Indicateurs d'exposition
| Nom | Description | Sévérité | Type |
|---|---|---|---|
| Appareils dormants | Les appareils dormants posent des risques de sécurité tels que des configurations obsolètes et des vulnérabilités non corrigées. En l'absence de surveillance et de mises à jour régulières, ces appareils obsolètes deviennent des cibles potentielles d'exploitation, compromettant ainsi l'intégrité des tenants et la confidentialité des données. | LOW | |
| Utilisateurs avec privilèges jamais utilisés | Les comptes utilisateur avec privilèges qui n'ont jamais été utilisés peuvent être compromis, car ils échappent généralement à la détection effectuée par les mesures défensives. De plus, leurs mots de passe par défaut potentiels en font des cibles de choix pour les attaquants. | MEDIUM | |
| Liste de domaines fédérés | La configuration malveillante de domaines fédérés constitue une menace courante, utilisée par les attaquants comme porte dérobée d'authentification vers le tenant Entra ID. La vérification des domaines fédérés existants et nouvellement ajoutés est essentielle pour garantir la fiabilité et la légitimité de leurs configurations. Cet indicateur d'exposition fournit une liste complète des domaines fédérés et de leurs attributs pertinents, afin de vous aider à prendre des décisions éclairées concernant leur statut de sécurité. | LOW | |
| Porte dérobée de domaine fédéré connue | Microsoft Entra ID permet de déléguer l'authentification à un autre fournisseur via la fédération. Toutefois, les attaquants disposant de privilèges élevés peuvent exploiter cette fonction en ajoutant leur propre domaine fédéré malveillant, ce qui permet la persistance et l'élévation des privilèges. | CRITICAL | |
| Authentification MFA manquante pour un compte non privilégié | L'authentification MFA, ou multifacteur, protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'activer l'authentification MFA, même pour les comptes non privilégiés. Les comptes pour lesquels aucune méthode MFA n'a été enregistrée ne peuvent pas en bénéficier. | MEDIUM | |
| Groupe M365 public | Les groupes Microsoft 365 stockés dans Entra ID sont publics ou privés. Les groupes publics posent un risque de sécurité, car n'importe quel utilisateur du tenant peut les rejoindre et accéder à leurs données (chats/fichiers des équipes, e-mails, etc.). | MEDIUM | |
| Fonction de passe d'accès temporaire (TAP) activée | La fonctionnalité TAP (Passe d'accès temporaire) est une méthode d'authentification temporaire qui utilise un mot de passe limité dans le temps ou à usage limité. Bien qu'il s'agisse d'une fonctionnalité légitime, il est plus sûr de la désactiver afin de réduire la surface d'attaque si votre organisation n'en a pas besoin. | LOW | |
| Domaines non vérifiés | Vous devez confirmer la propriété de tous les domaines personnalisés dans Entra ID. Les domaines non vérifiés ne doivent être conservés que temporairement : vous devez soit les vérifier, soit les supprimer, afin de maintenir une liste de domaines ordonnée et de faciliter des vérifications efficaces. | LOW | |
| Compte invité disposant d'un rôle avec privilèges | Les comptes invités sont des identités externes qui peuvent poser un risque de sécurité lorsque des rôles privilégiés leur sont assignés. Cela accorde des privilèges substantiels au sein du tenant à des personnes externes à votre organisation. | HIGH | |
| Principal de service propriétaire (ou interne) avec identifiants | Les principaux de service propriétaires (ou internes) disposent de puissantes autorisations, mais ils sont négligés parce qu'ils sont cachés, nombreux et détenus par Microsoft. Les attaquants y ajoutent des identifiants pour exploiter discrètement leurs autorisations à des fins d'élévation de privilèges et de persistance. | HIGH | |
| Authentification MFA non requise pour un rôle privilégié | L'authentification MFA, ou multifacteur, protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'activer l'authentification MFA, en particulier pour les comptes privilégiés disposant de rôles privilégiés. | HIGH | |
| Attribution du rôle « Synchronisation AD » suspecte | Microsoft a conçu deux rôles Entra ID intégrés masqués pour la synchronisation Active Directory. Ils sont destinés exclusivement aux comptes de service Entra Connect ou Cloud Sync. Ces rôles possèdent des autorisations privilégiées implicites, que des acteurs malveillants pourraient exploiter pour lancer des attaques invisibles. | HIGH |