Utilisateurs à risque sans application

La Protection Microsoft Entra ID (anciennement Protection des identités) identifie les utilisateurs à risque dans Entra ID et nécessite des licences Microsoft Entra ID P2 pour fonctionner. Comme expliqué dans la documentation Microsoft sur les détections de risques, il existe deux types de détections de risques :

• Les détections de risque de connexion, traitées dans l'IoE « Authentification MFA non requise pour les connexions à risque »
• Les détections de risque utilisateur

Un utilisateur peut être considéré à risque dans les cas suivants :

• Il dispose d'une ou plusieurs connexions à risque.
• Un ou plusieurs risques sont détectés sur son compte, par exemple : Informations d'identification fuitées ou Activité anormale de l’utilisateur.

Il existe trois niveaux de risque :

• Élevé
• Moyen
• Faible

Utilisez des stratégies d'accès conditionnel pour appliquer des mesures de sécurité lorsque le système identifie un utilisateur à risque.

La stratégie MS.AAD.2.1v1 de la CISA « M365 Secure Configuration Baseline for Microsoft Entra ID » (Référence de configuration sécurisée de M365 pour Microsoft Entra), rendue obligatoire par la directive BOD 25-01, indique que les « utilisateurs détectés comme présentant un risque élevé DOIVENT être bloqués ». En suivant les conseils de la CISA, cet IoE garantit qu'au moins une stratégie d'accès conditionnel inclut les paramètres suivants :

• « Utilisateurs » configuré pour inclure « Tous les utilisateurs ».
• « Ressources cibles » configuré sur « Toutes les ressources ».
• « Conditions > Risque utilisateur » configuré sur « Vrai », en sélectionnant le niveau de risque « Élevé ».
• « Accorder » configuré sur « Bloquer l'accès ».
• « Activer la stratégie » configuré sur « Activé » (et non pas sur « Désactivé » ou « Rapport seul »).

Au lieu de cela, si vous choisissez de suivre la recommandation de Microsoft, cet IoE s'assure qu'au moins une stratégie d'accès conditionnel inclut les paramètres suivants :

• « Utilisateurs » configuré pour inclure « Tous les utilisateurs ».
• « Ressources cibles » réglé sur « Toutes les ressources ».
• « Conditions > Risque utilisateur » configuré sur « Oui » et en sélectionnant le niveau de risque « Élevé ».
• « Accorder » réglé sur « Exiger la modification du mot de passe ».
• « Activer la stratégie » défini sur « Activé » (et non pas sur « Désactivé » ou « Rapport seul »).

Une stratégie d'accès conditionnel (CAP) doit être activée pour le tenant, afin de le protéger de tous les utilisateurs identifiés comme à haut risque.

Tenable recommande de bloquer uniquement les utilisateurs à haut risque, afin de réduire la perturbation des activités. La CISA et Microsoft ont des avis divergents sur la façon de prévenir ce risque :

• La stratégie MS.AAD.2.1v1 de la CISA « M365 Secure Configuration Baseline for Microsoft Entra ID » (Référence de configuration sécurisée de M365 pour Microsoft Entra ID), rendue obligatoire par la directive BOD 25-01, recommande de bloquer complètement les utilisateurs à risque.
• En revanche, Microsoft recommande de déclencher la remédiation automatique en exigeant une modification du mot de passe.

Tenable recommande de suivre les conseils de la CISA, car il s'agit de l'approche la plus sûre. Cependant, comme il s'agit également de l'approche la plus restrictive, vous pouvez facilement opter pour la recommandation de Microsoft en utilisant l'option proposée dans l'IoE.

Dans cette optique, plusieurs options s'offrent à vous pour créer une CAP :

• Modifiez une CAP existante en appliquant les paramètres spécifiés dans la description de l'IoE.
• Créez une CAP dédiée et configurez-la selon les spécifications indiquées dans la description de l'IoE.

Si vous suivez la recommandation de Microsoft au lieu des conseils de la CISA, vous pouvez également utiliser le modèle de CAP « Exiger une modification du mot de passe pour les utilisateurs à haut risque » de Microsoft. Ce modèle répond à tous les critères décrits dans cet IoE lorsque vous activez l'option permettant de suivre la recommandation de Microsoft.

Remarque : Microsoft et Tenable recommandent tous deux d'exclure certains comptes des stratégies d'accès conditionnel, afin d'empêcher le verrouillage des comptes à l'échelle du tenant et les effets secondaires non souhaités. Tenable recommande également de suivre la documentation Microsoft « Planifier un déploiement d’accès conditionnel » pour assurer une planification et une gestion des modifications appropriées, mais aussi pour atténuer le risque de verrouiller vos propres comptes. En particulier, si vous utilisez des solutions d'identité hybrides telles que Microsoft Entra Connect ou Microsoft Entra Cloud Sync, vous devez exclure leur compte de service de la stratégie, car il ne respecte pas la stratégie d'accès conditionnel. Utilisez l'action « Exclure les utilisateurs » et excluez directement le ou les comptes de service, ou cochez l'option « Rôles d'annuaire » et sélectionnez le rôle « Comptes de synchronisation d'annuaires ».

La configuration d'une CAP est essentielle pour éviter toute compromission, mais ne remplace pas une analyse forensique du risque signalé. Si vous souhaitez en savoir plus, Microsoft fournit un guide d'examen des risques.

Nom: Utilisateurs à risque sans application

Nom de code: RISKY-USERS-WITHOUT-ENFORCEMENT

Sévérité: Medium

Type: Microsoft Entra ID Indicator of Exposure