Quand on intervient dans les entreprises, certains services tels qu’Office 365 ou Azure Active Directory ont été mis en place sans prendre en compte les enjeux de sécurité. On peut donc voir des administrateurs qui se connectent avec leur compte possédant directement les droits d’administrateur global (Global Admin) d’Azure Active Directory et n’ayant aucune protection tels que l’authentification à facteurs multiples (MFA).
Microsoft propose un article plutôt bien réalisé permettant de définir une feuille de route à 4 étapes visant à aborder la sécurisation des accès privilégiés à Azure Active Directory et plus généralement aux services qui gravitent autour :
- Etape 1 :
- Activer Azure AD Privileged Identity Management (PIM)
- Identifier et catégoriser les comptes à haut privilèges (Global Admin, Exchange Online Administrator, Intune Administrator, etc.)
- Définir au moins deux comptes d’accès d’urgence
- Activer l’authentification à facteurs multiples et enregistrer tous les autres comptes administrateurs non fédérés à hauts privilèges.
- Etape 2 :
- Conduire un inventaire des services, propriétaires et administrateurs
- Identifier les comptes Microsoft dans des rôles d’administration qui auraient besoin d‘être changé vers des comptes d’entreprise
- Vérifier que les comptes utilisateurs et le transfert de courrier sont séparés pour les comptes d’administrateur global.
- Vérifier que le mot de passe des comptes d’administration est changé fréquemment
- Activer la synchronisation du hash du mot de passe
- Demander l’authentification à facteurs multiples pour tous les utilisateurs dans des rôles à privilèges ainsi qu’aux utilisateurs exposés (VIP, etc.)
- Configurer Azure AD Identity Protection
- Prendre en compte le Secure Score d’Office 365
- Revoir le guide de conformité et de sécurité d’Office 365
- Configurer la supervision d’activité d’Office 365
- Etablir des propriétaires de plan de réponse en cas d’incident/d’urgence
- Securiser les comptes d’admnistrations privilégiés On-Premises
- Faire un inventaire des abonnements Azure
- Supprimer les comptes Microsoft des rôles d’administration Azure
- Superviser l’activité d’Azure
- Configurer des stratégies d’accès conditionnel
- Etape 3
- Faire une revue des accès des utilisateurs sur les rôles à privilèges
- Continuer le déploiement d’authentification forte pour tous les utilisateurs
- Utiliser des stations de travail dédiés pour l’administration d’Azure AD.
- Implémenter le Just-In-Time priviléges pour les rôles d’administration supplémentaires via PIM
- Déterminer l'exposition aux protocoles de connexion basés sur des mots de passe
Plus d’informations sur : Securing privileged access for hybrid and cloud deployments in Azure AD