Compte Entra privilégié avec accès aux services M365

Lorsque vous utilisez un compte privilégié pour des activités quotidiennes, comme lire des e-mails ou des documents provenant d'Internet, vous augmentez le risque que ce compte soit compromis. Les attaquants obtiennent souvent un accès initial à un environnement par le biais de documents de phishing envoyés par e-mail ou d'attaques de téléchargement furtif dans les navigateurs web. Si un attaquant cible un administrateur avec de telles méthodes d'attaque, cela peut avoir de graves conséquences et compromettre directement et entièrement l'infrastructure Entra, ses comptes et ses ressources.

Cet indicateur d'exposition vérifie si les plans de service (c'est-à-dire les licences) associés aux applications et services Microsoft 365 sont assignés à des comptes privilégiés, alors qu'ils ne devraient être nécessaires que pour les comptes normaux. Cette heuristique de détection vise à identifier les situations dans lesquelles les administrateurs ne disposent que d'un seul compte au lieu de deux comptes distincts (un compte standard et un compte privilégié). Cette méthode de détection peut générer des faux positifs, par exemple lorsqu'un administrateur possède déjà des comptes standard et privilégié distincts, avec des plans de service assignés aux deux comptes. Vous pouvez ignorer la détection si vous confirmez un faux positif après investigation à l'aide d'une option fournie. Cependant, même dans de telles situations, l'utilisation d'applications et de services Microsoft 365 à partir d'un compte privilégié augmente le risque de compromission de ce compte, ce qui est à éviter.

L'IoE vérifie les services Microsoft 365 suivants :

• Exchange Online
• Microsoft 365 Apps
• Office sur le Web
• SharePoint Online
• Microsoft Teams
• Skype Entreprise Online

Cet IoE prend en compte diverses variantes de plan de service pour les services Microsoft 365, tels que les services commerciaux, gouvernementaux, éducatifs et autres.

Vous devez vous assurer que les utilisateurs qui effectuent des tâches d'administration dans Entra ID disposent de plusieurs types de comptes, généralement deux : un compte standard pour un usage quotidien et un compte privilégié distinct strictement réservé aux activités d'administration. Un compte standard sans privilèges doit être utilisé pour les opérations quotidiennes à risque sur Internet ou pour l'ouverture de documents non fiables. Vous devez disposer d'un compte privilégié distinct avec des plans de service limités, notamment et uniquement les plans nécessaires et requis, pour réaliser les tâches administratives. Cela suit les conseils de Microsoft sur la séparation des comptes pour les administrateurs, comme Microsoft le recommande.

En résumé, suivez deux étapes de remédiation :

1. Créez un compte administrateur distinct pour les utilisateurs disposant de privilèges tels que les administrateurs, ce qui est l'objectif principal de cet IoE. Attribuez les privilèges à ces comptes privilégiés dédiés au lieu de leurs comptes habituels. Utilisez les comptes privilégiés uniquement pour les tâches d'administration. Il s'agit d'une bonne pratique de cyber-sécurité courante recommandée par Microsoft, et imposée par les organisations nationales de cyber-sécurité et les normes de conformité.
2. Après avoir séparé les comptes, vérifiez que des plans de service limités sont bien assignés aux comptes privilégiés. Étant donné que ces comptes ne doivent effectuer que des tâches d'administration, ils n'ont pas besoin d'accéder aux applications et services Microsoft 365, ce qui contribue également à réduire leur exposition aux risques. Cette étape rend les comptes privilégiés conformes à cet IoE. Plus précisément, dans les comptes privilégiés, désactivez les plans de service pour les applications et services Microsoft 365 non requis pour les tâches d'administration. Conservez les licences de sécurité utiles comme Entra ID P1/P2. En fonction de la licence de votre organisation, comme Microsoft 365 E3/E5, certains plans de service tels qu'Exchange Online doivent être désactivés tandis que d'autres doivent être conservés (Entra ID P1/P2) Voir les conseils de Microsoft sur la modification des attributions de licence pour un utilisateur ou un groupe dans Microsoft Entra ID.

Le fait de maintenir des comptes standards et privilégiés séparés implique d'autres considérations liées à la sécurité :

• Pour la gestion des mots de passe, assurez-vous que les administrateurs définissent des mots de passe distincts pour leurs comptes standards et privilégiés. L'utilisation du même mot de passe va à l'encontre de l'objectif de séparation des comptes, car elle permet à un attaquant qui compromettrait les informations d'authentification du compte standard d'accéder au compte privilégié.
• Vérifiez que les utilisateurs n'utilisent pas ces comptes à partir du même ordinateur. Protégez les comptes privilégiés en fournissant un dispositif sécurisé dédié et réservé aux opérations privilégiées. Ce concept est appelé « station de travail à accès privilégié » (PAW) ou « appareils avec accès privilégié ». Consultez la documentation de Microsoft sur la Sécurisation des appareils dans le cadre de l'historique des accès privilégiés.

Nom: Compte Entra privilégié avec accès aux services M365

Nom de code: PRIVILEGED-ENTRA-ACCOUNT-WITH-ACCESS-TO-M365-SERVICES

Sévérité: Medium

Type: Microsoft Entra ID Indicator of Exposure