un e-mail lorsque le rapport est vide, non vide ou toujours
• Envoyer au format Excel, CSV ou PDF
• Planifier la récurrence de l’action de remédiation

Description

Ce filtre affiche les utilisateurs actifs et licenciés de votre organisation avec des rôles User ou UserMailbox, dont les comptes ne sont pas bloqués, disposent d’au moins une licence, et ont des mots de passe sans date d’expiration.

Impact sur votre tenant

Un trop grand nombre d’utilisateurs avec un mot de passe sans expiration représente un risque de sécurité, car ces comptes peuvent être compromis plus facilement avec le temps sans changement régulier de mot de passe.

Action de remédiation

Désactiver l’option « Mot de passe sans expiration ».

Paramètres configurables

• Activer/désactiver l’alerte e-mail en cas d’échec du flux de travail
• Planifier la récurrence de l’action de remédiation