Compte Entra privilégié synchronisé avec AD (hybride)

Si votre organisation a configuré la synchronisation des annuaires, par exemple avec « Microsoft Entra Connect » (anciennement « Azure AD Connect ») ou « Microsoft Entra Cloud Sync » (anciennement « Azure AD Connect Cloud Sync »), pour synchroniser (entre autres) les utilisateurs d'Active Directory sur site avec Entra ID dans le cloud, vous pourriez être tenté d'utiliser des comptes AD hybrides pour les rôles privilégiés dans Entra ID. Cependant, cela crée une opportunité de pivot pour les attaquants, qui pourraient ainsi étendre leur contrôle malveillant sur Entra ID après avoir compromis Active Directory. Ils disposent de plusieurs techniques pour usurper l'identité des utilisateurs AD et peuvent également les appliquer à Entra ID.

C'est la raison pour laquelle Microsoft met en garde contre cette pratique dans son article « Protéger Microsoft 365 des attaques locales », considérant qu'« il ne devrait y avoir aucun compte sur site disposant de privilèges d'administration dans Microsoft 365 » et recommandant de s'assurer qu'« aucun compte sur site ne dispose de privilèges élevés pour Microsoft 365 ».

Dans son article « Protéger Microsoft 365 des attaques locales », Microsoft recommande d'« utiliser des comptes “cloud seulement” pour les rôles privilégiés dans Entra et Microsoft 365 ». Contrairement aux comptes hybrides, les comptes « cloud seulement » sont des comptes créés dans Entra ID qui ne sont pas synchronisés avec Active Directory. Vous devez utiliser des comptes « cloud seulement » dédiés pour toutes les attributions de rôles privilégiés dans Entra.

Les personnes possédant un compte Entra « cloud seulement » privilégié ont aussi tendance à disposer d'un compte Active Directory. Elles doivent utiliser des mots de passe différents pour leurs comptes Active Directory et Entra afin d'isoler complètement leur compte Entra, au cas où AD serait compromis et leur mot de passe révélé. Il convient de sensibiliser les personnes concernées à l'importance d'utiliser des mots de passe distincts afin d'isoler les comptes de manière efficace.

Les bonnes pratiques de sécurité recommandent également de disposer d'un compte distinct pour les rôles privilégiés afin que le compte « cloud seulement » privilégié reste séparé (grâce à un mot de passe différent) du compte Entra habituel, qui peut être un compte hybride.

Une fois que vous avez créé des comptes « cloud seulement » et formé leurs propriétaires à la finalité et à l'utilisation de ces comptes, remplacez toutes les attributions de rôles privilégiés à des comptes hybrides que cet indicateur d'exposition a identifiées par les nouveaux comptes « cloud seulement ».

Nom: Compte Entra privilégié synchronisé avec AD (hybride)

Nom de code: PRIVILEGED-AAD-ACCOUNT-SYNC-WITH-AD-HYBRID

Niveau de gravité: High