SlideShare une entreprise Scribd logo

Gérer les privilèges locaux en utilisant Intune

Télécharger en tant que PPTX, PDF
Identity Days
Identity Days

Une conférence proposée par Thierry Deman et Jean-Sébastien Duchêne Dans cette session, nous verrons les solutions disponibles pour gérer les privilèges des utilisateurs sur les machines. Au travers de démonstrations, nous passerons en revue tous les mécanismes tels que la gestion locale des utilisateurs et des groupes, Windows LAPS, Endpoint Privilege Management, etc. Votre sécurité dépend de vos machines et des privilèges associés !

Technologie
1  sur  23
24 octobre 2023 - PARIS 5ème édition @IdentityDays #identitydays2023
Gérer les privilèges locaux en utilisant Intune Jean-Sébastien DUCHÊNE Thierry DEMAN-BARCELO 24 octobre 2023 - PARIS Identity Days 2023
• Concepts • Gestion de l’appartenance aux groupes locaux • Gestion des administrateurs locaux • Gestion de l’élévation de privilèges • Conclusion AGENDA DE LA CONFÉRENCE 24 octobre 2023 - PARIS Identity Days 2023 Thierry DEMAN-BARCELO Architect @ALT-UP by ARTEMYS M365 Apps & Services MVE sur Experts-Exchange Expertise : Microsoft 365, Teams, etc. @t_deman Jean-Sébastien DUCHÊNE CTO @EXAKIS-NELITE Enterprise Mobility Security Blogguer (www.windowstouch.fr), Ecrire, Partager, etc. Expertise : Modern Workplace, Cloud et Sécurité @microsofttouch
Concepts Identity Days 2023 24 octobre 2023 - PARIS
Identity Days 2023 24 octobre 2023 - PARIS Le monde idéal La réalité Utilisateurs Standards (sans privilèges) J’ai besoin de telle app ou configuration Outils de gestion Support Utilisateurs Standards J’ai besoin d’installer mon imprimante ou de mettre à jour un composant de mon app Support Outils de gestion (sans privilèges) Attends ! Voici le compte admin local Ou Laisse-moi me connecter et prendre la main Sécurité Verrouillons ! Les attaques sur les utilisateurs admin amène à des incidents à plus grand impacts
Gestion de l’appartenance aux groupes Identity Days 2023 24 octobre 2023 - PARIS
Gestion de l’appartenance aux groupes Identity Days 2023 24 octobre 2023 - PARIS Une gestion via un Configuration Service Provider (CSP) inclut dans Windows Des améliorations depuis Windows 10 20H2 Attention ! Vous ne devez pas déployer plus d’une stratégie LocalUserAndGroups au même périphérique Intégration native dans Microsoft Intune Les noms de groupe ou les SID non valides seront ignorés. Les parties valides de la politique s'appliqueront et une erreur sera renvoyée à la fin du traitement. Si vous spécifiez à la fois R et U dans le même XML, l'action R (Remplace) est prioritaire sur U (Mise à jour). Par conséquent, si un groupe apparaît deux fois dans le XML, une fois avec U et une autre fois avec R, c'est l'action R qui l'emporte. Démo
Gestion des administrateurs locaux Identity Days 2023 24 octobre 2023 - PARIS
Windows LAPS Identity Days 2023 24 octobre 2023 - PARIS Local Administrator Password Solution (LAPS), ancienne solution créée en 2015 par des PFEs puis mis à disposition par Microsoft pour la gestion des comptes administrateurs locaux. N’a jamais évoluée avec les nouveaux concepts Intégration native à Windows avec la mise à jour d’Avril 2023 (toutes éditions) (uniquement Win 10 20H2, 21H2, 22H2 ; 11 21H2, 22H2 ; Server 2019 et 2022) Gestion avec Microsoft Intune ou par GPO Génère des mots de passe aléatoires et sauvegarde dans Active Directory ou Microsoft Entra ID (Azure AD) Support de DSRM pour les serveurs Active Directory (si niveau fonctionnel de domaine 2016 et DC WS 2019+) Des Cmdlets PowerShell, des journaux d’évènements, pages dans AD Users & Computers Snap In Bénéfices : Protection contre les attaques pass the hash ou mouvements latéraux, amélioration des scénarios d’assistance à distance, récupération d’un périphérique bloqué Intégration au modèle RBAC lors de la sauvegarde à Microsoft Entra ID
Windows LAPS : Les scénarios Identity Days 2023 24 octobre 2023 - PARIS Active Directory* Microsoft Entra Join (AAD join) Microsoft Entra Hybrid Join (Azure AD Join) AD Join Domain Controllers Sauvegarde du mot de passe DSRM Sauvegarde du mot de passe des comptes admin locaux Sauvegarde du mot de passe des comptes admin locaux Ou Sauvegarde du mot de passe des comptes admin locaux *Niveau fonctionnel de domaine inférieur à 2016 => mot de passe en clair
Windows LAPS : Fonctionnement Identity Days 2023 24 octobre 2023 - PARIS Toutes les heures
Windows LAPS : Comment déployer ? Identity Days 2023 24 octobre 2023 - PARIS S’assurer des prérequis sur les clients AAD : Activer la fonctionnalité dans le tenant Entra ID AD* : • Mise à jour du schéma avec DC 2019/2022 et la cmdlet Update-LapsADSchema • Délégation des permissions nécessaires aux objets à mettre à jour leur mot de passe via Set-LapsADComputerSelfPermission -Identity <OU des devices> Créer et déployer la stratégie cliente dans Intune (ou par GPO 😐) • BackupDirectory : AAD = 1, AD=2 • AdministratorAccountName : Défaut=Administrator ou un autre nom spécifié • PasswordAgeDays : Défaut = 30 jours ; 1 à 365 jours ; AAD requiert 7 jours • PostAuthenticationActions : Défaut (3) Reset Pwd & Logoff sinon 1=Reset Pwd ou 5=Reset Pwd & Reboot • PostAuthenticationResetDelay : Défaut 24 heures ; De 0 à 24 heures ; 0 désactive • PasswordLength : Défaut : 14 caractères ; de 8 à 64 caractères • Password Complexity : 1=lettres maj, 2=lettres maj + non maj, 3= 2+nombres, 4=3+caractères spéciaux (défaut) Plus d’infos sur : Configure policy settings for Windows LAPS | Microsoft Learn * Attention ! Le changement du compte admin local peut bloquer le déploiement de nouvelles machines. Déplacez les machines dans une OU sans LAPS pendant le déploiement
Windows LAPS : Qui a accès dans Entra ID Identity Days 2023 24 octobre 2023 - PARIS Rôles AAD par défaut Accès au méta données uniquement (microsoft.directory/deviceLocalCredentials/standard/read) Lecture du mot de passe en texte clair (microsoft.directory/deviceLocalCredentials/password/read) Global Administrator X X Cloud Device Administrator X X Intune Administrator X X Global Reader X Helpdesk Administrator X Security Administrator X Security Reader X
Windows LAPS Identity Days 2023 24 octobre 2023 - PARIS Démo
Windows LAPS et Microsoft LAPS, que faire ? Identity Days 2023 24 octobre 2023 - PARIS Avoir à la fois Windows LAPS et Microsoft LAPS (hérité) configurant le même compte, n’est pas supporté Migrer 1. Supprimerlesanciennesstratégies 2. CréeretappliquerlesstratégiesWindowsLAPS 3. Surveillerlesjournaux d’événementsetutiliser PowerShellpourvoirsilesmachinesontbienremonté unmotdepasse 4. Supprimerl’ancienlogicielLAPS msiexec.exe/q/uninstall{97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28} Coexistence 1. Créerunsecondcomptelocal. 2. CréeretappliquerlesstratégiesWindowsLAPSau nouveau compte 3. Surveillerlaremontéedesinformations 4. SupprimerlesanciennesstratégiesLAPSlegacy 5. Supprimerl’ancienlogicielLAPS 6. Retirerl’anciencompte
Gestion de l’élévation de privilèges Identity Days 2023 24 octobre 2023 - PARIS
Endpoint Privilege Management (EPM) Identity Days 2023 24 octobre 2023 - PARIS Gestion transparente de l'élévation "intégrée" et optimisée par Intune en fournissant une approche d’accès « juste assez » Proposé au travers d’Intune Suite ou d’un achat autonome (pas dans les M365 Ex) Un ensemble riche d'informations sur les expériences des utilisateurs nécessitant une élévation Prérequis Windows 10/11 20H2, 21H2, 22H2 avec la mise à jour d’Avril 2023 Microsoft Entra joined ou Microsoft Entra hybrid joined Accès direct à direct (sans inspection SSL) vers les URLs requis Pas de Workplace Join & Azure Virtual Desktop Machines jointes à Intune ou cogérées (Les workloads n’ont aucune incidence)
Endpoint Privilege Management : Comment déployer ? 24 octobre 2023 - PARIS Vérifier que vous ayez le bon niveau de licences S’assurer des prérequis sur les clients Création de règles d’élévation (similaire à AppLocker identifiant les exécutables, etc.) Déployer la stratégie d’activation de l’élévation EPM sur le périphérique Activer EPM sur votre tenant Intune Les limitations (à date) Les exécutables sont supportés (les MSIs et autres fichiers arrivent prochainement) Les actions du système Windows sont supportées mais l’écriture des règles est impossible Pas de support des utilisateurs locaux (uniquement utilisateurs EID/AAD)
Endpoint Privilege Management (EPM) Identity Days 2023 24 octobre 2023 - PARIS EPM identifie un processus Un utilisateur sélectionne ‘Run with elevated access’ Automatique Confirmé par utilisateur Approuvé par le support* Actions Déclencheur
Gestion avec Endpoint Privilege Management (EPM) Identity Days 2023 24 octobre 2023 - PARIS Rôles RBAC Lecture et Rapports Gestion des stratégies Endpoint Privilege Manager X X Endpoint Privilege Reader X Endpoint Security Manager X X Read Only Operator X Présence d’une nouvelle classe Endpoint Privilege Management Policy Authoring
Endpoint Privilege Management (EPM) Identity Days 2023 24 octobre 2023 - PARIS Démo
Identity Days 2023 24 octobre 2023 - PARIS Sécurisation Gestion de l’appartenance aux groupes locaux Gestion des administrateurs locaux Première étape permettant de s’assurer qu’un utilisateur non autorisé n’est pas dans les groupes à privilèges Seconde étape permettant de s’assurer que les comptes administrateurs sont mieux sécurisés Troisième étape visant à réaliser l’élévation des privilèges à la demande et de manière sécurisée Gestion de l’élévation de privilèges
Identity Days 2023 24 octobre 2023 - PARIS @IdentityDays #identitydays2023

Recommandé

Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxIdentity Days
 
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...Identity Days
 
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...AZUG FR
 
[GAB2016] La gestion des identités avec Azure - Maxime Rastello
[GAB2016] La gestion des identités avec Azure - Maxime Rastello [GAB2016] La gestion des identités avec Azure - Maxime Rastello
[GAB2016] La gestion des identités avec Azure - Maxime Rastello Cellenza
 
M365 Virtual Marathon - Une gestion de bout en bout de vos postes Windows 10 ...
M365 Virtual Marathon - Une gestion de bout en bout de vos postes Windows 10 ...M365 Virtual Marathon - Une gestion de bout en bout de vos postes Windows 10 ...
M365 Virtual Marathon - Une gestion de bout en bout de vos postes Windows 10 ...David RIBEROT
 
Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...
Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...
Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...Benoit Mortier
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Identity Days
 
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days
 

Recommandé

Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxIdentity Days
 
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...Identity Days
 
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...AZUG FR
 
[GAB2016] La gestion des identités avec Azure - Maxime Rastello
[GAB2016] La gestion des identités avec Azure - Maxime Rastello [GAB2016] La gestion des identités avec Azure - Maxime Rastello
[GAB2016] La gestion des identités avec Azure - Maxime Rastello Cellenza
 
M365 Virtual Marathon - Une gestion de bout en bout de vos postes Windows 10 ...
M365 Virtual Marathon - Une gestion de bout en bout de vos postes Windows 10 ...M365 Virtual Marathon - Une gestion de bout en bout de vos postes Windows 10 ...
M365 Virtual Marathon - Une gestion de bout en bout de vos postes Windows 10 ...David RIBEROT
 
Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...
Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...
Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...Benoit Mortier
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Identity Days
 
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days
 
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMickaelLOPES91
 
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideRetour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideMicrosoft Décideurs IT
 
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideRetour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideMicrosoft Technet France
 
Optimisation et administration avancée d’Active Directory - Par Thierry Deman
Optimisation et administration avancée d’Active Directory - Par Thierry DemanOptimisation et administration avancée d’Active Directory - Par Thierry Deman
Optimisation et administration avancée d’Active Directory - Par Thierry DemanIdentity Days
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Identity Days
 
Flexible Workstyle : Comment réussir l'évolution du poste de travail vers les...
Flexible Workstyle : Comment réussir l'évolution du poste de travail vers les...Flexible Workstyle : Comment réussir l'évolution du poste de travail vers les...
Flexible Workstyle : Comment réussir l'évolution du poste de travail vers les...Microsoft Technet France
 
Portrait-de-la-gestion-des-identites-avec-des-logiciels-Libres-en-2023-un-voy...
Portrait-de-la-gestion-des-identites-avec-des-logiciels-Libres-en-2023-un-voy...Portrait-de-la-gestion-des-identites-avec-des-logiciels-Libres-en-2023-un-voy...
Portrait-de-la-gestion-des-identites-avec-des-logiciels-Libres-en-2023-un-voy...Benoit Mortier
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securitejumeletArnaud
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADIdentity Days
 
System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...
System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...
System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...Microsoft Technet France
 
Sécuriser votre site web azure, c’est simple maintenant !
Sécuriser votre site web azure, c’est simple maintenant !Sécuriser votre site web azure, c’est simple maintenant !
Sécuriser votre site web azure, c’est simple maintenant !Estelle Auberix
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Identity Days
 
Sécuriser votre site web azure, c'est simple maintenant!
Sécuriser votre site web azure, c'est simple maintenant!Sécuriser votre site web azure, c'est simple maintenant!
Sécuriser votre site web azure, c'est simple maintenant!Chourouk HJAIEJ
 
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...AZUG FR
 
WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS BelgeKilem
 
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...Marius Zaharia
 
SQL Saturday Haïti 2023 - Bien maîtriser Azure Data Studio et les Notebooks
SQL Saturday Haïti 2023 - Bien maîtriser Azure Data Studio et les NotebooksSQL Saturday Haïti 2023 - Bien maîtriser Azure Data Studio et les Notebooks
SQL Saturday Haïti 2023 - Bien maîtriser Azure Data Studio et les NotebooksPhilippe Geiger
 
Gab2017 la sante de votre env azure
Gab2017 la sante de votre env azureGab2017 la sante de votre env azure
Gab2017 la sante de votre env azureManon PERNIN
 
System Center 2012 Configuration Manager R2 : Quoi de neuf ?
System Center 2012 Configuration Manager R2 : Quoi de neuf ?System Center 2012 Configuration Manager R2 : Quoi de neuf ?
System Center 2012 Configuration Manager R2 : Quoi de neuf ?Microsoft Technet France
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Identity Days
 
Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisIdentity Days
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 

Contenu connexe

Similaire à Gérer les privilèges locaux en utilisant Intune

MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMickaelLOPES91
 
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideRetour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideMicrosoft Décideurs IT
 
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideRetour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideMicrosoft Technet France
 
Optimisation et administration avancée d’Active Directory - Par Thierry Deman
Optimisation et administration avancée d’Active Directory - Par Thierry DemanOptimisation et administration avancée d’Active Directory - Par Thierry Deman
Optimisation et administration avancée d’Active Directory - Par Thierry DemanIdentity Days
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Identity Days
 
Flexible Workstyle : Comment réussir l'évolution du poste de travail vers les...
Flexible Workstyle : Comment réussir l'évolution du poste de travail vers les...Flexible Workstyle : Comment réussir l'évolution du poste de travail vers les...
Flexible Workstyle : Comment réussir l'évolution du poste de travail vers les...Microsoft Technet France
 
Portrait-de-la-gestion-des-identites-avec-des-logiciels-Libres-en-2023-un-voy...
Portrait-de-la-gestion-des-identites-avec-des-logiciels-Libres-en-2023-un-voy...Portrait-de-la-gestion-des-identites-avec-des-logiciels-Libres-en-2023-un-voy...
Portrait-de-la-gestion-des-identites-avec-des-logiciels-Libres-en-2023-un-voy...Benoit Mortier
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securitejumeletArnaud
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADIdentity Days
 
System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...
System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...
System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...Microsoft Technet France
 
Sécuriser votre site web azure, c’est simple maintenant !
Sécuriser votre site web azure, c’est simple maintenant !Sécuriser votre site web azure, c’est simple maintenant !
Sécuriser votre site web azure, c’est simple maintenant !Estelle Auberix
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Identity Days
 
Sécuriser votre site web azure, c'est simple maintenant!
Sécuriser votre site web azure, c'est simple maintenant!Sécuriser votre site web azure, c'est simple maintenant!
Sécuriser votre site web azure, c'est simple maintenant!Chourouk HJAIEJ
 
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...AZUG FR
 
WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS BelgeKilem
 
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...Marius Zaharia
 
SQL Saturday Haïti 2023 - Bien maîtriser Azure Data Studio et les Notebooks
SQL Saturday Haïti 2023 - Bien maîtriser Azure Data Studio et les NotebooksSQL Saturday Haïti 2023 - Bien maîtriser Azure Data Studio et les Notebooks
SQL Saturday Haïti 2023 - Bien maîtriser Azure Data Studio et les NotebooksPhilippe Geiger
 
Gab2017 la sante de votre env azure
Gab2017 la sante de votre env azureGab2017 la sante de votre env azure
Gab2017 la sante de votre env azureManon PERNIN
 
System Center 2012 Configuration Manager R2 : Quoi de neuf ?
System Center 2012 Configuration Manager R2 : Quoi de neuf ?System Center 2012 Configuration Manager R2 : Quoi de neuf ?
System Center 2012 Configuration Manager R2 : Quoi de neuf ?Microsoft Technet France
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Identity Days
 

Similaire à Gérer les privilèges locaux en utilisant Intune (20)

MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
 
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideRetour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
 
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideRetour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
 
Optimisation et administration avancée d’Active Directory - Par Thierry Deman
Optimisation et administration avancée d’Active Directory - Par Thierry DemanOptimisation et administration avancée d’Active Directory - Par Thierry Deman
Optimisation et administration avancée d’Active Directory - Par Thierry Deman
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
 
Flexible Workstyle : Comment réussir l'évolution du poste de travail vers les...
Flexible Workstyle : Comment réussir l'évolution du poste de travail vers les...Flexible Workstyle : Comment réussir l'évolution du poste de travail vers les...
Flexible Workstyle : Comment réussir l'évolution du poste de travail vers les...
 
Portrait-de-la-gestion-des-identites-avec-des-logiciels-Libres-en-2023-un-voy...
Portrait-de-la-gestion-des-identites-avec-des-logiciels-Libres-en-2023-un-voy...Portrait-de-la-gestion-des-identites-avec-des-logiciels-Libres-en-2023-un-voy...
Portrait-de-la-gestion-des-identites-avec-des-logiciels-Libres-en-2023-un-voy...
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securite
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
 
System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...
System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...
System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...
 
Sécuriser votre site web azure, c’est simple maintenant !
Sécuriser votre site web azure, c’est simple maintenant !Sécuriser votre site web azure, c’est simple maintenant !
Sécuriser votre site web azure, c’est simple maintenant !
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?
 
Sécuriser votre site web azure, c'est simple maintenant!
Sécuriser votre site web azure, c'est simple maintenant!Sécuriser votre site web azure, c'est simple maintenant!
Sécuriser votre site web azure, c'est simple maintenant!
 
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
 
WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS
 
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
 
SQL Saturday Haïti 2023 - Bien maîtriser Azure Data Studio et les Notebooks
SQL Saturday Haïti 2023 - Bien maîtriser Azure Data Studio et les NotebooksSQL Saturday Haïti 2023 - Bien maîtriser Azure Data Studio et les Notebooks
SQL Saturday Haïti 2023 - Bien maîtriser Azure Data Studio et les Notebooks
 
Gab2017 la sante de votre env azure
Gab2017 la sante de votre env azureGab2017 la sante de votre env azure
Gab2017 la sante de votre env azure
 
System Center 2012 Configuration Manager R2 : Quoi de neuf ?
System Center 2012 Configuration Manager R2 : Quoi de neuf ?System Center 2012 Configuration Manager R2 : Quoi de neuf ?
System Center 2012 Configuration Manager R2 : Quoi de neuf ?
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
 

Plus de Identity Days

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisIdentity Days
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiqueIdentity Days
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...Identity Days
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Identity Days
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...Identity Days
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Identity Days
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Identity Days
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Identity Days
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGIdentity Days
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...Identity Days
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Identity Days
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Identity Days
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGIdentity Days
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Identity Days
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryIdentity Days
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! Identity Days
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?Identity Days
 
Mise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement HybrideMise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement HybrideIdentity Days
 
La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAPLa politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAPIdentity Days
 

Plus de Identity Days (20)

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratique
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active Directory
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger !
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
 
Mise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement HybrideMise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement Hybride
 
La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAPLa politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
 

Gérer les privilèges locaux en utilisant Intune

  • 1. 24 octobre 2023 - PARIS 5ème édition @IdentityDays #identitydays2023
  • 2. Gérer les privilèges locaux en utilisant Intune Jean-Sébastien DUCHÊNE Thierry DEMAN-BARCELO 24 octobre 2023 - PARIS Identity Days 2023
  • 3. • Concepts • Gestion de l’appartenance aux groupes locaux • Gestion des administrateurs locaux • Gestion de l’élévation de privilèges • Conclusion AGENDA DE LA CONFÉRENCE 24 octobre 2023 - PARIS Identity Days 2023 Thierry DEMAN-BARCELO Architect @ALT-UP by ARTEMYS M365 Apps & Services MVE sur Experts-Exchange Expertise : Microsoft 365, Teams, etc. @t_deman Jean-Sébastien DUCHÊNE CTO @EXAKIS-NELITE Enterprise Mobility Security Blogguer (www.windowstouch.fr), Ecrire, Partager, etc. Expertise : Modern Workplace, Cloud et Sécurité @microsofttouch
  • 4. Concepts Identity Days 2023 24 octobre 2023 - PARIS
  • 5. Identity Days 2023 24 octobre 2023 - PARIS Le monde idéal La réalité Utilisateurs Standards (sans privilèges) J’ai besoin de telle app ou configuration Outils de gestion Support Utilisateurs Standards J’ai besoin d’installer mon imprimante ou de mettre à jour un composant de mon app Support Outils de gestion (sans privilèges) Attends ! Voici le compte admin local Ou Laisse-moi me connecter et prendre la main Sécurité Verrouillons ! Les attaques sur les utilisateurs admin amène à des incidents à plus grand impacts
  • 6. Gestion de l’appartenance aux groupes Identity Days 2023 24 octobre 2023 - PARIS
  • 7. Gestion de l’appartenance aux groupes Identity Days 2023 24 octobre 2023 - PARIS Une gestion via un Configuration Service Provider (CSP) inclut dans Windows Des améliorations depuis Windows 10 20H2 Attention ! Vous ne devez pas déployer plus d’une stratégie LocalUserAndGroups au même périphérique Intégration native dans Microsoft Intune Les noms de groupe ou les SID non valides seront ignorés. Les parties valides de la politique s'appliqueront et une erreur sera renvoyée à la fin du traitement. Si vous spécifiez à la fois R et U dans le même XML, l'action R (Remplace) est prioritaire sur U (Mise à jour). Par conséquent, si un groupe apparaît deux fois dans le XML, une fois avec U et une autre fois avec R, c'est l'action R qui l'emporte. Démo
  • 8. Gestion des administrateurs locaux Identity Days 2023 24 octobre 2023 - PARIS
  • 9. Windows LAPS Identity Days 2023 24 octobre 2023 - PARIS Local Administrator Password Solution (LAPS), ancienne solution créée en 2015 par des PFEs puis mis à disposition par Microsoft pour la gestion des comptes administrateurs locaux. N’a jamais évoluée avec les nouveaux concepts Intégration native à Windows avec la mise à jour d’Avril 2023 (toutes éditions) (uniquement Win 10 20H2, 21H2, 22H2 ; 11 21H2, 22H2 ; Server 2019 et 2022) Gestion avec Microsoft Intune ou par GPO Génère des mots de passe aléatoires et sauvegarde dans Active Directory ou Microsoft Entra ID (Azure AD) Support de DSRM pour les serveurs Active Directory (si niveau fonctionnel de domaine 2016 et DC WS 2019+) Des Cmdlets PowerShell, des journaux d’évènements, pages dans AD Users & Computers Snap In Bénéfices : Protection contre les attaques pass the hash ou mouvements latéraux, amélioration des scénarios d’assistance à distance, récupération d’un périphérique bloqué Intégration au modèle RBAC lors de la sauvegarde à Microsoft Entra ID
  • 10. Windows LAPS : Les scénarios Identity Days 2023 24 octobre 2023 - PARIS Active Directory* Microsoft Entra Join (AAD join) Microsoft Entra Hybrid Join (Azure AD Join) AD Join Domain Controllers Sauvegarde du mot de passe DSRM Sauvegarde du mot de passe des comptes admin locaux Sauvegarde du mot de passe des comptes admin locaux Ou Sauvegarde du mot de passe des comptes admin locaux *Niveau fonctionnel de domaine inférieur à 2016 => mot de passe en clair
  • 11. Windows LAPS : Fonctionnement Identity Days 2023 24 octobre 2023 - PARIS Toutes les heures
  • 12. Windows LAPS : Comment déployer ? Identity Days 2023 24 octobre 2023 - PARIS S’assurer des prérequis sur les clients AAD : Activer la fonctionnalité dans le tenant Entra ID AD* : • Mise à jour du schéma avec DC 2019/2022 et la cmdlet Update-LapsADSchema • Délégation des permissions nécessaires aux objets à mettre à jour leur mot de passe via Set-LapsADComputerSelfPermission -Identity <OU des devices> Créer et déployer la stratégie cliente dans Intune (ou par GPO 😐) • BackupDirectory : AAD = 1, AD=2 • AdministratorAccountName : Défaut=Administrator ou un autre nom spécifié • PasswordAgeDays : Défaut = 30 jours ; 1 à 365 jours ; AAD requiert 7 jours • PostAuthenticationActions : Défaut (3) Reset Pwd & Logoff sinon 1=Reset Pwd ou 5=Reset Pwd & Reboot • PostAuthenticationResetDelay : Défaut 24 heures ; De 0 à 24 heures ; 0 désactive • PasswordLength : Défaut : 14 caractères ; de 8 à 64 caractères • Password Complexity : 1=lettres maj, 2=lettres maj + non maj, 3= 2+nombres, 4=3+caractères spéciaux (défaut) Plus d’infos sur : Configure policy settings for Windows LAPS | Microsoft Learn * Attention ! Le changement du compte admin local peut bloquer le déploiement de nouvelles machines. Déplacez les machines dans une OU sans LAPS pendant le déploiement
  • 13. Windows LAPS : Qui a accès dans Entra ID Identity Days 2023 24 octobre 2023 - PARIS Rôles AAD par défaut Accès au méta données uniquement (microsoft.directory/deviceLocalCredentials/standard/read) Lecture du mot de passe en texte clair (microsoft.directory/deviceLocalCredentials/password/read) Global Administrator X X Cloud Device Administrator X X Intune Administrator X X Global Reader X Helpdesk Administrator X Security Administrator X Security Reader X
  • 14. Windows LAPS Identity Days 2023 24 octobre 2023 - PARIS Démo
  • 15. Windows LAPS et Microsoft LAPS, que faire ? Identity Days 2023 24 octobre 2023 - PARIS Avoir à la fois Windows LAPS et Microsoft LAPS (hérité) configurant le même compte, n’est pas supporté Migrer 1. Supprimerlesanciennesstratégies 2. CréeretappliquerlesstratégiesWindowsLAPS 3. Surveillerlesjournaux d’événementsetutiliser PowerShellpourvoirsilesmachinesontbienremonté unmotdepasse 4. Supprimerl’ancienlogicielLAPS msiexec.exe/q/uninstall{97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28} Coexistence 1. Créerunsecondcomptelocal. 2. CréeretappliquerlesstratégiesWindowsLAPSau nouveau compte 3. Surveillerlaremontéedesinformations 4. SupprimerlesanciennesstratégiesLAPSlegacy 5. Supprimerl’ancienlogicielLAPS 6. Retirerl’anciencompte
  • 16. Gestion de l’élévation de privilèges Identity Days 2023 24 octobre 2023 - PARIS
  • 17. Endpoint Privilege Management (EPM) Identity Days 2023 24 octobre 2023 - PARIS Gestion transparente de l'élévation "intégrée" et optimisée par Intune en fournissant une approche d’accès « juste assez » Proposé au travers d’Intune Suite ou d’un achat autonome (pas dans les M365 Ex) Un ensemble riche d'informations sur les expériences des utilisateurs nécessitant une élévation Prérequis Windows 10/11 20H2, 21H2, 22H2 avec la mise à jour d’Avril 2023 Microsoft Entra joined ou Microsoft Entra hybrid joined Accès direct à direct (sans inspection SSL) vers les URLs requis Pas de Workplace Join & Azure Virtual Desktop Machines jointes à Intune ou cogérées (Les workloads n’ont aucune incidence)
  • 18. Endpoint Privilege Management : Comment déployer ? 24 octobre 2023 - PARIS Vérifier que vous ayez le bon niveau de licences S’assurer des prérequis sur les clients Création de règles d’élévation (similaire à AppLocker identifiant les exécutables, etc.) Déployer la stratégie d’activation de l’élévation EPM sur le périphérique Activer EPM sur votre tenant Intune Les limitations (à date) Les exécutables sont supportés (les MSIs et autres fichiers arrivent prochainement) Les actions du système Windows sont supportées mais l’écriture des règles est impossible Pas de support des utilisateurs locaux (uniquement utilisateurs EID/AAD)
  • 19. Endpoint Privilege Management (EPM) Identity Days 2023 24 octobre 2023 - PARIS EPM identifie un processus Un utilisateur sélectionne ‘Run with elevated access’ Automatique Confirmé par utilisateur Approuvé par le support* Actions Déclencheur
  • 20. Gestion avec Endpoint Privilege Management (EPM) Identity Days 2023 24 octobre 2023 - PARIS Rôles RBAC Lecture et Rapports Gestion des stratégies Endpoint Privilege Manager X X Endpoint Privilege Reader X Endpoint Security Manager X X Read Only Operator X Présence d’une nouvelle classe Endpoint Privilege Management Policy Authoring
  • 21. Endpoint Privilege Management (EPM) Identity Days 2023 24 octobre 2023 - PARIS Démo
  • 22. Identity Days 2023 24 octobre 2023 - PARIS Sécurisation Gestion de l’appartenance aux groupes locaux Gestion des administrateurs locaux Première étape permettant de s’assurer qu’un utilisateur non autorisé n’est pas dans les groupes à privilèges Seconde étape permettant de s’assurer que les comptes administrateurs sont mieux sécurisés Troisième étape visant à réaliser l’élévation des privilèges à la demande et de manière sécurisée Gestion de l’élévation de privilèges
  • 23. Identity Days 2023 24 octobre 2023 - PARIS @IdentityDays #identitydays2023

Notes de l'éditeur

  1. JSD
  2. Gérer les groupes locaux sur les appareils Windows avec Microsoft Intune (mathieuleroy.fr) New settings available to configure local user group membership in endpoint security - Microsoft Community Hub Scripts/conversions de GPOs ? THD: Connexion avec sballmer@microsofttouch.fr sur WT-CLIENT10 Montrer la stratégie avec les assignations de membres aux groupes Admins Montrer le groupe Administrators. Lancer le script de conversion avec l’ojbectID pour montrer que c’est bien le SID du groupe
  3. Gérer les groupes locaux sur les appareils Windows avec Microsoft Intune (mathieuleroy.fr) New settings available to configure local user group membership in endpoint security - Microsoft Community Hub Scripts/conversions de GPOs ? Connexion avec sballmer@microsofttouch.fr sur WT-CLIENT10 Montrer la stratégie avec les assignations de membres aux groupes Admins Montrer le groupe Administrators. Lancer le script de conversion avec l’ojbectID pour montrer que c’est bien le SID du groupe
  4. Gérer les groupes locaux sur les appareils Windows avec Microsoft Intune (mathieuleroy.fr) New settings available to configure local user group membership in endpoint security - Microsoft Community Hub Scripts/conversions de GPOs ? Connexion avec sballmer@microsofttouch.fr sur WT-CLIENT10 Montrer la stratégie avec les assignations de membres aux groupes Admins Montrer le groupe Administrators. Lancer le script de conversion avec l’ojbectID pour montrer que c’est bien le SID du groupe
  5. THD
  6. THD:
  7. JSD
  8. THD:
  9. JSD
  10. JSD Montrer la stratégie et la configuration Montrer le résultat sur un périphérique dans le portail
  11. Montrer la stratégie et la configuration Montrer le résultat sur un périphérique dans le portail
  12. Montrer la stratégie et la configuration Montrer le résultat sur un périphérique dans le portail
  13. JSD Get started with Windows LAPS in legacy Microsoft LAPS emulation mode | Microsoft Learn
  14. THD
  15. JSD
  16. JSD
  17. JSD
  18. JSD Montrer la stratégie de déploiement du client EPM Montrer la stratégie de configuration de la règle Montrer le clique droit d’un exécutable avec la business justification Montrer le résultat de la règle sur WT-CLIENT10 (user non autorisé) et WT-CLIENT11 (avec bgates qui n’est pas bloqué)
  19. Montrer la stratégie de déploiement du client EPM Montrer la stratégie de configuration de la règle Montrer le clique droit d’un exécutable avec la business justification Montrer le résultat de la règle sur WT-CLIENT10 (user non autorisé) et WT-CLIENT11 (avec bgates qui n’est pas bloqué)
  20. Montrer la stratégie de déploiement du client EPM Montrer la stratégie de configuration de la règle Montrer le clique droit d’un exécutable avec la business justification Montrer le résultat de la règle sur WT-CLIENT10 (user non autorisé) et WT-CLIENT11 (avec bgates qui n’est pas bloqué)
  21. Montrer la stratégie de déploiement du client EPM Montrer la stratégie de configuration de la règle Montrer le clique droit d’un exécutable avec la business justification Montrer le résultat de la règle sur WT-CLIENT10 (user non autorisé) et WT-CLIENT11 (avec bgates qui n’est pas bloqué)
  22. Montrer la stratégie de déploiement du client EPM Montrer la stratégie de configuration de la règle Montrer le clique droit d’un exécutable avec la business justification Montrer le résultat de la règle sur WT-CLIENT10 (user non autorisé) et WT-CLIENT11 (avec bgates qui n’est pas bloqué)
  23. Montrer la stratégie de déploiement du client EPM Montrer la stratégie de configuration de la règle Montrer le clique droit d’un exécutable avec la business justification Montrer le résultat de la règle sur WT-CLIENT10 (user non autorisé) et WT-CLIENT11 (avec bgates qui n’est pas bloqué)
  24. JSD