Retour d’expérience surle monitoring et lasécurisation des identités Azure

Maxime RASTELLOIT & Cloud ArchitectMicrosoft MVP – Enterprise Mobility

Mickaël LOPESIT & Cloud ConsultantMicrosoft MVP – Cloud & Datacenter Management

Sécurisez avant de synchroniser• Azure AD Connect : les bonnes pratiques

Affinez votre délégation de droits• Role-Based Access Control (RBAC)• Azure AD Administrative Units

Monitorez et sécurisez vos identités Cloud• Rapports avancés & Audit• Azure AD Identity Protection• Azure AD Privileged Identity Management

AgendaC’est parti !

N° 3

Sécurisez avant de synchroniser

Les éditions d’Azure Active Directory

N° 5

Fonctionnalités Free Basic Premium P1

Premium P2

Office 365

CommunObjets Active Directory 500 000 Illimité Illimité Illimité Illimité

SSO avec les applications SaaS 10 / utilisateur

10 / utilisateur Illimité Illimité 10 / utilisateur

Gestion des utilisateurs, provisionning, enregistrement d’appareils ✓ ✓ ✓ ✓ ✓Synchronisation d’annuaire avec Azure AD Connect ✓ ✓ ✓ ✓ ✓Modification du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓ ✓ ✓Rapports de sécurité / d’utilisation 3 rapports 3 rapports Avancés Avancés 3 rapportsBasicGestion / provisionning des utilisateurs basés sur les groupes ✓ ✓ ✓Réinitialisation du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓ ✓Personnalisation des pages et portails ✓ ✓ ✓ ✓Azure App Proxy ✓ ✓ ✓SLA 99,9% ✓ ✓ ✓ ✓PremiumRéinitialisation / modification du mot de passe en self-service pour les utilisateurs AD ✓ ✓Gestion des groupes en self-service pour les utilisateurs cloud / groupes dynamiques ✓ ✓Administrative Units ✓ ✓

Multi-Factor Authentication cloud (Azure MFA) & on-premises (MFA Server) ✓ ✓ Cloud uniquement

Connect Health ✓ ✓Cloud App Discovery ✓ ✓Azure AD Identity Protection / Azure AD Privileged Identity Management ✓

N° 6

On-premises

Active Directory

Autres annuaires LDAP

AAD Connect

Azure Active Directory

Dans le cloud…

Rapports

Identity ProtectionPrivileged Identity Management

Admin Units

Bientôt

• Où placer le serveur Azure AD Connect ?Sur un serveur dédié !

• Faut-il le mettre en DMZ ?Pas nécessaire. Seuls des flux sortants vers Azure sont utilisés.

• Comment rendre l’infrastructure hautement disponible ?Depuis la v1.0.8641.0, introduction du « staging mode »

• Comment sécuriser le serveur ?Restriction des droits, restriction de la surface d’attaque

• Comment limiter les informations synchronisées ?Filtrage par attributs possible. Certains sont néanmoins obligatoires

Azure AD ConnectLes interrogations récurrentes

N° 7

• Azure AD Connect fonctionne sur des serveurs FIPS-CompliantA partir de la version 1.1.189.0

• Compte de service Active Directory / Azure Active DirectoryNe pas lui mettre de permissions Domain Admin / Global Admin

• Les mots de passe sont-ils synchronisés en clair ?Non !

1. Les MDP sont stockés dans l’AD sous la forme d’un hash MD52. Ils sont en plus hashés en SHA256 par Azure AD Connect3. Les hashs sont synchronisés, puis déchiffrés dans Azure

Azure AD ConnectLes autres points d’attention

N° 8

Affinez votre délégation de droits

Helpdesk AdministratorService Support AdministratorBilling AdministratorPartner Tier1 SupportPartner Tier2 SupportDirectory Readers (legacy)Exchange Service AdministratorLync Service AdministratorUser Account AdministratorDirectory Writers (legacy)Company AdministratorSharePoint Service AdministratorDevice UsersDevice AdministratorsDevice Join

Workplace Device JoinCompliance AdministratorDirectory Synchronization AccountsDevice ManagersApplication AdministratorApplication DeveloperSecurity ReaderSecurity AdministratorPrivileged Role AdministratorIntune Service AdministratorApplication Proxy Service AdministratorCustomer LockBox Access ApproverCRM Service AdministratorPower BI Service Administrator

Role-Based Access ControlQuelques rôles par défaut

N° 10

GeneralAvailabili

ty

Nouveau portail uniquement

Ne pas utiliser

PowerShell + nouveau portail

PowerShell ou appli dédiée

Security Reader• Lecture des rapports Identity Protection• Lectures des rapports Privileged Identity Management• Accès à Office 365 Service Health• Accès à Office 365 Security & Compliance Center

Security Administrator• Mêmes droits que Security Reader• En plus : Administration de ces services

Company Administrator• Même chose que Global administrator• Seul habilité à attribuer d’autres permissions admin

Service Support Administrator• Monitorer l’état du service Azure• Gérer les Service Requests

HelpDesk Administrator

• Monitorer l’état du service Azure• Gérer les Service Requests• Réinitialiser les mots de passe

User Account Administrator• Monitorer l’état du service Azure• Gérer les Service Requests• Réinitialiser les mots de passe (limité à certains rôles)• Administrer les utilisateurs / groupes

Application Administrator• Gérer les applications Saas et Web App Proxy

Web App Proxy Administrator• Ne gérer que les applications Web App Proxy

Bientôt : un rôle admin par application !

Role-Based Access ControlIl faut les utiliser !

N° 11

GeneralAvailabili

ty

Administrative UnitsLe retour de la part de nombreux clients

N° 12

Constat • Manque de granularité dans les droits d’administration• Les droits dans l’ancien et le nouveau portail sont différents

Besoin• Retranscrire la hiérarchie des permissions admin AD dans

Azure AD• Limiter des champs d’actions des administrateurs• Restriction des droits sur certains utilisateurs VIP

Preview

Administrative UnitsLa réponse de Microsoft

N° 13

Groupe RBAC : User Account AdministratorAzure AD Directory

US Users

UK Users

FR Users

US UA Admin

UK UA Admin

FR UA Admin

Preview

Demo

Types de membres• Utilisateurs uniquement Roadmap : groupes dans une future release

Rôles attribuables à une Admin Unit• User Account Administrator• HelpDesk Administrator Roadmap : d’autres rôles seront pris en charge en Preview 2

Administration• Uniquement en PowerShell• Roadmap : intégration dans le nouveau portail à venir (TBD)

Administrative UnitsLes limitations de la Preview

N° 15

Preview

Monitorez et sécurisez vos identités Cloud

Dans l’ancien portail• Tous les logs sont centralisés

Limitations• Rapports uniquement sur les 30 derniers jours N’oubliez pas d’exporter vos rapports (PowerShell ou Microsoft Graph)

Rapports avancésLes points d’attention

N° 17

GeneralAvailabili

ty

Dans le nouveau portail• Les rapports sont éclatés entre plusieurs interfaceso Users and groupso Enterprise applications

Limitations• Rapports uniquement sur les 30 derniers jours N’oubliez pas d’exporter vos rapports (PowerShell ou Microsoft Graph)

Azure AD ReportingLes points d’attention

N° 18

Preview

Demo

L’accès aux applications SaaS avec AzureLe retour de nombreux clients

N° 20

Constat • Mes utilisateurs peuvent se connecter depuis n’importe quel endroit• Tous mes utilisateurs ne sont pas forcément enrollés dans le MFA• La prévention et la remédiation des risques se fait manuellement (via

les rapports)

Besoin• Comment mettre en place une politique de conformité des accès ?• Comment être sûr que mes utilisateurs utilisent MFA ?• Comment prendre des actions préventives en cas d’activité suspecte ?

GeneralAvailabili

ty

Surveillez les activités suspectes de vos utilisateurs• Logins à des endroits différents en un cours laps de temps• Pas de MFA d’activé sur le compte• Identifiants « leakés » sur le Dark Web• Connexion via des proxies anonymes (Tor…)

Lancez des actions préventives sur les comptes à risque• Forcer l’enregistrement au MFA• Forcer l’utilisation du MFA pour la connexion• Forcer le changement du mot de passe

Azure AD Identity ProtectionLes fonctionnalités

N° 21

GeneralAvailabili

ty

Demo

Les droits administrateurs dans AzureLe retour de nombreux clients

N° 23

Constat • Les permissions sont attribuées de manière définitive• Beaucoup de personnes ont des droits administrateurs• Beaucoup d’utilisateurs ont des droits trop élevés ou superflus

Besoin• Comment monitorer les permissions admin ?• Comment limiter les risques liés à un vol d’identité ?• Comment limiter le temps d’attribution d’un droit admin ?

GeneralAvailabili

ty

Monitorez les permissions administrateur• Identifiez les utilisateurs ayant des rôles RBAC admin• Visualisez les attributions de droits admin en dehors de PIM

Limitez l’impact de ces permissions• Attribuez des permissions admin temporaires (entre 30min et 72h)• Gérez le délai d’expiration des droits admin pour chaque rôle RBAC• Vérifier l’identité de l’administrateur avant utilisation de ses droits

(MFA) Notion d’administrateurs éligibles pour un rôle RBAC donné

Azure AD Privileged Identity ManagementLes fonctionnalités

N° 24

GeneralAvailabili

ty

Arrivée d’un prestataire dans l’équipe Collaboration

Avant1. Création du compte + synchronisation2. Attribution des permissions admin (manuellement ou par script)

Après3. Création du compte + synchronisation4. Mise à disposition d’un rôle admin (l’utilisateur est éligible pour le rôle)5. L’utilisateur active son rôle via MFA quand il en a besoin

Azure AD Privileged Identity ManagementCas d’usage

N° 25

GeneralAvailabili

ty

Demo

Gestion des rôles• Droits temporaires uniquement sur des utilisateurs (pas de

groupes)• L’utilisateur reste éligible même après expiration de son droit

d’accès

Azure AD Privileged Identity ManagementLimitations actuelles

N° 27

GeneralAvailabili

ty

N° 28

@microsoftfrance @Technet_France @msdev_fr

N° 29

N° 30