Session à Microsoft Experiences 2016 : Retour d'experience sur le monitoring et la sécurisation des identités dans Azure

1. Retour d’expérience sur
le monitoring et la
sécurisation des identités Azure

2. Maxime RASTELLO
IT & Cloud Architect
Microsoft MVP – Enterprise Mobility
Mickaël LOPES
IT & Cloud Consultant
Microsoft MVP – Cloud & Datacenter
Management

3. Sécurisez avant de synchroniser
• Azure AD Connect : les bonnes pratiques
Affinez votre délégation de droits
• Role-Based Access Control (RBAC)
• Azure AD Administrative Units
Monitorez et sécurisez vos identités Cloud
• Rapports avancés & Audit
• Azure AD Identity Protection
• Azure AD Privileged Identity Management
Agenda
C’est parti !
N° 3

4. Sécurisez avant de synchroniser

5. Les éditions d’Azure Active Directory
N° 5
Fonctionnalités Free Basic Premium P1 Premium P2 Office 365
Commun
Objets Active Directory 500 000 Illimité Illimité Illimité Illimité
SSO avec les applications SaaS 10 / utilisateur 10 / utilisateur Illimité Illimité 10 / utilisateur
Gestion des utilisateurs, provisionning, enregistrement d’appareils ✓ ✓ ✓ ✓ ✓
Synchronisation d’annuaire avec Azure AD Connect ✓ ✓ ✓ ✓ ✓
Modification du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓ ✓ ✓
Rapports de sécurité / d’utilisation 3 rapports 3 rapports Avancés Avancés 3 rapports
Basic
Gestion / provisionning des utilisateurs basés sur les groupes ✓ ✓ ✓
Réinitialisation du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓ ✓
Personnalisation des pages et portails ✓ ✓ ✓ ✓
Azure App Proxy ✓ ✓ ✓
SLA 99,9% ✓ ✓ ✓ ✓
Premium
Réinitialisation / modification du mot de passe en self-service pour les utilisateurs AD ✓ ✓
Gestion des groupes en self-service pour les utilisateurs cloud / groupes dynamiques ✓ ✓
Administrative Units ✓ ✓
Multi-Factor Authentication cloud (Azure MFA) & on-premises (MFA Server) ✓ ✓ Cloud uniquement
Connect Health ✓ ✓
Cloud App Discovery ✓ ✓
Azure AD Identity Protection / Azure AD Privileged Identity Management ✓

6. N° 6
On-premises
AAD Connect
Azure Active Directory
Dans le cloud…
Rapports
Identity Protection
Privileged Identity
Management
Admin Units
Bientôt

7. • Où placer le serveur Azure AD Connect ?
Sur un serveur dédié !
• Faut-il le mettre en DMZ ?
Pas nécessaire. Seuls des flux sortants vers Azure sont utilisés.
• Comment rendre l’infrastructure hautement disponible ?
Depuis la v1.0.8641.0, introduction du « staging mode »
• Comment sécuriser le serveur ?
Restriction des droits, restriction de la surface d’attaque
• Comment limiter les informations synchronisées ?
Filtrage par attributs possible. Certains sont néanmoins obligatoires
Azure AD Connect
Les interrogations récurrentes
N° 7

8. • Azure AD Connect fonctionne sur des serveurs FIPS-Compliant
A partir de la version 1.1.189.0
• Compte de service Active Directory / Azure Active Directory
Ne pas lui mettre de permissions Domain Admin / Global Admin
• Les mots de passe sont-ils synchronisés en clair ?
Non !
1. Les MDP sont stockés dans l’AD sous la forme d’un hash MD5
2. Ils sont en plus hashés en SHA256 par Azure AD Connect
3. Les hashs sont synchronisés, puis déchiffrés dans Azure
Azure AD Connect
Les autres points d’attention
N° 8

9. Affinez votre délégation de
droits

10. Helpdesk Administrator
Service Support Administrator
Billing Administrator
Partner Tier1 Support
Partner Tier2 Support
Directory Readers (legacy)
Exchange Service Administrator
Lync Service Administrator
User Account Administrator
Directory Writers (legacy)
Company Administrator
SharePoint Service Administrator
Device Users
Device Administrators
Device Join
Workplace Device Join
Compliance Administrator
Directory Synchronization Accounts
Device Managers
Application Administrator
Application Developer
Security Reader
Security Administrator
Privileged Role Administrator
Intune Service Administrator
Application Proxy Service Administrator
Customer LockBox Access Approver
CRM Service Administrator
Power BI Service Administrator
Role-Based Access Control
Quelques rôles par défaut
N° 10
General
Availability
Nouveau portail uniquement
Ne pas utiliser
PowerShell + nouveau portail
PowerShell ou appli dédiée

11. Security Reader
• Lecture des rapports Identity Protection
• Lectures des rapports Privileged Identity
Management
• Accès à Office 365 Service Health
• Accès à Office 365 Security & Compliance Center
Security Administrator
• Mêmes droits que Security Reader
• En plus : Administration de ces services
Company Administrator
• Même chose que Global administrator
• Seul habilité à attribuer d’autres permissions admin
Service Support Administrator
• Monitorer l’état du service Azure
• Gérer les Service Requests
HelpDesk Administrator
• Monitorer l’état du service Azure
• Gérer les Service Requests
• Réinitialiser les mots de passe
User Account Administrator
• Monitorer l’état du service Azure
• Gérer les Service Requests
• Réinitialiser les mots de passe (limité à certains rôles)
• Administrer les utilisateurs / groupes
Application Administrator
• Gérer les applications Saas et Web App Proxy
Web App Proxy Administrator
• Ne gérer que les applications Web App Proxy
 Bientôt : un rôle admin par application !
Role-Based Access Control
Il faut les utiliser !
N° 11
General
Availability

12. Administrative Units
Le retour de la part de nombreux clients
N° 12
Constat
• Manque de granularité dans les droits d’administration
• Les droits dans l’ancien et le nouveau portail sont différents
Besoin
• Retranscrire la hiérarchie des permissions admin AD dans Azure AD
• Limiter des champs d’actions des administrateurs
• Restriction des droits sur certains utilisateurs VIP
Preview

13. Administrative Units
La réponse de Microsoft
N° 13
Groupe RBAC : User Account AdministratorAzure AD Directory
US Users
UK Users
FR Users
US UA Admin
UK UA Admin
FR UA Admin
Preview

14. Demo

15. Types de membres
• Utilisateurs uniquement
 Roadmap : groupes dans une future release
Rôles attribuables à une Admin Unit
• User Account Administrator
• HelpDesk Administrator
 Roadmap : d’autres rôles seront pris en charge en Preview 2
Administration
• Uniquement en PowerShell
• Roadmap : intégration dans le nouveau portail à venir (TBD)
Administrative Units
Les limitations de la Preview
N° 15
Preview

16. Monitorez et sécurisez vos
identités Cloud

17. Dans l’ancien portail
• Tous les logs sont centralisés
Limitations
• Rapports uniquement sur les 30 derniers jours
 N’oubliez pas d’exporter vos rapports (PowerShell ou Microsoft
Graph)
Rapports avancés
Les points d’attention
N° 17
General
Availability

18. Dans le nouveau portail
• Les rapports sont éclatés entre plusieurs interfaces
o Users and groups
o Enterprise applications
Limitations
• Rapports uniquement sur les 30 derniers jours
 N’oubliez pas d’exporter vos rapports (PowerShell ou Microsoft
Graph)
Azure AD Reporting
Les points d’attention
N° 18
Preview

19. Demo

20. L’accès aux applications SaaS avec Azure
Le retour de nombreux clients
N° 20
Constat
• Mes utilisateurs peuvent se connecter depuis n’importe quel endroit
• Tous mes utilisateurs ne sont pas forcément enrollés dans le MFA
• La prévention et la remédiation des risques se fait manuellement (via les rapports)
Besoin
• Comment mettre en place une politique de conformité des accès ?
• Comment être sûr que mes utilisateurs utilisent MFA ?
• Comment prendre des actions préventives en cas d’activité suspecte ?
General
Availability

21. Surveillez les activités suspectes de vos utilisateurs
• Logins à des endroits différents en un cours laps de temps
• Pas de MFA d’activé sur le compte
• Identifiants « leakés » sur le Dark Web
• Connexion via des proxies anonymes (Tor…)
Lancez des actions préventives sur les comptes à risque
• Forcer l’enregistrement au MFA
• Forcer l’utilisation du MFA pour la connexion
• Forcer le changement du mot de passe
Azure AD Identity Protection
Les fonctionnalités
N° 21
General
Availability

22. Demo

23. Les droits administrateurs dans Azure
Le retour de nombreux clients
N° 23
Constat
• Les permissions sont attribuées de manière définitive
• Beaucoup de personnes ont des droits administrateurs
• Beaucoup d’utilisateurs ont des droits trop élevés ou superflus
Besoin
• Comment monitorer les permissions admin ?
• Comment limiter les risques liés à un vol d’identité ?
• Comment limiter le temps d’attribution d’un droit admin ?
General
Availability

24. Monitorez les permissions administrateur
• Identifiez les utilisateurs ayant des rôles RBAC admin
• Visualisez les attributions de droits admin en dehors de PIM
Limitez l’impact de ces permissions
• Attribuez des permissions admin temporaires (entre 30min et 72h)
• Gérez le délai d’expiration des droits admin pour chaque rôle RBAC
• Vérifier l’identité de l’administrateur avant utilisation de ses droits (MFA)
 Notion d’administrateurs éligibles pour un rôle RBAC donné
Azure AD Privileged Identity Management
Les fonctionnalités
N° 24
General
Availability

25. Arrivée d’un prestataire dans l’équipe Collaboration
Avant
1. Création du compte + synchronisation
2. Attribution des permissions admin (manuellement ou par script)
Après
1. Création du compte + synchronisation
2. Mise à disposition d’un rôle admin (l’utilisateur est éligible pour le rôle)
3. L’utilisateur active son rôle via MFA quand il en a besoin
Azure AD Privileged Identity Management
Cas d’usage
N° 25
General
Availability

26. Demo

27. Gestion des rôles
• Droits temporaires uniquement sur des utilisateurs (pas de groupes)
• L’utilisateur reste éligible même après expiration de son droit d’accès
Azure AD Privileged Identity Management
Limitations actuelles
N° 27
General
Availability

28. N° 28

29. @microsoftfrance @Technet_France @msdev_fr
N° 29

30. N° 30