SlideShare une entreprise Scribd logo
1
aOS Aix-Marseille
12/06/2019
Gestion des comptes
à privilèges dans le
cloud
Jean-Philippe Lesage
Votr
photo
#aOSAixMarseille 12/06/19
◦ MERCI A NOS SPONSORS
2
#aOSAixMarseille 12/06/19
HELLO!
I am Jean-Philippe LESAGE
I am here because I love to give presentations.
You can find me at jplesage@Microsoft.com
4
PARTIE 1 / PROTEGER
Menaces sur les comptes à privilèges
Compromission
des comptes à
privilèges
permanents
Exécution
de tâches
sensibles
Données sensibles
Copiées en
dehors de
l’entreprise
Données sensibles
Rancon
Entreprise
Dommages
INTERNES
MALVEILLANTS
ATTAQUANTS
EXTERNES
Azure Multi-Factor Authentication (MFA)
Appliquer à partir du Cloud
• Azure AD MFA basée sur le téléphone
• Appel téléphonique
• Message SMS
• App mobile Microsoft Authenticator (recommandée)
Appliquer à partir de l’environnement local
• Réaliser l’authentification au niveau du serveur de fédération
• Azure AD signale qu’une authentification multifacteur est
requise, le serveur de fédération server transmet les
revendications d’authentification multifacteur
• AD FS prend en charge une authentification multifacteur
enfichable
• Fournisseurs d’authentification
https://myapps.microsoft.com
MFA simple vs accès conditionnel
Authentification multifacteur par
utilisateur
Toujours exiger une authentification
multifacteur, pour toutes les
applications
Accès conditionnel
Toujours exiger une authentification
multifacteur dans des conditions
spécifiques
• Pour une application spécifique
• Quand on n’est pas sur un périphérique géré
• Lorsque la connexion est considérée comme un
risque élevé
Fonctionnalité Azure AD Premium
• SKU P1
• Licences requises pour les utilisateurs affectés par la
stratégie
Réseau
entreprise
Géolocalisation
Microsoft
Cloud App Security
Apps cliente
Apps
navigateur
Exiger
MFA
Accès autorisé/bloqué
Bloquer
authentifications
anciennes
Forcer la réinitialisation du
mot de passe******
Accès
limité
Contrôles
Employés et partenaires
Utilisateurs et rôles
Appareils
conformes et
de confiance
(Intune)
Emplacements
physique et virtuel
Apps clientes
et méthode
d’authentification
Conditions
Machine
learning
Politiques
Moteur
d’évaluation
temps réel
Risque de
la session
3
40 TO
Politique
effective
MacOS
Android
iOS
Windows
Windows
Defender ATP
Google ID
MSA
Azure AD
ADFS
IF
Privileged user?
Credentials found in
public?
Accessing sensitive app?
Unmanaged device?
Malware detected?
IP detected in Botnet?
Impossible travel?
Anonymous client?
High
Medium
Low
User risk
10
TB
per day
THEN
Require MFA
Allow access
Deny access
Force password reset******
Limit access
High
Medium
Low
Session risk
Azure
Bing
OneDrive
Microsoft
Cyber Defense
Operations Center
Microsoft
Cybercrime Center
Xbox Live
Microsoft
Accounts
Skype
Accès conditionnel basé sur le risque
Licences
EMS E5 / MS 365 E5
Azure ADP 2
Identity
protection
Privileged
Identity
Management
Azure AD P1
EMS E3
Accès
conditionnel
13
PARTIE 2 / GERER
Ne pas utiliser de compte pour le travail
quotidien
Écrire un mot de passe fort aléatoire et le
verrouiller
Ne pas partager le mot de passe
Changer le mot de passe chaque fois que
vous l'utilisez et sur une base planifiée
Utiliser les comptes « Brise-glace »
https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/directory-admin-roles-secure#define-at-least-two-emergency-access-
accounts
Rôles Azure de niveau supérieur importants
Administrateur de compte
• Peut gérer les informations de facturation
• Un par abonnement
• Peut créer des abonnements
• Peut désigner l'administrateur de service
• Changement en utilisant la fonction de transfert
Administrateur de service
• Contrôle total de toutes les ressources
au sein d’un abonnement
• Peut désigner des co-administrateurs
(Legacy – ne pas utiliser)
https://account.azure.com
Azure RBAC (Role-Based Access Control)
Contrôle d'accès fin au niveau "plan
de contrôle" Azure
Accorder l'accès en affectant un
principal de sécurité un rôle à un
périmètre
• Principal de sécurité : utilisateur, groupe ou principal
de service
• Rôle : rôle intégré ou personnalisé
• Périmètre : abonnement, groupe de ressources ou
ressource
Les affectations sont héritées de la
hiérarchie des ressources
Un rôle est défini comme une collection d’actions
Les fournisseurs de ressources Azure prennent en charge les listes d'actions
Qu'est-ce qu'un rôle ?
Les fournisseurs de ressources prennent en charge des actions
(Get-AzureRmProviderOperation Microsoft.Compute/*).Operation
Un rôle est une collection d'actions
Get-AzureRmRoleDefinition -Name Owner
Définition de rôle : contributeur
Get-AzureRmRoleDefinition -Name Contributor
Définition de rôle : lecteur
Get-AzureRmRoleDefinition -Name Reader
Définition de rôle : contributeur de machine virtuelle
Get-AzureRmRoleDefinition -Name "Virtual Machine Contributor"
Pour les références
Get-AzureRmRoleDefinition -Name "Virtual Machine Contributor"
Get-AzureRmProviderOperation <SearchString>
GetAzureRmRoleDefinition –Name <RoleName>
For Reference
Get-AzureRmResourceProvider
Get-AzureRmProviderOperation <SearchString>
GetAzureRmRoleDefinition –Name <RoleName>
Premium P2
Recertifier les utilisateurs invités (B2B)
Recertifier les employés
Collecter pour audit (Conformité, sécurité…)
Access Reviews
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-azure-ad-controls-access-reviews-overview
La vraie vie de l’administrateur
•
•
•
•
Privileged Identity Management
Avoir des accès privilégiés pendant une période définie
Le MFA est requis pendant le processus
d’activation
Une alerte informe les administrateurs d’un changement
L’utilisateur doit activer ses privilèges pour effectuer une tâche
L’utilisateur ne garde ses privilèges que pendant
une période prédéfinie
Les administrateurs de sécurité peuvent découvrir
tous les comptes à privilège, voir les rapports
d’audit et verifier tous les comptes élligibles
Audit
SECURIT
Y ADMIN
Configure Privileged
Identity Management
USE
R
PRIVILEGED IDENTITY MANAGEMENT
Identity
verification
Monitor
Access reports
MFA
ALERT
Security Reader
ADMIN PROFILES
Billing Admin
Global Admin
Service Admin
PIM pour ressources Azure
On Demand, just-in-time access dans Azure RBAC
Accès limité dans le temps
Utilisateur
ordinaire
Contributeur
Découvrir restreindre et gérer les rôles
Utilisateur
ordinaire
Les privilèges liés au
role expirent après
l’intervalle spécifié
REX MSIT
Just in Time
Access
Auditing
Just Enough
Access
Workflow
d’approbation
Privileged access management dans Office 365
https://aka.ms/o365pam
Protection avec Microsoft 365
Encryption
RBAC
Accès conditionnel
Azure AD PIM
Office 365 PAM
Empêcher les accès non
légitimes
Gouvernance
des accès
privilégiés
Role & risk based
Standing access
JIT & JEA
avec approbation
Mais le monde est hybride…
2. Time-bound privileges (no permanent admins)
http://aka.ms/PAM http://aka.ms/AzurePIM
1. Privileged Access Workstations (PAWs)
Phases 2 and 3 –All Admins and additional hardening
(Credential Guard, RDP Restricted Admin, etc.)
http://aka.ms/CyberPAW
4. Just Enough Admin (JEA)
for DC Maintenance
http://aka.ms/JEA
9872
521
6. Attack Detection
http://aka.ms/ata
5. Lower attack surface
of Domain and DCs
http://aka.ms/HardenAD
Build visibility and control of administrator activity, increase protection against typical follow-up attacks
3. Multi-factor for elevation
http://aka.ms/privsec
https://aka.ms/SPAroadmap
Admin locaux ?
• Mots de passe des admin locaux
• Souvent les mêmes
• Persistants
• Connus mais qui connait ?
• Difficiles à changer à la demande
• Délégation pour le changer ?
•
•
https://www.microsoft.com/en-us/download/details.aspx?id=46899
https://blogs.technet.microsoft.com/secguide/2018/12/10/remote-use-of-local-accounts-laps-changes-everything/
Et si l’on faisait de l’accès conditionnel avec PIM ?
40
PARTIE 3 / Rapporter
Azure Active Directory
monitoring and reporting
Displays all sign-in events to applications.
Access and usage reporting
• Security reports. Displays risky users and sign-ins e.g.,
sign-ins from anonymous IPs, impossible travel,
unfamiliar locations and infected devices.
• User-specific reports. Displays device/sign-in activity
data for a specific user.
• Activity logs. Displays all audited events e.g., group
activity changes, password resets and registration
activity.
Azure Management Portal
https://docs.microsoft.com/fr-fr/azure/active-directory/active-directory-
reporting-activity-audit-logs
Utiliser le content pack Azure Active Directory Activity logs
Content Pack Power BI
https://blogs.technet.microsoft.com/enterprisemobility/2017/01/20/admins-rejoice-azure-active-directory-meets-power-bi/
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-reporting-power-bi-content-pack-how-to
Pour aller plus loin
• How Microsoft uses PIM : https://aka.ms/PIMatMS
• Secure administration best practice whitepaper :
https://aka.ms/BreakGlass
• IT Experts Roundtable : How Microsoft secures elevated access
with tools and privileged credentials
• Zero Standing Access : https://aka.ms/zerostandingaccess
◦ Azure Active Directory
◦ Accès Conditionnel /
Conditionnal Access
◦ Sélection des conditions
d’accès
◦ Sélectionner les contrôles et activer
60
Merci

Contenu connexe

Tendances

Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiquesAlphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
Microsoft Décideurs IT
 
Atelier Technique WALLIX ACSS 2018
Atelier Technique WALLIX ACSS 2018Atelier Technique WALLIX ACSS 2018
Atelier Technique WALLIX ACSS 2018
African Cyber Security Summit
 
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Microsoft Décideurs IT
 
Au-delà de Small Business Server
Au-delà de Small Business ServerAu-delà de Small Business Server
Au-delà de Small Business Server
Microsoft Technet France
 
Sécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risqueSécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risque
Maxime Jobin
 
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm
 
Windows Azure IaaS: machines virtuelles, réseau, ...
Windows Azure IaaS: machines virtuelles, réseau, ... Windows Azure IaaS: machines virtuelles, réseau, ...
Windows Azure IaaS: machines virtuelles, réseau, ...
Microsoft Technet France
 
Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012
Microsoft Technet France
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Microsoft Technet France
 
Alphorm.com Formation Palo Alto : Installation et configuration de base
Alphorm.com Formation Palo Alto : Installation et configuration de baseAlphorm.com Formation Palo Alto : Installation et configuration de base
Alphorm.com Formation Palo Alto : Installation et configuration de base
Alphorm
 
Alphorm.com Formation Microsoft Azure Site Recovery
Alphorm.com Formation Microsoft Azure Site RecoveryAlphorm.com Formation Microsoft Azure Site Recovery
Alphorm.com Formation Microsoft Azure Site Recovery
Alphorm
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
Manassé Achim kpaya
 
Solutions de sauvegarde et PRA avec Microsoft Azure
Solutions de sauvegarde et PRA avec Microsoft Azure Solutions de sauvegarde et PRA avec Microsoft Azure
Solutions de sauvegarde et PRA avec Microsoft Azure
Microsoft Décideurs IT
 
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Microsoft Technet France
 
Les avantages du Cloud avec Windows Server 2012
Les avantages du Cloud avec Windows Server 2012Les avantages du Cloud avec Windows Server 2012
Les avantages du Cloud avec Windows Server 2012
NRC
 
Alphorm.com Formation Microsoft Azure (AZ-303) : Architecture technologies
Alphorm.com Formation Microsoft Azure (AZ-303) : Architecture technologiesAlphorm.com Formation Microsoft Azure (AZ-303) : Architecture technologies
Alphorm.com Formation Microsoft Azure (AZ-303) : Architecture technologies
Alphorm
 
Alphorm.com Formation Elastic : Maitriser les fondamentaux
Alphorm.com Formation Elastic : Maitriser les fondamentauxAlphorm.com Formation Elastic : Maitriser les fondamentaux
Alphorm.com Formation Elastic : Maitriser les fondamentaux
Alphorm
 
Active Directory Sur Windows 2008 R2
Active  Directory Sur  Windows 2008  R2Active  Directory Sur  Windows 2008  R2
Active Directory Sur Windows 2008 R2SIMOES AUGUSTO
 

Tendances (20)

Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiquesAlphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
Atelier Technique WALLIX ACSS 2018
Atelier Technique WALLIX ACSS 2018Atelier Technique WALLIX ACSS 2018
Atelier Technique WALLIX ACSS 2018
 
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
 
Au-delà de Small Business Server
Au-delà de Small Business ServerAu-delà de Small Business Server
Au-delà de Small Business Server
 
Sécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risqueSécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risque
 
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
 
Windows Azure IaaS: machines virtuelles, réseau, ...
Windows Azure IaaS: machines virtuelles, réseau, ... Windows Azure IaaS: machines virtuelles, réseau, ...
Windows Azure IaaS: machines virtuelles, réseau, ...
 
Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
 
Alphorm.com Formation Palo Alto : Installation et configuration de base
Alphorm.com Formation Palo Alto : Installation et configuration de baseAlphorm.com Formation Palo Alto : Installation et configuration de base
Alphorm.com Formation Palo Alto : Installation et configuration de base
 
Alphorm.com Formation Microsoft Azure Site Recovery
Alphorm.com Formation Microsoft Azure Site RecoveryAlphorm.com Formation Microsoft Azure Site Recovery
Alphorm.com Formation Microsoft Azure Site Recovery
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
 
Solutions de sauvegarde et PRA avec Microsoft Azure
Solutions de sauvegarde et PRA avec Microsoft Azure Solutions de sauvegarde et PRA avec Microsoft Azure
Solutions de sauvegarde et PRA avec Microsoft Azure
 
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
 
Les avantages du Cloud avec Windows Server 2012
Les avantages du Cloud avec Windows Server 2012Les avantages du Cloud avec Windows Server 2012
Les avantages du Cloud avec Windows Server 2012
 
Alphorm.com Formation Microsoft Azure (AZ-303) : Architecture technologies
Alphorm.com Formation Microsoft Azure (AZ-303) : Architecture technologiesAlphorm.com Formation Microsoft Azure (AZ-303) : Architecture technologies
Alphorm.com Formation Microsoft Azure (AZ-303) : Architecture technologies
 
Alphorm.com Formation Elastic : Maitriser les fondamentaux
Alphorm.com Formation Elastic : Maitriser les fondamentauxAlphorm.com Formation Elastic : Maitriser les fondamentaux
Alphorm.com Formation Elastic : Maitriser les fondamentaux
 
Veeam presentation v7
Veeam   presentation v7Veeam   presentation v7
Veeam presentation v7
 
Active Directory Sur Windows 2008 R2
Active  Directory Sur  Windows 2008  R2Active  Directory Sur  Windows 2008  R2
Active Directory Sur Windows 2008 R2
 

Similaire à 2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-Philipe Lesage

Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
☁️Seyfallah Tagrerout☁ [MVP]
 
La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012
Microsoft Technet France
 
Webinar bonnes pratiques securite
Webinar   bonnes pratiques securiteWebinar   bonnes pratiques securite
Webinar bonnes pratiques securite
jumeletArnaud
 
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MickaelLOPES91
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
Microsoft Décideurs IT
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
Microsoft Technet France
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
Microsoft Technet France
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Microsoft Technet France
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Maxime Rastello
 
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Microsoft Technet France
 
MWCP19 Cybersécurité et M365 en action
MWCP19 Cybersécurité et M365 en actionMWCP19 Cybersécurité et M365 en action
MWCP19 Cybersécurité et M365 en action
Sébastien Paulet
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Microsoft Technet France
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Microsoft Décideurs IT
 
Alphorm.com Formation Microsoft Azure (AZ-500) : Sécurité
Alphorm.com Formation Microsoft Azure (AZ-500) : SécuritéAlphorm.com Formation Microsoft Azure (AZ-500) : Sécurité
Alphorm.com Formation Microsoft Azure (AZ-500) : Sécurité
Alphorm
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Sylvain Cortes
 
DeepDive - Azure AD Identity Protection
DeepDive - Azure AD Identity ProtectionDeepDive - Azure AD Identity Protection
DeepDive - Azure AD Identity Protection
Maxime Rastello
 
Open source et microsoft azure reve ou realite ?
Open source et microsoft azure reve ou realite ?Open source et microsoft azure reve ou realite ?
Open source et microsoft azure reve ou realite ?
Christophe Villeneuve
 
Re build Nantes 2013 SQL Server monitoring
Re build Nantes 2013   SQL Server monitoringRe build Nantes 2013   SQL Server monitoring
Re build Nantes 2013 SQL Server monitoring
David BAFFALEUF
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
Identity Days
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
Microsoft Technet France
 

Similaire à 2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-Philipe Lesage (20)

Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
 
La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012
 
Webinar bonnes pratiques securite
Webinar   bonnes pratiques securiteWebinar   bonnes pratiques securite
Webinar bonnes pratiques securite
 
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
 
MWCP19 Cybersécurité et M365 en action
MWCP19 Cybersécurité et M365 en actionMWCP19 Cybersécurité et M365 en action
MWCP19 Cybersécurité et M365 en action
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Alphorm.com Formation Microsoft Azure (AZ-500) : Sécurité
Alphorm.com Formation Microsoft Azure (AZ-500) : SécuritéAlphorm.com Formation Microsoft Azure (AZ-500) : Sécurité
Alphorm.com Formation Microsoft Azure (AZ-500) : Sécurité
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...
 
DeepDive - Azure AD Identity Protection
DeepDive - Azure AD Identity ProtectionDeepDive - Azure AD Identity Protection
DeepDive - Azure AD Identity Protection
 
Open source et microsoft azure reve ou realite ?
Open source et microsoft azure reve ou realite ?Open source et microsoft azure reve ou realite ?
Open source et microsoft azure reve ou realite ?
 
Re build Nantes 2013 SQL Server monitoring
Re build Nantes 2013   SQL Server monitoringRe build Nantes 2013   SQL Server monitoring
Re build Nantes 2013 SQL Server monitoring
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 

Plus de aOS Community

Commencer le IaaS sur Azure - aOS Tahiti 03-03-2020
Commencer le IaaS sur Azure - aOS Tahiti 03-03-2020Commencer le IaaS sur Azure - aOS Tahiti 03-03-2020
Commencer le IaaS sur Azure - aOS Tahiti 03-03-2020
aOS Community
 
Migrer vers O365. Quelles stragtégies? - aOS Tahiti 03-03-2020
Migrer vers O365. Quelles stragtégies? - aOS Tahiti 03-03-2020Migrer vers O365. Quelles stragtégies? - aOS Tahiti 03-03-2020
Migrer vers O365. Quelles stragtégies? - aOS Tahiti 03-03-2020
aOS Community
 
Passer des macro Excel à la power plateform - aOS Tahiti 03-03-2020
Passer des macro Excel à la power plateform - aOS Tahiti 03-03-2020Passer des macro Excel à la power plateform - aOS Tahiti 03-03-2020
Passer des macro Excel à la power plateform - aOS Tahiti 03-03-2020
aOS Community
 
Serverless avec azure functions - aOS Tahiti 03-03-2020
Serverless avec azure functions - aOS Tahiti 03-03-2020Serverless avec azure functions - aOS Tahiti 03-03-2020
Serverless avec azure functions - aOS Tahiti 03-03-2020
aOS Community
 
Passer des macro Excel à la power plateform - aOS Nouméa 28-02-2020
Passer des macro Excel à la power plateform - aOS Nouméa 28-02-2020 Passer des macro Excel à la power plateform - aOS Nouméa 28-02-2020
Passer des macro Excel à la power plateform - aOS Nouméa 28-02-2020
aOS Community
 
MS ignite : les nouveautés autour des content services et projet cortex - aOS...
MS ignite : les nouveautés autour des content services et projet cortex - aOS...MS ignite : les nouveautés autour des content services et projet cortex - aOS...
MS ignite : les nouveautés autour des content services et projet cortex - aOS...
aOS Community
 
Cybersecurité dans M365 - aOS Noumea 28-02-2020
Cybersecurité dans M365 - aOS Noumea 28-02-2020Cybersecurité dans M365 - aOS Noumea 28-02-2020
Cybersecurité dans M365 - aOS Noumea 28-02-2020
aOS Community
 
Introduction a Power Automate - aOS Nouméa 28-02-2020
Introduction a Power Automate  - aOS Nouméa 28-02-2020 Introduction a Power Automate  - aOS Nouméa 28-02-2020
Introduction a Power Automate - aOS Nouméa 28-02-2020
aOS Community
 
aOS Monaco 2019 - S3 - Présentation Varonis - Cloud Data Protection - Benjami...
aOS Monaco 2019 - S3 - Présentation Varonis - Cloud Data Protection - Benjami...aOS Monaco 2019 - S3 - Présentation Varonis - Cloud Data Protection - Benjami...
aOS Monaco 2019 - S3 - Présentation Varonis - Cloud Data Protection - Benjami...
aOS Community
 
aOS Monaco 2019 - S2 - Présentation ARKADIN - TEAMS Adoption - Laurent Pilo
aOS Monaco 2019 - S2 - Présentation ARKADIN - TEAMS Adoption - Laurent PiloaOS Monaco 2019 - S2 - Présentation ARKADIN - TEAMS Adoption - Laurent Pilo
aOS Monaco 2019 - S2 - Présentation ARKADIN - TEAMS Adoption - Laurent Pilo
aOS Community
 
aOS Monaco 2019 - C1 - Sécuriser sa messagerie sur Office 365 - Hakim Taoussi...
aOS Monaco 2019 - C1 - Sécuriser sa messagerie sur Office 365 - Hakim Taoussi...aOS Monaco 2019 - C1 - Sécuriser sa messagerie sur Office 365 - Hakim Taoussi...
aOS Monaco 2019 - C1 - Sécuriser sa messagerie sur Office 365 - Hakim Taoussi...
aOS Community
 
aOS Monaco 2019 - B7 - I Developed a SPFx solution, what to do next and how t...
aOS Monaco 2019 - B7 - I Developed a SPFx solution, what to do next and how t...aOS Monaco 2019 - B7 - I Developed a SPFx solution, what to do next and how t...
aOS Monaco 2019 - B7 - I Developed a SPFx solution, what to do next and how t...
aOS Community
 
aOS Monaco 2019 - B6 - Mister Governance and Doctor Teams - Jean-François Ber...
aOS Monaco 2019 - B6 - Mister Governance and Doctor Teams - Jean-François Ber...aOS Monaco 2019 - B6 - Mister Governance and Doctor Teams - Jean-François Ber...
aOS Monaco 2019 - B6 - Mister Governance and Doctor Teams - Jean-François Ber...
aOS Community
 
aOS Monaco 2019 - B5 - The good, the bad and the unexpected - a BOT story - K...
aOS Monaco 2019 - B5 - The good, the bad and the unexpected - a BOT story - K...aOS Monaco 2019 - B5 - The good, the bad and the unexpected - a BOT story - K...
aOS Monaco 2019 - B5 - The good, the bad and the unexpected - a BOT story - K...
aOS Community
 
aOS Monaco 2019 - B4 - Three must have workflows with Microsoft Flow - Vlad C...
aOS Monaco 2019 - B4 - Three must have workflows with Microsoft Flow - Vlad C...aOS Monaco 2019 - B4 - Three must have workflows with Microsoft Flow - Vlad C...
aOS Monaco 2019 - B4 - Three must have workflows with Microsoft Flow - Vlad C...
aOS Community
 
aOS Monaco 2019 - B3 - Create purchase request in PowerApps - Robi Voncina
aOS Monaco 2019 - B3 - Create purchase request in PowerApps - Robi VoncinaaOS Monaco 2019 - B3 - Create purchase request in PowerApps - Robi Voncina
aOS Monaco 2019 - B3 - Create purchase request in PowerApps - Robi Voncina
aOS Community
 
aOS Monaco 2019 - B2 - Intégrer la Power Platform avec SharePoint - Patrick G...
aOS Monaco 2019 - B2 - Intégrer la Power Platform avec SharePoint - Patrick G...aOS Monaco 2019 - B2 - Intégrer la Power Platform avec SharePoint - Patrick G...
aOS Monaco 2019 - B2 - Intégrer la Power Platform avec SharePoint - Patrick G...
aOS Community
 
aOS Monaco 2019 - B1 - Construire son infrastructure sur Azure un jeu d'enfan...
aOS Monaco 2019 - B1 - Construire son infrastructure sur Azure un jeu d'enfan...aOS Monaco 2019 - B1 - Construire son infrastructure sur Azure un jeu d'enfan...
aOS Monaco 2019 - B1 - Construire son infrastructure sur Azure un jeu d'enfan...
aOS Community
 
aOS Monaco 2019 - A7 - Sécurisez votre SI et vos services Office 365 partie 2...
aOS Monaco 2019 - A7 - Sécurisez votre SI et vos services Office 365 partie 2...aOS Monaco 2019 - A7 - Sécurisez votre SI et vos services Office 365 partie 2...
aOS Monaco 2019 - A7 - Sécurisez votre SI et vos services Office 365 partie 2...
aOS Community
 
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
aOS Community
 

Plus de aOS Community (20)

Commencer le IaaS sur Azure - aOS Tahiti 03-03-2020
Commencer le IaaS sur Azure - aOS Tahiti 03-03-2020Commencer le IaaS sur Azure - aOS Tahiti 03-03-2020
Commencer le IaaS sur Azure - aOS Tahiti 03-03-2020
 
Migrer vers O365. Quelles stragtégies? - aOS Tahiti 03-03-2020
Migrer vers O365. Quelles stragtégies? - aOS Tahiti 03-03-2020Migrer vers O365. Quelles stragtégies? - aOS Tahiti 03-03-2020
Migrer vers O365. Quelles stragtégies? - aOS Tahiti 03-03-2020
 
Passer des macro Excel à la power plateform - aOS Tahiti 03-03-2020
Passer des macro Excel à la power plateform - aOS Tahiti 03-03-2020Passer des macro Excel à la power plateform - aOS Tahiti 03-03-2020
Passer des macro Excel à la power plateform - aOS Tahiti 03-03-2020
 
Serverless avec azure functions - aOS Tahiti 03-03-2020
Serverless avec azure functions - aOS Tahiti 03-03-2020Serverless avec azure functions - aOS Tahiti 03-03-2020
Serverless avec azure functions - aOS Tahiti 03-03-2020
 
Passer des macro Excel à la power plateform - aOS Nouméa 28-02-2020
Passer des macro Excel à la power plateform - aOS Nouméa 28-02-2020 Passer des macro Excel à la power plateform - aOS Nouméa 28-02-2020
Passer des macro Excel à la power plateform - aOS Nouméa 28-02-2020
 
MS ignite : les nouveautés autour des content services et projet cortex - aOS...
MS ignite : les nouveautés autour des content services et projet cortex - aOS...MS ignite : les nouveautés autour des content services et projet cortex - aOS...
MS ignite : les nouveautés autour des content services et projet cortex - aOS...
 
Cybersecurité dans M365 - aOS Noumea 28-02-2020
Cybersecurité dans M365 - aOS Noumea 28-02-2020Cybersecurité dans M365 - aOS Noumea 28-02-2020
Cybersecurité dans M365 - aOS Noumea 28-02-2020
 
Introduction a Power Automate - aOS Nouméa 28-02-2020
Introduction a Power Automate  - aOS Nouméa 28-02-2020 Introduction a Power Automate  - aOS Nouméa 28-02-2020
Introduction a Power Automate - aOS Nouméa 28-02-2020
 
aOS Monaco 2019 - S3 - Présentation Varonis - Cloud Data Protection - Benjami...
aOS Monaco 2019 - S3 - Présentation Varonis - Cloud Data Protection - Benjami...aOS Monaco 2019 - S3 - Présentation Varonis - Cloud Data Protection - Benjami...
aOS Monaco 2019 - S3 - Présentation Varonis - Cloud Data Protection - Benjami...
 
aOS Monaco 2019 - S2 - Présentation ARKADIN - TEAMS Adoption - Laurent Pilo
aOS Monaco 2019 - S2 - Présentation ARKADIN - TEAMS Adoption - Laurent PiloaOS Monaco 2019 - S2 - Présentation ARKADIN - TEAMS Adoption - Laurent Pilo
aOS Monaco 2019 - S2 - Présentation ARKADIN - TEAMS Adoption - Laurent Pilo
 
aOS Monaco 2019 - C1 - Sécuriser sa messagerie sur Office 365 - Hakim Taoussi...
aOS Monaco 2019 - C1 - Sécuriser sa messagerie sur Office 365 - Hakim Taoussi...aOS Monaco 2019 - C1 - Sécuriser sa messagerie sur Office 365 - Hakim Taoussi...
aOS Monaco 2019 - C1 - Sécuriser sa messagerie sur Office 365 - Hakim Taoussi...
 
aOS Monaco 2019 - B7 - I Developed a SPFx solution, what to do next and how t...
aOS Monaco 2019 - B7 - I Developed a SPFx solution, what to do next and how t...aOS Monaco 2019 - B7 - I Developed a SPFx solution, what to do next and how t...
aOS Monaco 2019 - B7 - I Developed a SPFx solution, what to do next and how t...
 
aOS Monaco 2019 - B6 - Mister Governance and Doctor Teams - Jean-François Ber...
aOS Monaco 2019 - B6 - Mister Governance and Doctor Teams - Jean-François Ber...aOS Monaco 2019 - B6 - Mister Governance and Doctor Teams - Jean-François Ber...
aOS Monaco 2019 - B6 - Mister Governance and Doctor Teams - Jean-François Ber...
 
aOS Monaco 2019 - B5 - The good, the bad and the unexpected - a BOT story - K...
aOS Monaco 2019 - B5 - The good, the bad and the unexpected - a BOT story - K...aOS Monaco 2019 - B5 - The good, the bad and the unexpected - a BOT story - K...
aOS Monaco 2019 - B5 - The good, the bad and the unexpected - a BOT story - K...
 
aOS Monaco 2019 - B4 - Three must have workflows with Microsoft Flow - Vlad C...
aOS Monaco 2019 - B4 - Three must have workflows with Microsoft Flow - Vlad C...aOS Monaco 2019 - B4 - Three must have workflows with Microsoft Flow - Vlad C...
aOS Monaco 2019 - B4 - Three must have workflows with Microsoft Flow - Vlad C...
 
aOS Monaco 2019 - B3 - Create purchase request in PowerApps - Robi Voncina
aOS Monaco 2019 - B3 - Create purchase request in PowerApps - Robi VoncinaaOS Monaco 2019 - B3 - Create purchase request in PowerApps - Robi Voncina
aOS Monaco 2019 - B3 - Create purchase request in PowerApps - Robi Voncina
 
aOS Monaco 2019 - B2 - Intégrer la Power Platform avec SharePoint - Patrick G...
aOS Monaco 2019 - B2 - Intégrer la Power Platform avec SharePoint - Patrick G...aOS Monaco 2019 - B2 - Intégrer la Power Platform avec SharePoint - Patrick G...
aOS Monaco 2019 - B2 - Intégrer la Power Platform avec SharePoint - Patrick G...
 
aOS Monaco 2019 - B1 - Construire son infrastructure sur Azure un jeu d'enfan...
aOS Monaco 2019 - B1 - Construire son infrastructure sur Azure un jeu d'enfan...aOS Monaco 2019 - B1 - Construire son infrastructure sur Azure un jeu d'enfan...
aOS Monaco 2019 - B1 - Construire son infrastructure sur Azure un jeu d'enfan...
 
aOS Monaco 2019 - A7 - Sécurisez votre SI et vos services Office 365 partie 2...
aOS Monaco 2019 - A7 - Sécurisez votre SI et vos services Office 365 partie 2...aOS Monaco 2019 - A7 - Sécurisez votre SI et vos services Office 365 partie 2...
aOS Monaco 2019 - A7 - Sécurisez votre SI et vos services Office 365 partie 2...
 
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
 

2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-Philipe Lesage

  • 1. 1 aOS Aix-Marseille 12/06/2019 Gestion des comptes à privilèges dans le cloud Jean-Philippe Lesage Votr photo
  • 3. #aOSAixMarseille 12/06/19 HELLO! I am Jean-Philippe LESAGE I am here because I love to give presentations. You can find me at jplesage@Microsoft.com
  • 4. 4 PARTIE 1 / PROTEGER
  • 5. Menaces sur les comptes à privilèges Compromission des comptes à privilèges permanents Exécution de tâches sensibles Données sensibles Copiées en dehors de l’entreprise Données sensibles Rancon Entreprise Dommages INTERNES MALVEILLANTS ATTAQUANTS EXTERNES
  • 6. Azure Multi-Factor Authentication (MFA) Appliquer à partir du Cloud • Azure AD MFA basée sur le téléphone • Appel téléphonique • Message SMS • App mobile Microsoft Authenticator (recommandée) Appliquer à partir de l’environnement local • Réaliser l’authentification au niveau du serveur de fédération • Azure AD signale qu’une authentification multifacteur est requise, le serveur de fédération server transmet les revendications d’authentification multifacteur • AD FS prend en charge une authentification multifacteur enfichable • Fournisseurs d’authentification https://myapps.microsoft.com
  • 7. MFA simple vs accès conditionnel Authentification multifacteur par utilisateur Toujours exiger une authentification multifacteur, pour toutes les applications Accès conditionnel Toujours exiger une authentification multifacteur dans des conditions spécifiques • Pour une application spécifique • Quand on n’est pas sur un périphérique géré • Lorsque la connexion est considérée comme un risque élevé Fonctionnalité Azure AD Premium • SKU P1 • Licences requises pour les utilisateurs affectés par la stratégie
  • 8. Réseau entreprise Géolocalisation Microsoft Cloud App Security Apps cliente Apps navigateur Exiger MFA Accès autorisé/bloqué Bloquer authentifications anciennes Forcer la réinitialisation du mot de passe****** Accès limité Contrôles Employés et partenaires Utilisateurs et rôles Appareils conformes et de confiance (Intune) Emplacements physique et virtuel Apps clientes et méthode d’authentification Conditions Machine learning Politiques Moteur d’évaluation temps réel Risque de la session 3 40 TO Politique effective MacOS Android iOS Windows Windows Defender ATP Google ID MSA Azure AD ADFS
  • 9.
  • 10. IF Privileged user? Credentials found in public? Accessing sensitive app? Unmanaged device? Malware detected? IP detected in Botnet? Impossible travel? Anonymous client? High Medium Low User risk 10 TB per day THEN Require MFA Allow access Deny access Force password reset****** Limit access High Medium Low Session risk Azure Bing OneDrive Microsoft Cyber Defense Operations Center Microsoft Cybercrime Center Xbox Live Microsoft Accounts Skype Accès conditionnel basé sur le risque
  • 11.
  • 12. Licences EMS E5 / MS 365 E5 Azure ADP 2 Identity protection Privileged Identity Management Azure AD P1 EMS E3 Accès conditionnel
  • 13. 13 PARTIE 2 / GERER
  • 14. Ne pas utiliser de compte pour le travail quotidien Écrire un mot de passe fort aléatoire et le verrouiller Ne pas partager le mot de passe Changer le mot de passe chaque fois que vous l'utilisez et sur une base planifiée Utiliser les comptes « Brise-glace » https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/directory-admin-roles-secure#define-at-least-two-emergency-access- accounts
  • 15. Rôles Azure de niveau supérieur importants Administrateur de compte • Peut gérer les informations de facturation • Un par abonnement • Peut créer des abonnements • Peut désigner l'administrateur de service • Changement en utilisant la fonction de transfert Administrateur de service • Contrôle total de toutes les ressources au sein d’un abonnement • Peut désigner des co-administrateurs (Legacy – ne pas utiliser) https://account.azure.com
  • 16. Azure RBAC (Role-Based Access Control) Contrôle d'accès fin au niveau "plan de contrôle" Azure Accorder l'accès en affectant un principal de sécurité un rôle à un périmètre • Principal de sécurité : utilisateur, groupe ou principal de service • Rôle : rôle intégré ou personnalisé • Périmètre : abonnement, groupe de ressources ou ressource Les affectations sont héritées de la hiérarchie des ressources
  • 17. Un rôle est défini comme une collection d’actions Les fournisseurs de ressources Azure prennent en charge les listes d'actions Qu'est-ce qu'un rôle ?
  • 18. Les fournisseurs de ressources prennent en charge des actions (Get-AzureRmProviderOperation Microsoft.Compute/*).Operation
  • 19. Un rôle est une collection d'actions Get-AzureRmRoleDefinition -Name Owner
  • 20. Définition de rôle : contributeur Get-AzureRmRoleDefinition -Name Contributor
  • 21. Définition de rôle : lecteur Get-AzureRmRoleDefinition -Name Reader
  • 22. Définition de rôle : contributeur de machine virtuelle Get-AzureRmRoleDefinition -Name "Virtual Machine Contributor"
  • 23. Pour les références Get-AzureRmRoleDefinition -Name "Virtual Machine Contributor" Get-AzureRmProviderOperation <SearchString> GetAzureRmRoleDefinition –Name <RoleName>
  • 25.
  • 26. Premium P2 Recertifier les utilisateurs invités (B2B) Recertifier les employés Collecter pour audit (Conformité, sécurité…) Access Reviews https://docs.microsoft.com/en-us/azure/active-directory/active-directory-azure-ad-controls-access-reviews-overview
  • 27. La vraie vie de l’administrateur • • • •
  • 28. Privileged Identity Management Avoir des accès privilégiés pendant une période définie Le MFA est requis pendant le processus d’activation Une alerte informe les administrateurs d’un changement L’utilisateur doit activer ses privilèges pour effectuer une tâche L’utilisateur ne garde ses privilèges que pendant une période prédéfinie Les administrateurs de sécurité peuvent découvrir tous les comptes à privilège, voir les rapports d’audit et verifier tous les comptes élligibles Audit SECURIT Y ADMIN Configure Privileged Identity Management USE R PRIVILEGED IDENTITY MANAGEMENT Identity verification Monitor Access reports MFA ALERT Security Reader ADMIN PROFILES Billing Admin Global Admin Service Admin
  • 29. PIM pour ressources Azure On Demand, just-in-time access dans Azure RBAC Accès limité dans le temps Utilisateur ordinaire Contributeur Découvrir restreindre et gérer les rôles Utilisateur ordinaire Les privilèges liés au role expirent après l’intervalle spécifié
  • 31. Just in Time Access Auditing Just Enough Access Workflow d’approbation Privileged access management dans Office 365 https://aka.ms/o365pam
  • 32.
  • 33. Protection avec Microsoft 365 Encryption RBAC Accès conditionnel Azure AD PIM Office 365 PAM Empêcher les accès non légitimes Gouvernance des accès privilégiés Role & risk based Standing access JIT & JEA avec approbation
  • 34. Mais le monde est hybride… 2. Time-bound privileges (no permanent admins) http://aka.ms/PAM http://aka.ms/AzurePIM 1. Privileged Access Workstations (PAWs) Phases 2 and 3 –All Admins and additional hardening (Credential Guard, RDP Restricted Admin, etc.) http://aka.ms/CyberPAW 4. Just Enough Admin (JEA) for DC Maintenance http://aka.ms/JEA 9872 521 6. Attack Detection http://aka.ms/ata 5. Lower attack surface of Domain and DCs http://aka.ms/HardenAD Build visibility and control of administrator activity, increase protection against typical follow-up attacks 3. Multi-factor for elevation http://aka.ms/privsec https://aka.ms/SPAroadmap
  • 35. Admin locaux ? • Mots de passe des admin locaux • Souvent les mêmes • Persistants • Connus mais qui connait ? • Difficiles à changer à la demande • Délégation pour le changer ? • • https://www.microsoft.com/en-us/download/details.aspx?id=46899 https://blogs.technet.microsoft.com/secguide/2018/12/10/remote-use-of-local-accounts-laps-changes-everything/
  • 36. Et si l’on faisait de l’accès conditionnel avec PIM ?
  • 37.
  • 38. 40 PARTIE 3 / Rapporter
  • 39. Azure Active Directory monitoring and reporting Displays all sign-in events to applications. Access and usage reporting • Security reports. Displays risky users and sign-ins e.g., sign-ins from anonymous IPs, impossible travel, unfamiliar locations and infected devices. • User-specific reports. Displays device/sign-in activity data for a specific user. • Activity logs. Displays all audited events e.g., group activity changes, password resets and registration activity. Azure Management Portal https://docs.microsoft.com/fr-fr/azure/active-directory/active-directory- reporting-activity-audit-logs
  • 40. Utiliser le content pack Azure Active Directory Activity logs Content Pack Power BI https://blogs.technet.microsoft.com/enterprisemobility/2017/01/20/admins-rejoice-azure-active-directory-meets-power-bi/ https://docs.microsoft.com/en-us/azure/active-directory/active-directory-reporting-power-bi-content-pack-how-to
  • 41.
  • 42. Pour aller plus loin • How Microsoft uses PIM : https://aka.ms/PIMatMS • Secure administration best practice whitepaper : https://aka.ms/BreakGlass • IT Experts Roundtable : How Microsoft secures elevated access with tools and privileged credentials • Zero Standing Access : https://aka.ms/zerostandingaccess
  • 43.
  • 44.
  • 45. ◦ Azure Active Directory ◦ Accès Conditionnel / Conditionnal Access
  • 46.
  • 47.
  • 48. ◦ Sélection des conditions d’accès
  • 49. ◦ Sélectionner les contrôles et activer
  • 50.
  • 51.
  • 52.
  • 53.
  • 54.
  • 55.
  • 56.
  • 57.