Conformité CIS : Entra ID

Vous devez vous assurer que vous avez ajouté les utilisateurs appropriés au groupe “Emergency Access” qui est créé dans le cadre du baseline afin de ne pas vous verrouiller hors du tenant Microsoft. Au minimum, il doit s'agir d’un utilisateur avec des autorisations Global Admin. 

L’inscription à la MFA doit être revue régulièrement afin de s'assurer qu'il n’y a pas de lacunes ou de mauvaises configurations lors du déploiement. La MFA peut être surveillée nativement dans Azure Active Directory ou avec des outils tiers.

Consulter l’activité d’authentification dans Entra ID nécessite une licence Entra ID P1, qui peut être achetée séparément ou via les abonnements courants suivants :

• Microsoft 365 Business Premium
• EMS + E3 ou EMS + E5
• Microsoft 365 E3
• Microsoft 365 E5

Les rapports MFA peuvent également être obtenus via PowerShell, ce qui ne nécessite pas de licence Entra ID P1 et peut être utilisé avec n'importe quel modèle de licences Microsoft.

• Pour consulter l’activité d’authentification, consultez l’article Authentication Methods Activity sur Microsoft Learn.
• Pour des détails sur la révision des événements d’authentification multifactorielle Microsoft Entra, voir l’article Utiliser le rapport de connexions pour examiner les événements d’authentification multifactorielle Microsoft Entra sur Microsoft Learn.
• Pour savoir comment lister les détails d’inscription des informations d’identification utilisateur via Microsoft Graph API, consultez l’article Lister credentialUserRegistrationDetails sur Microsoft Learn.

Veillez à ce que seuls des utilisateurs disposant de privilèges spécifiques puissent inviter des utilisateurs invités dans le tenant, et que les invitations ne puissent être envoyées qu’à des domaines externes spécifiques. Assurez-vous que les utilisateurs invités disposent d’un accès limité aux objets du répertoire Entra ID et qu'ils doivent utiliser la MFA.

Les invitations d’utilisateurs invités ne doivent être autorisées qu’aux domaines externes spécifiques, validés par l’organisation pour des raisons de gestion légitime. Un processus formel doit être mis en place pour la demande d’accès invité. L’accès des invités doit être examiné chaque trimestre pour s’assurer du respect des normes de contrôle d’accès. 

Pour plus de détails sur la gestion des invitations d’utilisateurs invités, vous pouvez consulter la documentation Autoriser ou bloquer les invitations à des organisations spécifiques sur Microsoft Learn.

• Utilisez les paramètres de collaboration pour les utilisateurs externes qui n’utilisent pas Azure AD. 
• Utilisez les paramètres d'accès inter-tenant pour les utilisateurs externes dans un autre environnement Azure AD.

Global Administrator est le rôle possédant le plus haut niveau de privilèges dans Azure AD, car il donne un accès complet au tenant. 

Ainsi, si les informations d’identification d’un utilisateur ayant ces autorisations sont compromises, cela représenterait un risque très élevé pour la sécurité du tenant. Limitez le nombre d’utilisateurs ayant le rôle de Global Administrator. Attribuez aux utilisateurs des rôles administratifs plus granulaires adaptés à leurs missions plutôt que le rôle Global Administrator. Au minimum deux utilisateurs et au maximum quatre utilisateurs DOIVENT avoir le rôle Global Administrator.

1. Dans le Portail Azure
2. Allez dans “Microsoft Entra ID”.
3. Sélectionnez “Rôles et administrateurs”.
4. Sélectionnez le rôle Global administrator.
5. Sous “Gérer”, sélectionnez “Affectations”.
6. Vérifiez que de deux à quatre utilisateurs figurent dans la liste.
   1. Pour ceux disposant d’Entra ID PIM, ils doivent vérifier les onglets “Affectations éligibles” et “Affectations actives”. Il doit y avoir un total de deux à quatre utilisateurs sur ces deux onglets (et non séparément).
   2. Si des groupes sont affichés, vérifiez combien d’utilisateurs sont membres de chaque groupe, puis intégrez-les au total.

Attribuez les comptes utilisateurs devant accomplir des actions à privilèges élevés uniquement sur des comptes Azure AD cloud afin de minimiser les dommages en cas de compromission d’identité locale. Les utilisateurs devant obtenir un rôle Azure AD à privilèges élevés DOIVENT avoir des comptes cloud uniquement, distincts de l’annuaire local ou d’autres fournisseurs d’identité fédérés.

1. Suivez ces étapes pour vérifier les rôles administratifs tels que Global Administrator
2. Assurez-vous que ces comptes sont cloud uniquement

Les journaux Azure AD doivent être collectés et examinés régulièrement afin de détecter toute anomalie. Les informations de journal doivent être centralisées dans un outil SIEM, tel que Microsoft Sentinel, afin de pouvoir être auditées et interrogées. Les journaux d’audit doivent être conservés dans un compte de stockage pour un minimum de 90 jours.

Les événements de journal qui peuvent être collectés sont les suivants : 

AuditLogs, SignInLogs, RiskyUsers, UserRiskEvents, NonInteractiveUserSignInLogs, ServicePrincipalSignInLogs, ADFSSignInLogs, RiskyServicePrincipals, et ServicePrincipalRiskEvents.

• Découvrez comment analyser les connexions avec le journal des connexions Azure AD sur Microsoft Entra via Microsoft Learn.
• Consultez ce tutoriel pour router les journaux vers un compte de stockage et archiver les journaux du répertoire sur Microsoft Entra via Microsoft Learn.
• Découvrez tout ce qu’il faut savoir sur les journaux de sécurité et d’audit dans Office 365 sur The Cloud Technologist.
• Explorez les journaux de connexion (aperçu) dans Azure Active Directory sur Microsoft Entra via Microsoft Learn.
• Découvrez comment connecter les données Azure Active Directory à Microsoft Sentinel via Microsoft Learn.

Pour conserver les journaux Entra ID plus de 7 jours, une licence Entra ID P1 est requise. Cette licence conserve les données pendant 30 jours et est disponible séparément ou dans les packages suivants :

• Microsoft 365 Business Premium
• EMS+E3/E5
• Microsoft 365 E3
• Microsoft 365 E5

Si possible, toutes les applications autorisées doivent être configurées pour l’authentification unique (SSO) afin d’étendre la sécurité de l’authentification aux applications tierces.

• Les paramètres de configuration seront spécifiques à chaque application, mais toutes les applications seront configurées dans la section “Enterprise application” d’Azure AD. Pour des conseils détaillés, consultez la documentation Activer l’authentification unique pour une application d’entreprise sur Microsoft Entra via Microsoft Learn.
• Pour un exemple d’intégration SSO, suivez ce tutoriel d’intégration avec Dropbox Business fourni par Microsoft Entra sur Microsoft Learn.

Pour configurer des applications d’entreprise pour le SSO, une licence Azure AD P1 est requise. Elle est disponible séparément ou dans les packages suivants :

• Microsoft 365 Business Premium 
• Microsoft 365 E3
• Microsoft 365 E5
• EMS+E3/E5

Supprimer ou bloquer les comptes qui n’ont pas été utilisés depuis plus de 30 jours aide à prévenir l’utilisation non autorisée de comptes inactifs. Ces comptes peuvent être autant de cibles pour des attaquants cherchant à accéder à vos données ou à se déplacer latéralement dans une organisation sans être détectés.

Pour des instructions détaillées sur la gestion des comptes utilisateurs inactifs, consultez la documentation Gérer les comptes utilisateurs inactifs dans Entra ID sur Microsoft Entra via Microsoft Learn.

Blocage de la connexion

1. Allez sur le portail d’administration Microsoft
2. Cliquez sur “Utilisateurs” > “Utilisateurs actifs”
3. Sélectionnez le compte que vous souhaitez bloquer
4. Cliquez sur “Bloquer la connexion” sous le nom du compte

N’attribuez pas de rôles à privilèges élevés à des utilisateurs sous forme d’affectations actives permanentes. À la place, attribuez des affectations éligibles via un système PAM/PIM et configurez une période d’expiration pour les affectations actives, exigeant ainsi une réactivation des rôles à privilèges élevés après expiration.

Dans Entra ID, vous pouvez utiliser Privileged Identity Management (PIM) pour configurer des affectations permanentes ou éligibles. Il ne doit y avoir qu’une seule affectation permanente pour votre compte “break-glass” Global Admin au rôle Global Administrator. Ce compte utilisateur ou service est généralement différent pour chaque Tenant Entra ID. 

Vous pouvez surveiller les attributions permanentes et éligibles dans Configuration Manager sous Azure > Privileged Identity Management  > Politiques et la section Règles (MS Graph/RoleManagement/Directory/RoleEligibility Schedules).

Dans le centre d’administration Entra.

1. Entra AD Rôles > Rôles > Global Administrator  
2. Vérifiez que tous les utilisateurs ayant le rôle Global Admin sont en statut éligible, sauf un compte break-glass 

Comme de nombreuses cyberattaques exploitent un accès privilégié, il est impératif de surveiller étroitement l’attribution et l’activation des rôles à privilèges les plus élevés pour détecter toute compromission. Créez des alertes qui se déclenchent lorsqu’un rôle à privilèges élevés est attribué à un utilisateur, ou lorsqu’un utilisateur active un tel rôle.

Exigez une approbation pour qu’un utilisateur puisse activer un rôle à privilèges élevés, tel que Global Administrator. Cela complique la tâche d’un attaquant qui disposerait d’identifiants volés et permet de s’assurer que les accès à privilèges sont étroitement surveillés.

Dans le baseline Configuration Manager, les paramètres du rôle sont mis à jour pour le rôle Global Admin afin de nécessiter une approbation lors de l’activation de l’affectation. Ceci utilise Microsoft Privileged Identity Management (PIM). Les approbateurs de cette activation sont attribués à un groupe appelé PIM Approvers également créé dans le baseline. Vous devrez affecter à ce groupe les utilisateurs qui recevront les demandes d’approbation.