2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-Philipe Lesage

1. 1
aOS Aix-Marseille
12/06/2019
Gestion des comptes
à privilèges dans le
cloud
Jean-Philippe Lesage
Votr
photo

2. #aOSAixMarseille 12/06/19
◦ MERCI A NOS SPONSORS
2

3. #aOSAixMarseille 12/06/19
HELLO!
I am Jean-Philippe LESAGE
I am here because I love to give presentations.
You can find me at jplesage@Microsoft.com

4. 4
PARTIE 1 / PROTEGER

5. Menaces sur les comptes à privilèges
Compromission
des comptes à
privilèges
permanents
Exécution
de tâches
sensibles
Données sensibles
Copiées en
dehors de
l’entreprise
Données sensibles
Rancon
Entreprise
Dommages
INTERNES
MALVEILLANTS
ATTAQUANTS
EXTERNES

6. Azure Multi-Factor Authentication (MFA)
Appliquer à partir du Cloud
• Azure AD MFA basée sur le téléphone
• Appel téléphonique
• Message SMS
• App mobile Microsoft Authenticator (recommandée)
Appliquer à partir de l’environnement local
• Réaliser l’authentification au niveau du serveur de fédération
• Azure AD signale qu’une authentification multifacteur est
requise, le serveur de fédération server transmet les
revendications d’authentification multifacteur
• AD FS prend en charge une authentification multifacteur
enfichable
• Fournisseurs d’authentification
https://myapps.microsoft.com

7. MFA simple vs accès conditionnel
Authentification multifacteur par
utilisateur
Toujours exiger une authentification
multifacteur, pour toutes les
applications
Accès conditionnel
Toujours exiger une authentification
multifacteur dans des conditions
spécifiques
• Pour une application spécifique
• Quand on n’est pas sur un périphérique géré
• Lorsque la connexion est considérée comme un
risque élevé
Fonctionnalité Azure AD Premium
• SKU P1
• Licences requises pour les utilisateurs affectés par la
stratégie

8. Réseau
entreprise
Géolocalisation
Microsoft
Cloud App Security
Apps cliente
Apps
navigateur
Exiger
MFA
Accès autorisé/bloqué
Bloquer
authentifications
anciennes
Forcer la réinitialisation du
mot de passe******
Accès
limité
Contrôles
Employés et partenaires
Utilisateurs et rôles
Appareils
conformes et
de confiance
(Intune)
Emplacements
physique et virtuel
Apps clientes
et méthode
d’authentification
Conditions
Machine
learning
Politiques
Moteur
d’évaluation
temps réel
Risque de
la session
3
40 TO
Politique
effective
MacOS
Android
iOS
Windows
Windows
Defender ATP
Google ID
MSA
Azure AD
ADFS

10. IF
Privileged user?
Credentials found in
public?
Accessing sensitive app?
Unmanaged device?
Malware detected?
IP detected in Botnet?
Impossible travel?
Anonymous client?
High
Medium
Low
User risk
10
TB
per day
THEN
Require MFA
Allow access
Deny access
Force password reset******
Limit access
High
Medium
Low
Session risk
Azure
Bing
OneDrive
Microsoft
Cyber Defense
Operations Center
Microsoft
Cybercrime Center
Xbox Live
Microsoft
Accounts
Skype
Accès conditionnel basé sur le risque

12. Licences
EMS E5 / MS 365 E5
Azure ADP 2
Identity
protection
Privileged
Identity
Management
Azure AD P1
EMS E3
Accès
conditionnel

13. 13
PARTIE 2 / GERER

14. Ne pas utiliser de compte pour le travail
quotidien
Écrire un mot de passe fort aléatoire et le
verrouiller
Ne pas partager le mot de passe
Changer le mot de passe chaque fois que
vous l'utilisez et sur une base planifiée
Utiliser les comptes « Brise-glace »
https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/directory-admin-roles-secure#define-at-least-two-emergency-access-
accounts

15. Rôles Azure de niveau supérieur importants
Administrateur de compte
• Peut gérer les informations de facturation
• Un par abonnement
• Peut créer des abonnements
• Peut désigner l'administrateur de service
• Changement en utilisant la fonction de transfert
Administrateur de service
• Contrôle total de toutes les ressources
au sein d’un abonnement
• Peut désigner des co-administrateurs
(Legacy – ne pas utiliser)
https://account.azure.com

16. Azure RBAC (Role-Based Access Control)
Contrôle d'accès fin au niveau "plan
de contrôle" Azure
Accorder l'accès en affectant un
principal de sécurité un rôle à un
périmètre
• Principal de sécurité : utilisateur, groupe ou principal
de service
• Rôle : rôle intégré ou personnalisé
• Périmètre : abonnement, groupe de ressources ou
ressource
Les affectations sont héritées de la
hiérarchie des ressources

17. Un rôle est défini comme une collection d’actions
Les fournisseurs de ressources Azure prennent en charge les listes d'actions
Qu'est-ce qu'un rôle ?

18. Les fournisseurs de ressources prennent en charge des actions
(Get-AzureRmProviderOperation Microsoft.Compute/*).Operation

19. Un rôle est une collection d'actions
Get-AzureRmRoleDefinition -Name Owner

20. Définition de rôle : contributeur
Get-AzureRmRoleDefinition -Name Contributor

21. Définition de rôle : lecteur
Get-AzureRmRoleDefinition -Name Reader

22. Définition de rôle : contributeur de machine virtuelle
Get-AzureRmRoleDefinition -Name "Virtual Machine Contributor"

23. Pour les références
Get-AzureRmRoleDefinition -Name "Virtual Machine Contributor"
Get-AzureRmProviderOperation <SearchString>
GetAzureRmRoleDefinition –Name <RoleName>

24. For Reference
Get-AzureRmResourceProvider
Get-AzureRmProviderOperation <SearchString>
GetAzureRmRoleDefinition –Name <RoleName>

26. Premium P2
Recertifier les utilisateurs invités (B2B)
Recertifier les employés
Collecter pour audit (Conformité, sécurité…)
Access Reviews
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-azure-ad-controls-access-reviews-overview

27. La vraie vie de l’administrateur
•
•
•
•

28. Privileged Identity Management
Avoir des accès privilégiés pendant une période définie
Le MFA est requis pendant le processus
d’activation
Une alerte informe les administrateurs d’un changement
L’utilisateur doit activer ses privilèges pour effectuer une tâche
L’utilisateur ne garde ses privilèges que pendant
une période prédéfinie
Les administrateurs de sécurité peuvent découvrir
tous les comptes à privilège, voir les rapports
d’audit et verifier tous les comptes élligibles
Audit
SECURIT
Y ADMIN
Configure Privileged
Identity Management
USE
R
PRIVILEGED IDENTITY MANAGEMENT
Identity
verification
Monitor
Access reports
MFA
ALERT
Security Reader
ADMIN PROFILES
Billing Admin
Global Admin
Service Admin

29. PIM pour ressources Azure
On Demand, just-in-time access dans Azure RBAC
Accès limité dans le temps
Utilisateur
ordinaire
Contributeur
Découvrir restreindre et gérer les rôles
Utilisateur
ordinaire
Les privilèges liés au
role expirent après
l’intervalle spécifié

30. REX MSIT

31. Just in Time
Access
Auditing
Just Enough
Access
Workflow
d’approbation
Privileged access management dans Office 365
https://aka.ms/o365pam

33. Protection avec Microsoft 365
Encryption
RBAC
Accès conditionnel
Azure AD PIM
Office 365 PAM
Empêcher les accès non
légitimes
Gouvernance
des accès
privilégiés
Role & risk based
Standing access
JIT & JEA
avec approbation

34. Mais le monde est hybride…
2. Time-bound privileges (no permanent admins)
http://aka.ms/PAM http://aka.ms/AzurePIM
1. Privileged Access Workstations (PAWs)
Phases 2 and 3 –All Admins and additional hardening
(Credential Guard, RDP Restricted Admin, etc.)
http://aka.ms/CyberPAW
4. Just Enough Admin (JEA)
for DC Maintenance
http://aka.ms/JEA
9872
521
6. Attack Detection
http://aka.ms/ata
5. Lower attack surface
of Domain and DCs
http://aka.ms/HardenAD
Build visibility and control of administrator activity, increase protection against typical follow-up attacks
3. Multi-factor for elevation
http://aka.ms/privsec
https://aka.ms/SPAroadmap

35. Admin locaux ?
• Mots de passe des admin locaux
• Souvent les mêmes
• Persistants
• Connus mais qui connait ?
• Difficiles à changer à la demande
• Délégation pour le changer ?
•
•
https://www.microsoft.com/en-us/download/details.aspx?id=46899
https://blogs.technet.microsoft.com/secguide/2018/12/10/remote-use-of-local-accounts-laps-changes-everything/

36. Et si l’on faisait de l’accès conditionnel avec PIM ?

38. 40
PARTIE 3 / Rapporter

39. Azure Active Directory
monitoring and reporting
Displays all sign-in events to applications.
Access and usage reporting
• Security reports. Displays risky users and sign-ins e.g.,
sign-ins from anonymous IPs, impossible travel,
unfamiliar locations and infected devices.
• User-specific reports. Displays device/sign-in activity
data for a specific user.
• Activity logs. Displays all audited events e.g., group
activity changes, password resets and registration
activity.
Azure Management Portal
https://docs.microsoft.com/fr-fr/azure/active-directory/active-directory-
reporting-activity-audit-logs

40. Utiliser le content pack Azure Active Directory Activity logs
Content Pack Power BI
https://blogs.technet.microsoft.com/enterprisemobility/2017/01/20/admins-rejoice-azure-active-directory-meets-power-bi/
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-reporting-power-bi-content-pack-how-to

42. Pour aller plus loin
• How Microsoft uses PIM : https://aka.ms/PIMatMS
• Secure administration best practice whitepaper :
https://aka.ms/BreakGlass
• IT Experts Roundtable : How Microsoft secures elevated access
with tools and privileged credentials
• Zero Standing Access : https://aka.ms/zerostandingaccess

45. ◦ Azure Active Directory
◦ Accès Conditionnel /
Conditionnal Access

48. ◦ Sélection des conditions
d’accès

49. ◦ Sélectionner les contrôles et activer

58. 60
Merci