Retour d’expérience sur
le monitoring et la
sécurisation des identités Azure
Maxime RASTELLO
IT & Cloud Architect
Microsoft MVP – Enterprise Mobility
Mickaël LOPES
IT & Cloud Consultant
Microsoft MVP...
Sécurisez avant de synchroniser
• Azure AD Connect : les bonnes pratiques
Affinez votre délégation de droits
• Role-Based ...
Sécurisez avant de synchroniser
Les éditions d’Azure Active Directory
N° 5
Fonctionnalités Free Basic Premium P1 Premium P2 Office 365
Commun
Objets Activ...
N° 6
On-premises
AAD Connect
Azure Active Directory
Dans le cloud…
Rapports
Identity Protection
Privileged Identity
Manage...
• Où placer le serveur Azure AD Connect ?
Sur un serveur dédié !
• Faut-il le mettre en DMZ ?
Pas nécessaire. Seuls des fl...
• Azure AD Connect fonctionne sur des serveurs FIPS-Compliant
A partir de la version 1.1.189.0
• Compte de service Active ...
Affinez votre délégation de
droits
Helpdesk Administrator
Service Support Administrator
Billing Administrator
Partner Tier1 Support
Partner Tier2 Support
Dir...
Security Reader
• Lecture des rapports Identity Protection
• Lectures des rapports Privileged Identity
Management
• Accès ...
Administrative Units
Le retour de la part de nombreux clients
N° 12
Constat
• Manque de granularité dans les droits d’admi...
Administrative Units
La réponse de Microsoft
N° 13
Groupe RBAC : User Account AdministratorAzure AD Directory
US Users
UK ...
Demo
Types de membres
• Utilisateurs uniquement
 Roadmap : groupes dans une future release
Rôles attribuables à une Admin Unit...
Monitorez et sécurisez vos
identités Cloud
Dans l’ancien portail
• Tous les logs sont centralisés
Limitations
• Rapports uniquement sur les 30 derniers jours
 N’oub...
Dans le nouveau portail
• Les rapports sont éclatés entre plusieurs interfaces
o Users and groups
o Enterprise application...
Demo
L’accès aux applications SaaS avec Azure
Le retour de nombreux clients
N° 20
Constat
• Mes utilisateurs peuvent se connect...
Surveillez les activités suspectes de vos utilisateurs
• Logins à des endroits différents en un cours laps de temps
• Pas ...
Demo
Les droits administrateurs dans Azure
Le retour de nombreux clients
N° 23
Constat
• Les permissions sont attribuées de man...
Monitorez les permissions administrateur
• Identifiez les utilisateurs ayant des rôles RBAC admin
• Visualisez les attribu...
Arrivée d’un prestataire dans l’équipe Collaboration
Avant
1. Création du compte + synchronisation
2. Attribution des perm...
Demo
Gestion des rôles
• Droits temporaires uniquement sur des utilisateurs (pas de groupes)
• L’utilisateur reste éligible mêm...
N° 28
@microsoftfrance @Technet_France @msdev_fr
N° 29
N° 30
Prochain SlideShare
Chargement dans…5
×

MSEXP : Monitoring et sécurisation des identités Azure

239 vues

Publié le

Session à Microsoft Experiences 2016 : Retour d'experience sur le monitoring et la sécurisation des identités dans Azure

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
239
Sur SlideShare
0
Issues des intégrations
0
Intégrations
114
Actions
Partages
0
Téléchargements
6
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

MSEXP : Monitoring et sécurisation des identités Azure

  1. 1. Retour d’expérience sur le monitoring et la sécurisation des identités Azure
  2. 2. Maxime RASTELLO IT & Cloud Architect Microsoft MVP – Enterprise Mobility Mickaël LOPES IT & Cloud Consultant Microsoft MVP – Cloud & Datacenter Management
  3. 3. Sécurisez avant de synchroniser • Azure AD Connect : les bonnes pratiques Affinez votre délégation de droits • Role-Based Access Control (RBAC) • Azure AD Administrative Units Monitorez et sécurisez vos identités Cloud • Rapports avancés & Audit • Azure AD Identity Protection • Azure AD Privileged Identity Management Agenda C’est parti ! N° 3
  4. 4. Sécurisez avant de synchroniser
  5. 5. Les éditions d’Azure Active Directory N° 5 Fonctionnalités Free Basic Premium P1 Premium P2 Office 365 Commun Objets Active Directory 500 000 Illimité Illimité Illimité Illimité SSO avec les applications SaaS 10 / utilisateur 10 / utilisateur Illimité Illimité 10 / utilisateur Gestion des utilisateurs, provisionning, enregistrement d’appareils ✓ ✓ ✓ ✓ ✓ Synchronisation d’annuaire avec Azure AD Connect ✓ ✓ ✓ ✓ ✓ Modification du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓ ✓ ✓ Rapports de sécurité / d’utilisation 3 rapports 3 rapports Avancés Avancés 3 rapports Basic Gestion / provisionning des utilisateurs basés sur les groupes ✓ ✓ ✓ Réinitialisation du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓ ✓ Personnalisation des pages et portails ✓ ✓ ✓ ✓ Azure App Proxy ✓ ✓ ✓ SLA 99,9% ✓ ✓ ✓ ✓ Premium Réinitialisation / modification du mot de passe en self-service pour les utilisateurs AD ✓ ✓ Gestion des groupes en self-service pour les utilisateurs cloud / groupes dynamiques ✓ ✓ Administrative Units ✓ ✓ Multi-Factor Authentication cloud (Azure MFA) & on-premises (MFA Server) ✓ ✓ Cloud uniquement Connect Health ✓ ✓ Cloud App Discovery ✓ ✓ Azure AD Identity Protection / Azure AD Privileged Identity Management ✓
  6. 6. N° 6 On-premises AAD Connect Azure Active Directory Dans le cloud… Rapports Identity Protection Privileged Identity Management Admin Units Bientôt
  7. 7. • Où placer le serveur Azure AD Connect ? Sur un serveur dédié ! • Faut-il le mettre en DMZ ? Pas nécessaire. Seuls des flux sortants vers Azure sont utilisés. • Comment rendre l’infrastructure hautement disponible ? Depuis la v1.0.8641.0, introduction du « staging mode » • Comment sécuriser le serveur ? Restriction des droits, restriction de la surface d’attaque • Comment limiter les informations synchronisées ? Filtrage par attributs possible. Certains sont néanmoins obligatoires Azure AD Connect Les interrogations récurrentes N° 7
  8. 8. • Azure AD Connect fonctionne sur des serveurs FIPS-Compliant A partir de la version 1.1.189.0 • Compte de service Active Directory / Azure Active Directory Ne pas lui mettre de permissions Domain Admin / Global Admin • Les mots de passe sont-ils synchronisés en clair ? Non ! 1. Les MDP sont stockés dans l’AD sous la forme d’un hash MD5 2. Ils sont en plus hashés en SHA256 par Azure AD Connect 3. Les hashs sont synchronisés, puis déchiffrés dans Azure Azure AD Connect Les autres points d’attention N° 8
  9. 9. Affinez votre délégation de droits
  10. 10. Helpdesk Administrator Service Support Administrator Billing Administrator Partner Tier1 Support Partner Tier2 Support Directory Readers (legacy) Exchange Service Administrator Lync Service Administrator User Account Administrator Directory Writers (legacy) Company Administrator SharePoint Service Administrator Device Users Device Administrators Device Join Workplace Device Join Compliance Administrator Directory Synchronization Accounts Device Managers Application Administrator Application Developer Security Reader Security Administrator Privileged Role Administrator Intune Service Administrator Application Proxy Service Administrator Customer LockBox Access Approver CRM Service Administrator Power BI Service Administrator Role-Based Access Control Quelques rôles par défaut N° 10 General Availability Nouveau portail uniquement Ne pas utiliser PowerShell + nouveau portail PowerShell ou appli dédiée
  11. 11. Security Reader • Lecture des rapports Identity Protection • Lectures des rapports Privileged Identity Management • Accès à Office 365 Service Health • Accès à Office 365 Security & Compliance Center Security Administrator • Mêmes droits que Security Reader • En plus : Administration de ces services Company Administrator • Même chose que Global administrator • Seul habilité à attribuer d’autres permissions admin Service Support Administrator • Monitorer l’état du service Azure • Gérer les Service Requests HelpDesk Administrator • Monitorer l’état du service Azure • Gérer les Service Requests • Réinitialiser les mots de passe User Account Administrator • Monitorer l’état du service Azure • Gérer les Service Requests • Réinitialiser les mots de passe (limité à certains rôles) • Administrer les utilisateurs / groupes Application Administrator • Gérer les applications Saas et Web App Proxy Web App Proxy Administrator • Ne gérer que les applications Web App Proxy  Bientôt : un rôle admin par application ! Role-Based Access Control Il faut les utiliser ! N° 11 General Availability
  12. 12. Administrative Units Le retour de la part de nombreux clients N° 12 Constat • Manque de granularité dans les droits d’administration • Les droits dans l’ancien et le nouveau portail sont différents Besoin • Retranscrire la hiérarchie des permissions admin AD dans Azure AD • Limiter des champs d’actions des administrateurs • Restriction des droits sur certains utilisateurs VIP Preview
  13. 13. Administrative Units La réponse de Microsoft N° 13 Groupe RBAC : User Account AdministratorAzure AD Directory US Users UK Users FR Users US UA Admin UK UA Admin FR UA Admin Preview
  14. 14. Demo
  15. 15. Types de membres • Utilisateurs uniquement  Roadmap : groupes dans une future release Rôles attribuables à une Admin Unit • User Account Administrator • HelpDesk Administrator  Roadmap : d’autres rôles seront pris en charge en Preview 2 Administration • Uniquement en PowerShell • Roadmap : intégration dans le nouveau portail à venir (TBD) Administrative Units Les limitations de la Preview N° 15 Preview
  16. 16. Monitorez et sécurisez vos identités Cloud
  17. 17. Dans l’ancien portail • Tous les logs sont centralisés Limitations • Rapports uniquement sur les 30 derniers jours  N’oubliez pas d’exporter vos rapports (PowerShell ou Microsoft Graph) Rapports avancés Les points d’attention N° 17 General Availability
  18. 18. Dans le nouveau portail • Les rapports sont éclatés entre plusieurs interfaces o Users and groups o Enterprise applications Limitations • Rapports uniquement sur les 30 derniers jours  N’oubliez pas d’exporter vos rapports (PowerShell ou Microsoft Graph) Azure AD Reporting Les points d’attention N° 18 Preview
  19. 19. Demo
  20. 20. L’accès aux applications SaaS avec Azure Le retour de nombreux clients N° 20 Constat • Mes utilisateurs peuvent se connecter depuis n’importe quel endroit • Tous mes utilisateurs ne sont pas forcément enrollés dans le MFA • La prévention et la remédiation des risques se fait manuellement (via les rapports) Besoin • Comment mettre en place une politique de conformité des accès ? • Comment être sûr que mes utilisateurs utilisent MFA ? • Comment prendre des actions préventives en cas d’activité suspecte ? General Availability
  21. 21. Surveillez les activités suspectes de vos utilisateurs • Logins à des endroits différents en un cours laps de temps • Pas de MFA d’activé sur le compte • Identifiants « leakés » sur le Dark Web • Connexion via des proxies anonymes (Tor…) Lancez des actions préventives sur les comptes à risque • Forcer l’enregistrement au MFA • Forcer l’utilisation du MFA pour la connexion • Forcer le changement du mot de passe Azure AD Identity Protection Les fonctionnalités N° 21 General Availability
  22. 22. Demo
  23. 23. Les droits administrateurs dans Azure Le retour de nombreux clients N° 23 Constat • Les permissions sont attribuées de manière définitive • Beaucoup de personnes ont des droits administrateurs • Beaucoup d’utilisateurs ont des droits trop élevés ou superflus Besoin • Comment monitorer les permissions admin ? • Comment limiter les risques liés à un vol d’identité ? • Comment limiter le temps d’attribution d’un droit admin ? General Availability
  24. 24. Monitorez les permissions administrateur • Identifiez les utilisateurs ayant des rôles RBAC admin • Visualisez les attributions de droits admin en dehors de PIM Limitez l’impact de ces permissions • Attribuez des permissions admin temporaires (entre 30min et 72h) • Gérez le délai d’expiration des droits admin pour chaque rôle RBAC • Vérifier l’identité de l’administrateur avant utilisation de ses droits (MFA)  Notion d’administrateurs éligibles pour un rôle RBAC donné Azure AD Privileged Identity Management Les fonctionnalités N° 24 General Availability
  25. 25. Arrivée d’un prestataire dans l’équipe Collaboration Avant 1. Création du compte + synchronisation 2. Attribution des permissions admin (manuellement ou par script) Après 1. Création du compte + synchronisation 2. Mise à disposition d’un rôle admin (l’utilisateur est éligible pour le rôle) 3. L’utilisateur active son rôle via MFA quand il en a besoin Azure AD Privileged Identity Management Cas d’usage N° 25 General Availability
  26. 26. Demo
  27. 27. Gestion des rôles • Droits temporaires uniquement sur des utilisateurs (pas de groupes) • L’utilisateur reste éligible même après expiration de son droit d’accès Azure AD Privileged Identity Management Limitations actuelles N° 27 General Availability
  28. 28. N° 28
  29. 29. @microsoftfrance @Technet_France @msdev_fr N° 29
  30. 30. N° 30

×