Comment appliquer le modèle Zero Trust en utilisant Entra ID et Intune

Comment appliquer le modèle Zero Trust en utilisant Entra ID et Intune

02/08/2024

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans la mise en œuvre du modèle de sécurité Zero Trust à l'aide des fonctionnalités de Microsoft Entra ID (anciennement Azure Active Directory) et de Microsoft Intune. Le modèle Zero Trust, fondé sur le principe « ne jamais faire confiance, toujours vérifier », est une approche de sécurité moderne qui suppose qu'aucune demande d'accès ne doit être automatiquement approuvée, quelle que soit son origine ou la ressource à laquelle elle tente d'accéder [1].

Présentation

Avec l’expansion du travail à distance, la prolifération des appareils personnels et la migration vers le cloud, le périmètre de sécurité traditionnel des réseaux d’entreprise est devenu obsolète. Le modèle Zero Trust apparaît comme une réponse à ce nouveau scénario, exigeant une vérification explicite pour chaque tentative d'accès, accordant l'accès avec le moins de privilèges et supposant toujours une violation. Microsoft Entra ID et Microsoft Intune sont des composants cruciaux pour créer une architecture Zero Trust robuste, protégeant respectivement les identités et les points de terminaison [2].

Ce guide pratique couvrira les principes de Zero Trust et démontrera comment configurer et intégrer Microsoft Entra ID et Microsoft Intune pour appliquer ces principes. Des instructions étape par étape, des exemples de configuration et des méthodes de validation seront fournis afin que le lecteur puisse mettre en œuvre et renforcer la posture de sécurité de son organisation avec une approche Zero Trust.

Principes de confiance zéro

Le modèle Zero Trust repose sur trois principes fondamentaux [3] :

  1. Vérifier explicitement : authentifiez-vous et autorisez toujours en fonction de tous les points de données disponibles, y compris l'identité de l'utilisateur, l'emplacement, l'état de l'appareil, la sensibilité des ressources et les anomalies.
  2. Utiliser l'accès au moindre privilège : limitez l'accès des utilisateurs à ce qui est uniquement nécessaire. Utilisez le Just-In-Time (JIT) et le Just-Enough Access (JEA), des politiques adaptatives basées sur les risques et la protection des données pour protéger les données et la productivité.
  3. Assume Breach : minimisez le rayon d'explosion et l'accès aux segments. Vérifiez le chiffrement de bout en bout et utilisez l’analyse pour gagner en visibilité, détecter les menaces et améliorer les défenses.

Prérequis

Pour mettre en œuvre le modèle Zero Trust avec Microsoft Entra ID et Intune, vous aurez besoin des éléments suivants :

  1. Licences : licences appropriées pour Microsoft Entra ID Premium P1 ou P2 (pour accès conditionnel) et Microsoft Intune (généralement partie des packages Microsoft 365 E3/E5 ou EMS E3/E5) [4].
  2. Accès administratif : comptes avec les autorisations d'administrateur général, d'administrateur de sécurité ou d'administrateur Intune sur les portails du centre d'administration Microsoft Entra (entra.microsoft.com) et du centre d'administration Microsoft Endpoint Manager (endpoint.microsoft.com).
  3. Appareils inscrits Intune : appareils Windows 10/11 déjà inscrits et gérés par Microsoft Intune.
  4. Identités dans Microsoft Entra ID : utilisateurs et groupes synchronisés ou créés dans Microsoft Entra ID.

Étape par étape : appliquer le modèle Zero Trust

Nous nous concentrerons sur la façon dont Microsoft Entra ID et Intune travaillent ensemble pour appliquer les principes Zero Trust, en particulier « Vérifier explicitement » et « Utiliser l'accès au moindre privilège ».

1. Renforcer l'identité avec Microsoft Entra ID

Microsoft Entra ID est l'épine dorsale du Zero Trust pour les identités, garantissant que seuls les utilisateurs vérifiés y ont accès.

1.1. Mettre en œuvre l'authentification multifacteur (MFA)

L’AMF est un élément fondamental du principe du « contrôle explicite ».

  1. Configurer l'authentification multifacteur via l'accès conditionnel : comme détaillé dans l'article 3, créez une stratégie d'accès conditionnel pour exiger l'authentification multifacteur pour tous les utilisateurs, ou pour des groupes spécifiques, ou pour un accès depuis l'extérieur du réseau d'entreprise.
    • Dans le centre d'administration Microsoft Login, accédez à Protection > Accès conditionnel.
    • Créez une nouvelle stratégie avec les paramètres suivants :
      • Affectations > Utilisateurs d'identité ou charges de travail : sélectionnez Tous les utilisateurs (à l'exclusion des comptes d'urgence).
      • Ressources ou actions cloud : Toutes les applications cloud.
      • Accorder : cochez Exiger une authentification multifacteur.
      • Activer la stratégie : Activé.

1.2. Activer la protection de l'identité Azure AD

Identity Protection détecte les vulnérabilités qui affectent les identités de votre organisation, configure des politiques automatisées basées sur les risques pour protéger ces identités et enquête sur les activités à risque [5].

  1. Dans le centre d'administration Microsoft Login, accédez à Protection > Protection de l'identité.
  2. Politiques de risque utilisateur : configurez cette stratégie pour exiger l'authentification MFA ou la réinitialisation du mot de passe pour les utilisateurs à risque moyen ou élevé.
    • Rôles > Utilisateurs : sélectionnez Tous les utilisateurs.
    • Conditions > Risque utilisateur : sélectionnez Moyen et supérieur.
    • Contrôles > Accès : Accorder l'accès et Exiger la réinitialisation du mot de passe ou Exiger une authentification multifacteur.
    • Activer la stratégie : Activé.
  3. Politiques de risque d'entrée : configurez cette stratégie pour bloquer ou exiger l'authentification MFA pour les entrées à risque.
    • Rôles > Utilisateurs : sélectionnez Tous les utilisateurs.
    • Conditions > Risque d'entrée : sélectionnez Moyen et supérieur.
    • Contrôles > Accès : Accorder l'accès et Exiger une authentification multifacteur (ou Bloquer l'accès en cas de risque élevé).
    • Activer la stratégie : Activé.

2. Garantir l'intégrité des points de terminaison avec Microsoft Intune

Intune garantit que les appareils accédant aux ressources de l'entreprise sont sains et compatibles en appliquant le principe de « vérification explicite » à l'appareil.

2.1. Créer des politiques de conformité des appareils

Les politiques de conformité définissent les exigences de sécurité auxquelles un appareil doit répondre pour être considéré comme conforme. Les appareils non conformes peuvent avoir un accès bloqué ou restreint via l'accès conditionnel.

  1. Dans le centre d'administration Microsoft Endpoint Manager (https://endpoint.microsoft.com), accédez à Endpoint Security > Conformité des appareils > Politiques.
  2. Cliquez sur Créer une stratégie.
  3. Plateforme : Windows 10 et versions ultérieures.
  4. Paramètres de conformité :
    • Intégrité du périphérique : nécessite BitLocker, Secure Boot, etc.
    • Sécurité de l'appareil : nécessite un antivirus (par exemple Microsoft Defender Antivirus), un pare-feu, des mots de passe complexes, etc.
    • Propriétés de l'appareil : nécessite une version minimale du système d'exploitation.
  5. Actions en cas de non-conformité : configurez des actions telles que le marquage de l'appareil comme non conforme immédiatement ou après une période de grâce.
  6. Affectations : attribuez la stratégie aux groupes d'appareils Windows concernés.

2.2. Créer des profils de configuration de périphérique

Les profils de configuration vous permettent de déployer des paramètres de sécurité spécifiques, tels que les paramètres de pare-feu, les paramètres de sécurité de Microsoft Defender et les restrictions de périphérique.

  1. Dans le centre d'administration Microsoft Endpoint Manager, accédez à Périphériques > Windows > Profils de configuration.
  2. Cliquez sur Créer un profil.
  3. Plateforme : Windows 10 et versions ultérieures.
  4. Type de profil : sélectionnez des modèles tels que « Protection des points de terminaison » pour configurer l'antivirus et le pare-feu Microsoft Defender, ou « Restrictions de périphérique » pour désactiver des fonctionnalités spécifiques.
  5. Configurez les paramètres de sécurité selon les meilleures pratiques de votre organisation.
  6. Affectations : attribuez le profil aux groupes d'appareils Windows concernés.

3. Intégration d'Entra ID et d'Intune avec accès conditionnel

L'accès conditionnel est le moteur qui rassemble les politiques d'identité (Entra ID) et de périphérique (Intune) pour appliquer Zero Trust.

3.1. Créer une politique d'accès conditionnel pour exiger un appareil compatible

Cette stratégie garantira que seuls les appareils répondant aux normes de conformité d’Intune pourront accéder aux applications cloud.

  1. Dans le centre d'administration Microsoft Login, accédez à Protection > Accès conditionnel.
  2. Cliquez sur Nouvelle stratégie > Créer une nouvelle stratégie.
  3. Nom : « Exiger un appareil compatible pour l'accès ».
  4. Affectations > Utilisateurs d'identité ou charges de travail : sélectionnez Tous les utilisateurs (à l'exclusion des comptes d'urgence).
  5. Ressources ou actions cloud : Toutes les applications cloud.
  6. Conditions (Facultatif) : vous pouvez ajouter des conditions telles que « Plateformes de périphériques » pour Windows.
  7. Subvention :
    • Sélectionnez Accorder l'accès.
    • Cochez Exiger que l'appareil soit marqué comme compatible. Cliquez sur Sélectionnerect*.
  8. Activer la stratégie : Activé.
  9. Cliquez sur Créer.

Validation et tests

La validation de la mise en œuvre du Zero Trust est cruciale pour garantir que les politiques fonctionnent comme prévu.

1. Tester l'accès depuis un appareil compatible

  1. Sur un appareil Windows compatible et géré par Intune, essayez d'accéder à une application cloud (ex : « portail.office.com »).
  2. L'accès doit être accordé après l'authentification de l'utilisateur (et MFA, si configuré).

2. Tester l'accès depuis un appareil non conforme

  1. Sur un appareil Windows qui n'est pas conforme (par exemple, désactivez le pare-feu, remplacez la version du système d'exploitation par une version non autorisée par la stratégie de conformité Intune ou utilisez un appareil non géré).
  2. Essayez d'accéder à une application cloud (par exemple « portail.office.com »).
  3. L'accès doit être bloqué et l'utilisateur doit recevoir un message indiquant que l'appareil n'est pas conforme et ne peut pas accéder à la ressource.

3. Surveiller les rapports d'accès conditionnel

  1. Dans le centre d'administration Microsoft Login, accédez à Protection > Accès conditionnel > Rapports.
  2. Consultez les journaux d'entrée pour voir quelles stratégies d'accès conditionnel ont été appliquées et le résultat (succès, échec, rapport uniquement).

Conseils de sécurité et bonnes pratiques

  • Commencez petit, développez progressivement : mettez en œuvre des politiques Zero Trust dans des groupes de test avant de vous étendre à l'ensemble de l'organisation afin de minimiser les perturbations.
  • Éducation et communication : communiquer clairement les modifications aux utilisateurs et fournir une formation sur la manière de maintenir la compatibilité de leurs appareils et d'utiliser la MFA.
  • Surveillance continue : surveillez régulièrement les rapports de conformité Intune et les journaux d'accès conditionnel et de protection de l'identité pour identifier toute lacune ou anomalie.
  • Accès au moindre privilège : combinez les politiques d'accès conditionnel avec le PIM (Privileged Identity Management) pour garantir que l'accès privilégié est juste à temps et juste assez.
  • Assume Breach : configurez Microsoft Defender for Endpoint pour une détection avancée des menaces sur les points de terminaison et Microsoft Sentinel pour l'orchestration de la sécurité et la réponse automatisée.
  • Révision périodique : examinez et ajustez régulièrement vos politiques Zero Trust pour vous adapter aux changements dans l'environnement des menaces et aux exigences de l'entreprise.

Dépannage courant

  • Accès bloqué de manière inattendue : vérifiez les journaux de connexion à l'accès conditionnel pour identifier la stratégie qui bloque l'accès. Vérifiez les stratégies de conformité Intune pour l’appareil concerné.
  • Appareil non conforme : vérifiez l'état de conformité de votre appareil dans Intune. Il se peut que l'appareil n'ait pas reçu les politiques ou qu'une configuration empêche la conformité (par exemple, antivirus désactivé, ancienne version du système d'exploitation).
  • Conflits de politiques : examinez toutes les politiques d'accès conditionnel et de conformité pour vous assurer qu'il n'y a pas d'exclusions ou d'inclusions conflictuelles qui pourraient entraîner un comportement inattendu.
  • Problèmes de synchronisation : assurez-vous que les appareils et les utilisateurs se synchronisent correctement avec Intune et Azure AD, respectivement.

Conclusion

L'application du modèle Zero Trust est une stratégie de sécurité essentielle pour protéger les organisations dans le paysage numérique actuel. En tirant parti de Microsoft Entra ID pour gérer les identités et de Microsoft Intune pour garantir l'intégrité des points de terminaison, les entreprises peuvent mettre en œuvre une approche de sécurité robuste qui vérifie explicitement chaque demande d'accès et fonctionne sur la base du principe du moindre privilège. L'intégration de ces outils via l'accès conditionnel crée une défense puissante et adaptative, garantissant que seuls les utilisateurs et appareils de confiance peuvent accéder aux ressources de l'entreprise, quel que soit leur emplacement. Le chemin vers Zero Trust est en cours et nécessite une surveillance et un perfectionnement constants, mais les avantages en termes de réduction des risques et de renforcement de la sécurité sont inestimables.

Références :

[1] Microsoft Apprendre. Qu'est-ce que le Zero Trust ?. Disponible sur : https://learn.microsoft.com/pt-br/security/zero-trust/zero-trust-overview [2] Microsoft Apprendre. Zéro Confiance avec Microsoft Intune. Disponible sur : https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/zero-trust-with-microsoft-intune [3] Microsoft Apprendre. Principes directeurs du Zero Trust. Disponible sur : https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [4] Microsoft Apprendre. Licence pour Microsoft Enter ID. Disponible sur : https://azure.microsoft.com/pt-br/pricing/details/active-directory/ [5] Microsoft Apprendre. Qu'est-ce que la protection de l'identité ?. Disponible sur : https://learn.microsoft.com/pt-br/entra/identity/identity-protection/overview-identity-protection