Comprendre la gestion des identités et des accès Microsoft : tout ce que vous devez savoir

Publié: 2019-11-14

Saviez-vous que 445 millions de dollars ont été perdus par les cybercriminels rien qu'en 2018 ?

Selon le rapport Verizon Data Breach Investigations 2019, 80 % des attaques de type piratage impliquaient des informations d'identification compromises ou faibles. Dans l'ensemble, 29 % de toutes les violations étaient dues à des identifiants volés.

Les solutions de gestion des identités et des accès n'ont jamais été aussi essentielles pour les entreprises. Mais la plupart des entreprises ne savent pas par où commencer. Nous avons créé cet article pour vous donner un point de départ et vous en dire plus sur les solutions Microsoft Identity and Access Management.

Que font les services IAM ?

Vos employés sont votre plus grand risque de sécurité. S'ils négligent de garder leurs mots de passe sécurisés ou utilisent des mots de passe faibles, vous pouvez aussi bien envoyer un avis disant : « Hackez-moi ». La gestion des accès est simple lorsque vous dirigez une petite entreprise avec quelques employés. Plus vous avez d'employés, plus cela devient difficile à gérer. C'est là que les services IAM entrent en jeu.

Gérer l'accès des employés

Ils vous permettent de gérer plus efficacement l'accès des employés à vos systèmes. Ils offrent une alternative, des options d'accès plus sécurisées. Azure Active Directory de Microsoft, par exemple, vous offre un point de connexion unique couplé à un système d'autorisation multifacteur.

Ainsi, au lieu de simplement saisir votre nom d'utilisateur et votre mot de passe, vous aurez quelques étapes d'authentification différentes. Vous devrez peut-être, par exemple, saisir un code d'authentification envoyé à votre téléphone. Ou, si vous avez besoin d'encore plus de sécurité, l'identification biométrique peut être mise en jeu.

Avec les systèmes IAM, vous pouvez voir en un coup d'œil à quels systèmes un employé peut accéder. Vous pouvez ajuster leur accès aux seuls systèmes essentiels à leur fonctionnement. Vous pouvez également programmer le système pour réinitialiser automatiquement les mots de passe après un intervalle défini.

Améliorez le parcours client

Ces systèmes peuvent améliorer le parcours client en rendant le processus de connexion plus simple et plus sécurisé.

Gérer l'accès pour les sous-traitants externes

Si vous avez besoin de travailler avec des indépendants, ces systèmes vous permettent de configurer les profils d'utilisateurs rapidement et facilement. Vous pouvez attribuer des privilèges d'utilisateur limités uniquement aux systèmes auxquels ils ont besoin d'accéder.

Vous pouvez, par exemple, leur donner accès à une seule adresse e-mail d'entreprise ou un accès de base à votre base de données. Vous pouvez également programmer une date de fin de contrat pour vous assurer que l'accès est annulé automatiquement.

Améliorer la productivité

Ils peuvent également être utiles pour améliorer la productivité car ils permettent aux employés de travailler en toute sécurité à partir de différents appareils. Beaucoup de ces services sont basés sur le cloud, ils ne dépendent donc pas de l'appareil. En d'autres termes, vous n'avez pas à les télécharger sur l'appareil lui-même.

En limitant l'accès des employés à vos systèmes, vous êtes mieux à même de gérer la congestion au sein de ces systèmes. Ceci, à son tour, améliore la productivité.

Prise en charge de la conformité

Les lois sur la confidentialité devenant de plus en plus strictes, les entreprises sont de plus en plus sollicitées pour protéger les informations des clients. Les systèmes IAM peuvent y contribuer.

Permettez au personnel informatique de se concentrer sur des tâches plus importantes

Enfin, ces systèmes permettent l'automatisation des tâches essentielles de sécurité. Cela libère votre personnel informatique pour qu'il puisse travailler sur des choses plus importantes. Cela réduit également le risque d'erreur humaine.

Comment Microsoft s'intègre-t-il ?

La gamme Azure de Microsoft propose un ensemble d'outils robustes qui vous offrent les niveaux de sécurité dont vous avez besoin. Ils se sont également associés à plusieurs fournisseurs tiers pour améliorer encore la protection. Ainsi, si Microsoft n'a pas la technologie pour offrir un logiciel de reconnaissance faciale, par exemple, ils s'associeront à une entreprise qui le fait.

Gestion des identités privilégiées Azure

Ce produit fournit des activations basées sur l'approbation et sur le temps pour aider à prévenir l'utilisation abusive des ressources et l'accès non autorisé.

Les fonctionnalités incluent :

  • Accès privilégié juste-à-temps : cette fonctionnalité vous permet de bloquer le trafic entrant vers votre machine virtuelle Azure. Cela vous protège efficacement contre les attaques en réduisant votre exposition. Lorsque le système n'est pas utilisé, il est verrouillé.
  • Privilèges d'accès limités dans le temps : Disons, par exemple, que vous employez quelqu'un temporairement. Saisissez les dates de début et de fin du contrat. Le système coupera automatiquement l'accès à la date de résiliation.
  • Contrôler qui contrôle : Le système nécessite la création puis l'activation de profils d'utilisateurs. L'activation des privilèges spéciaux ne peut être obtenue qu'avec l'approbation de l'administrateur système. Vous pouvez, si vous préférez, suivre le modèle maker/checker ici. Le professionnel de l'informatique 1 crée les profils, puis les lance dans la file d'attente pour approbation d'activation.
  • Utilisez l'authentification multifacteur pour les activations d'utilisateurs : la protection s'étend au-delà de vos employés. Vous pouvez également activer l'authentification à deux facteurs pour les utilisateurs qui s'inscrivent à votre site. S'ils créent un profil, par exemple, ils devront vérifier l'adresse e-mail pour l'activer.
  • Notification lorsqu'un rôle privilégié devient actif : Il s'agit d'une autre forme d'authentification. Si quelqu'un se connecte au système ou demande l'autorisation de le faire, une notification est envoyée.
  • Examen des accès : Les employés ont-ils changé de rôle ? Ont-ils toujours besoin d'autant d'accès qu'avant ? Microsoft Identity Access Management simplifie la révision des rôles et la modification de l'accès si nécessaire.
  • Historique d'audit complet : ceci est utile si vous êtes audité. Cela fournit une preuve des dates d'activation, des dates de modification des données, etc. Cela peut devenir important si votre entreprise fait face à des accusations en termes de lois sur la confidentialité. Cela rend également les audits internes beaucoup plus faciles à mener.

Qui est autorisé à faire quoi ?

Le système attribue différents privilèges aux personnes chargées de le gérer. Voici comment cela fonctionne.

  • Administrateur de sécurité

Le premier utilisateur enregistré ici se voit attribuer les rôles d'administrateur privilégié et d'administrateur de sécurité.

  • Administrateurs privilégiés

Ce sont les seuls administrateurs qui peuvent attribuer des rôles à d'autres administrateurs. Vous pouvez également accorder à d'autres administrateurs l'accès à Azure AD. Les personnes dans les rôles suivants peuvent voir les affectations, mais pas les modifier. Ces personnes incluent les administrateurs de sécurité, les administrateurs globaux, les lecteurs de sécurité et les lecteurs globaux.

  • Administrateur d'abonnement

Les personnes occupant ces rôles peuvent gérer les affectations pour les autres administrateurs. Ils peuvent modifier et mettre fin aux affectations. Les autres rôles autorisés à le faire sont les administrateurs d'accès utilisateur et les propriétaires de ressources.

Il convient de noter que les personnes occupant les rôles suivants doivent être autorisées à afficher les affectations : administrateurs de sécurité, administrateurs de rôle privilégié et lecteurs de sécurité.

Terminologie que vous devez connaître

La terminologie utilisée dans Microsoft Privileged Identity Management peut prêter à confusion pour les non-initiés. Voici une ventilation de la terminologie de base.

  • Éligible

Avec cette attribution, les utilisateurs doivent effectuer une ou plusieurs actions spécifiques pour activer leur rôle. La différence entre ce rôle et un rôle permanent est que tout le monde n'a pas besoin d'y accéder à tout moment. L'utilisateur peut activer le rôle lorsqu'il a besoin d'y accéder.

  • actif

Il s'agit des attributions de rôle attribuées par défaut par le système. Ils n'ont pas besoin d'être activés. Par exemple, les administrateurs système peuvent créer des affectations pour d'autres administrateurs.

  • Activer

Il s'agit de l'action ou des actions que les personnes doivent entreprendre pour prouver qu'elles sont autorisées à utiliser le système. La saisie d'un nom d'utilisateur et d'un mot de passe en est un exemple. De nombreuses méthodes d'authentification différentes peuvent être utilisées ici.

  • Attribué

Cela signifie que l'utilisateur a obtenu certains privilèges au sein du système.

  • Activé

Il s'agit d'un utilisateur qui peut utiliser le système, activer son rôle et qui l'utilise actuellement. Le système invitera l'utilisateur à ressaisir ses informations d'identification après une période d'inactivité définie. Un exemple est avec les services bancaires par Internet, où vous êtes déconnecté après dix minutes d'inactivité.

  • Admissible permanent

Il s'agit d'une affectation qui permet à l'utilisateur d'activer son rôle quand il le souhaite. Ils devront effectuer des actions spécifiques pour accéder aux rôles. Disons, par exemple, qu'un employé saisit un paiement à effectuer. Ils peuvent avoir besoin d'entrer un code attribué au hasard pour confirmer la transaction.

  • Actif permanent

Cette attribution permet à l'utilisateur d'utiliser un rôle sans activation. Ce sont des rôles que l'utilisateur peut prendre sans autre action.

  • Éligible à expiration

Il s'agit d'un rôle basé sur le temps. Ici, vous devrez attribuer des dates de début et de fin. Cela peut être fait pour les indépendants. Il peut également être utilisé pour obliger les employés à mettre à jour régulièrement leurs mots de passe.

La gestion des accès, en particulier dans une organisation de taille moyenne à grande, peut être une tâche difficile. Avec la puissance de la suite Azure de Microsoft, cela devient beaucoup plus facile à réaliser. Les services IAM ajoutent une couche de sécurité supplémentaire pour se protéger contre les violations résultant d'accès internes et de compromissions.

***

Chris Usatenko

Chris Usatenko est un passionné d'informatique, écrivain et créateur de contenu. Il s'intéresse à tous les aspects de l'industrie informatique. Indépendant par nature, il souhaite acquérir de l'expérience et des connaissances du monde entier et les mettre en œuvre dans sa vie.