Microsoft a publié un guide pour vous aider dans le déploiement de la stratégie de sécurité Zero Trust (Confiance Zero) pour Azure Active Directory. Cette stratégie part du principe que l’infrastructure est globalement faillible et qu’il faut mettre en place des mécanismes pour y remédier :
Mettre les fondations
- Connecter vos utilisateurs, groupes et périphériques avec Azure AD
- Intégrer les applications avec Azuer AD en utilisant OAuth2.0/SAML ou Azure AD Application Proxy pour Kerberos et l’authentification basée sur formulaire.
- Automatiser le provisionnement des applications
- Utiliser des mécanismes de journalisation et de reporting
Adopter le 1er principe : le moins de privilèges possible
- Planifier le déploiement de l’accès conditionnel
- Sécuriser les accès privilégiés avec Privileged Identity Management
- Restreindre le consentement utilisateur des applications
- Gérer les droits et privilèges (entitlments)
Adopter le 2e principe : vérifier explicitement
- Déployer Azure MFA
- Activer la jointure Azure AD et l’Hybrid Azure AD Join
- Gérer les périphériques mobiles avec Microsoft Intune
- Déployer des identifiants sans mot de passe avec FIDO 2.0
Adopter le 3ème principe : supposer la brèche
- Déployer Azure AD Password Protection
- Bloquer l’authentification héritée
- Activer Identity Protection
- Permettre l'utilisation de la session restreinte dans les décisions d'accès
- Activer l'intégration de l'accès conditionnel avec Microsoft Cloud App Security (MCAS)
- Permettre l'intégration de Microsoft Cloud App Security (MCAS) avec la protection de l'identité
- Intégrer Azure Advanced Threat Protection (ATP) avec Microsoft Cloud App Security
- Activer Microsoft Defender ATP
Plus d’informations sur Zero Trust Deployment Guide for Microsoft Azure Active Directory
