retour d’expérience sur le monitoring et la sécurisation des identités azure
TRANSCRIPT
Retour d’expérience surle monitoring et lasécurisation des identités Azure
Maxime RASTELLOIT & Cloud ArchitectMicrosoft MVP – Enterprise Mobility
Mickaël LOPESIT & Cloud ConsultantMicrosoft MVP – Cloud & Datacenter Management
Sécurisez avant de synchroniser• Azure AD Connect : les bonnes pratiques
Affinez votre délégation de droits• Role-Based Access Control (RBAC)• Azure AD Administrative Units
Monitorez et sécurisez vos identités Cloud• Rapports avancés & Audit• Azure AD Identity Protection• Azure AD Privileged Identity Management
AgendaC’est parti !
N° 3
Sécurisez avant de synchroniser
Les éditions d’Azure Active Directory
N° 5
Fonctionnalités Free Basic Premium P1
Premium P2
Office 365
CommunObjets Active Directory 500 000 Illimité Illimité Illimité Illimité
SSO avec les applications SaaS 10 / utilisateur
10 / utilisateur Illimité Illimité 10 / utilisateur
Gestion des utilisateurs, provisionning, enregistrement d’appareils ✓ ✓ ✓ ✓ ✓Synchronisation d’annuaire avec Azure AD Connect ✓ ✓ ✓ ✓ ✓Modification du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓ ✓ ✓Rapports de sécurité / d’utilisation 3 rapports 3 rapports Avancés Avancés 3 rapportsBasicGestion / provisionning des utilisateurs basés sur les groupes ✓ ✓ ✓Réinitialisation du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓ ✓Personnalisation des pages et portails ✓ ✓ ✓ ✓Azure App Proxy ✓ ✓ ✓SLA 99,9% ✓ ✓ ✓ ✓PremiumRéinitialisation / modification du mot de passe en self-service pour les utilisateurs AD ✓ ✓Gestion des groupes en self-service pour les utilisateurs cloud / groupes dynamiques ✓ ✓Administrative Units ✓ ✓
Multi-Factor Authentication cloud (Azure MFA) & on-premises (MFA Server) ✓ ✓ Cloud uniquement
Connect Health ✓ ✓Cloud App Discovery ✓ ✓Azure AD Identity Protection / Azure AD Privileged Identity Management ✓
N° 6
On-premises
Active Directory
Autres annuaires LDAP
AAD Connect
Azure Active Directory
Dans le cloud…
Rapports
Identity ProtectionPrivileged Identity Management
Admin Units
Bientôt
• Où placer le serveur Azure AD Connect ?Sur un serveur dédié !
• Faut-il le mettre en DMZ ?Pas nécessaire. Seuls des flux sortants vers Azure sont utilisés.
• Comment rendre l’infrastructure hautement disponible ?Depuis la v1.0.8641.0, introduction du « staging mode »
• Comment sécuriser le serveur ?Restriction des droits, restriction de la surface d’attaque
• Comment limiter les informations synchronisées ?Filtrage par attributs possible. Certains sont néanmoins obligatoires
Azure AD ConnectLes interrogations récurrentes
N° 7
• Azure AD Connect fonctionne sur des serveurs FIPS-CompliantA partir de la version 1.1.189.0
• Compte de service Active Directory / Azure Active DirectoryNe pas lui mettre de permissions Domain Admin / Global Admin
• Les mots de passe sont-ils synchronisés en clair ?Non !
1. Les MDP sont stockés dans l’AD sous la forme d’un hash MD52. Ils sont en plus hashés en SHA256 par Azure AD Connect3. Les hashs sont synchronisés, puis déchiffrés dans Azure
Azure AD ConnectLes autres points d’attention
N° 8
Affinez votre délégation de droits
Helpdesk AdministratorService Support AdministratorBilling AdministratorPartner Tier1 SupportPartner Tier2 SupportDirectory Readers (legacy)Exchange Service AdministratorLync Service AdministratorUser Account AdministratorDirectory Writers (legacy)Company AdministratorSharePoint Service AdministratorDevice UsersDevice AdministratorsDevice Join
Workplace Device JoinCompliance AdministratorDirectory Synchronization AccountsDevice ManagersApplication AdministratorApplication DeveloperSecurity ReaderSecurity AdministratorPrivileged Role AdministratorIntune Service AdministratorApplication Proxy Service AdministratorCustomer LockBox Access ApproverCRM Service AdministratorPower BI Service Administrator
Role-Based Access ControlQuelques rôles par défaut
N° 10
GeneralAvailabili
ty
Nouveau portail uniquement
Ne pas utiliser
PowerShell + nouveau portail
PowerShell ou appli dédiée
Security Reader• Lecture des rapports Identity Protection• Lectures des rapports Privileged Identity Management• Accès à Office 365 Service Health• Accès à Office 365 Security & Compliance Center
Security Administrator• Mêmes droits que Security Reader• En plus : Administration de ces services
Company Administrator• Même chose que Global administrator• Seul habilité à attribuer d’autres permissions admin
Service Support Administrator• Monitorer l’état du service Azure• Gérer les Service Requests
HelpDesk Administrator
• Monitorer l’état du service Azure• Gérer les Service Requests• Réinitialiser les mots de passe
User Account Administrator• Monitorer l’état du service Azure• Gérer les Service Requests• Réinitialiser les mots de passe (limité à certains rôles)• Administrer les utilisateurs / groupes
Application Administrator• Gérer les applications Saas et Web App Proxy
Web App Proxy Administrator• Ne gérer que les applications Web App Proxy
Bientôt : un rôle admin par application !
Role-Based Access ControlIl faut les utiliser !
N° 11
GeneralAvailabili
ty
Administrative UnitsLe retour de la part de nombreux clients
N° 12
Constat • Manque de granularité dans les droits d’administration• Les droits dans l’ancien et le nouveau portail sont différents
Besoin• Retranscrire la hiérarchie des permissions admin AD dans
Azure AD• Limiter des champs d’actions des administrateurs• Restriction des droits sur certains utilisateurs VIP
Preview
Administrative UnitsLa réponse de Microsoft
N° 13
Groupe RBAC : User Account AdministratorAzure AD Directory
US Users
UK Users
FR Users
US UA Admin
UK UA Admin
FR UA Admin
Preview
Demo
Types de membres• Utilisateurs uniquement Roadmap : groupes dans une future release
Rôles attribuables à une Admin Unit• User Account Administrator• HelpDesk Administrator Roadmap : d’autres rôles seront pris en charge en Preview 2
Administration• Uniquement en PowerShell• Roadmap : intégration dans le nouveau portail à venir (TBD)
Administrative UnitsLes limitations de la Preview
N° 15
Preview
Monitorez et sécurisez vos identités Cloud
Dans l’ancien portail• Tous les logs sont centralisés
Limitations• Rapports uniquement sur les 30 derniers jours N’oubliez pas d’exporter vos rapports (PowerShell ou Microsoft Graph)
Rapports avancésLes points d’attention
N° 17
GeneralAvailabili
ty
Dans le nouveau portail• Les rapports sont éclatés entre plusieurs interfaceso Users and groupso Enterprise applications
Limitations• Rapports uniquement sur les 30 derniers jours N’oubliez pas d’exporter vos rapports (PowerShell ou Microsoft Graph)
Azure AD ReportingLes points d’attention
N° 18
Preview
Demo
L’accès aux applications SaaS avec AzureLe retour de nombreux clients
N° 20
Constat • Mes utilisateurs peuvent se connecter depuis n’importe quel endroit• Tous mes utilisateurs ne sont pas forcément enrollés dans le MFA• La prévention et la remédiation des risques se fait manuellement (via
les rapports)
Besoin• Comment mettre en place une politique de conformité des accès ?• Comment être sûr que mes utilisateurs utilisent MFA ?• Comment prendre des actions préventives en cas d’activité suspecte ?
GeneralAvailabili
ty
Surveillez les activités suspectes de vos utilisateurs• Logins à des endroits différents en un cours laps de temps• Pas de MFA d’activé sur le compte• Identifiants « leakés » sur le Dark Web• Connexion via des proxies anonymes (Tor…)
Lancez des actions préventives sur les comptes à risque• Forcer l’enregistrement au MFA• Forcer l’utilisation du MFA pour la connexion• Forcer le changement du mot de passe
Azure AD Identity ProtectionLes fonctionnalités
N° 21
GeneralAvailabili
ty
Demo
Les droits administrateurs dans AzureLe retour de nombreux clients
N° 23
Constat • Les permissions sont attribuées de manière définitive• Beaucoup de personnes ont des droits administrateurs• Beaucoup d’utilisateurs ont des droits trop élevés ou superflus
Besoin• Comment monitorer les permissions admin ?• Comment limiter les risques liés à un vol d’identité ?• Comment limiter le temps d’attribution d’un droit admin ?
GeneralAvailabili
ty
Monitorez les permissions administrateur• Identifiez les utilisateurs ayant des rôles RBAC admin• Visualisez les attributions de droits admin en dehors de PIM
Limitez l’impact de ces permissions• Attribuez des permissions admin temporaires (entre 30min et 72h)• Gérez le délai d’expiration des droits admin pour chaque rôle RBAC• Vérifier l’identité de l’administrateur avant utilisation de ses droits
(MFA) Notion d’administrateurs éligibles pour un rôle RBAC donné
Azure AD Privileged Identity ManagementLes fonctionnalités
N° 24
GeneralAvailabili
ty
Arrivée d’un prestataire dans l’équipe Collaboration
Avant1. Création du compte + synchronisation2. Attribution des permissions admin (manuellement ou par script)
Après3. Création du compte + synchronisation4. Mise à disposition d’un rôle admin (l’utilisateur est éligible pour le rôle)5. L’utilisateur active son rôle via MFA quand il en a besoin
Azure AD Privileged Identity ManagementCas d’usage
N° 25
GeneralAvailabili
ty
Demo
Gestion des rôles• Droits temporaires uniquement sur des utilisateurs (pas de
groupes)• L’utilisateur reste éligible même après expiration de son droit
d’accès
Azure AD Privileged Identity ManagementLimitations actuelles
N° 27
GeneralAvailabili
ty
N° 28
@microsoftfrance @Technet_France @msdev_fr
N° 29
N° 30