Sécuriser les identités hybrides avec Azure AD Connect Health

Sécuriser les identités hybrides avec Azure AD Connect Health

01/06/2024

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans l'utilisation de Microsoft Entra Connect Health (anciennement Azure AD Connect Health) pour surveiller et sécuriser les identités hybrides. Azure AD Connect Health est un service de surveillance qui fournit une vue consolidée de votre infrastructure d'identité sur site, notamment Azure AD Connect, Active Directory Federation Services (AD FS) et les contrôleurs de domaine Active Directory, contribuant ainsi à garantir que la synchronisation et l'authentification des identités fonctionnent de manière fiable et sécurisée [1].

Présentation

Pour de nombreuses organisations, la gestion des identités constitue un défi complexe, en particulier dans les environnements hybrides où les identités existent à la fois dans Active Directory sur site et dans Microsoft Entra ID dans le cloud. La synchronisation et l'authentification de ces identités sont essentielles pour accéder aux ressources et aux services. Les échecs de synchronisation ou les problèmes de performances peuvent entraîner des interruptions de service, des problèmes de sécurité et la frustration des utilisateurs. Azure AD Connect Health fournit des outils de surveillance et de création de rapports qui vous permettent d'identifier et de résoudre de manière proactive les problèmes d'identité hybride, garantissant ainsi l'intégrité et la sécurité de votre environnement [2].

Ce guide pratique couvrira l'installation des agents Azure AD Connect Health, la configuration de la surveillance, l'analyse des rapports de synchronisation, l'identification et le dépannage des erreurs courantes, ainsi que les meilleures pratiques pour maintenir un environnement d'identité hybride sain et sécurisé. Des instructions étape par étape, des exemples d'utilisation de l'interface et des méthodes de validation seront fournis afin que les lecteurs puissent implémenter et gérer efficacement Azure AD Connect Health, en protégeant leurs identités hybrides et en garantissant la continuité des activités.

Pourquoi Azure AD Connect Health est-il crucial ?

  • Surveillance proactive : fournit des alertes et des notifications sur les problèmes de synchronisation, de performances et de disponibilité avant qu'ils n'affectent les utilisateurs.
  • Visibilité centralisée : fournit une interface unique pour surveiller l'état de tous les composants de votre infrastructure d'identité hybride.
  • Rapports détaillés : génère des rapports sur les erreurs de synchronisation, les activités d'authentification et l'utilisation d'AD FS, facilitant ainsi l'audit et la conformité.
  • Dépannage simplifié : aide à diagnostiquer et à résoudre rapidement les problèmes de synchronisation et d'authentification, réduisant ainsi les temps d'arrêt.
  • Sécurité améliorée : identifie les erreurs de configuration et les modèles d'utilisation suspects pouvant indiquer des risques de sécurité.

Prérequis

Pour utiliser Azure AD Connect Health, vous aurez besoin des éléments suivants :

  1. Licence : Une licence Microsoft Entra ID Free, Premium P1 ou Premium P2. Azure AD Connect Health est inclus avec toutes ces licences [3].
  2. Accès administrateur : Un compte avec le rôle d'« Administrateur global » dans Microsoft. Entrez l'ID pour configurer le service.
  3. Azure AD Connect : une instance d'Azure AD Connect doit être installée et configurée pour synchroniser les identités entre Active Directory sur site et Microsoft Entra ID.
  4. Connectivité réseau : le serveur Azure AD Connect et/ou les serveurs AD FS doivent disposer d'une connectivité sortante vers les points de terminaison Azure AD Connect Health (ports TCP 443).

Étape par étape : configuration et utilisation d'Azure AD Connect Health

Nous couvrirons l’installation des agents et la surveillance de la synchronisation des identités.

1. Accès au portail Microsoft Accédez au centre d'administration

  1. Ouvrez votre navigateur et accédez à « https://entra.microsoft.com ».
  2. Connectez-vous avec un compte disposant des autorisations nécessaires.
  3. Dans le volet de navigation de gauche, sélectionnez Protection > Azure AD Connect.

2. Installation des agents d'intégrité Azure AD Connect

Les agents sont automatiquement installés lors de l’installation d’Azure AD Connect. Toutefois, si vous devez les réinstaller ou les installer sur des serveurs AD FS ou des contrôleurs de domaine, procédez comme suit :

  1. Sur la page Azure AD Connect, cliquez sur Azure AD Connect Health.
  2. Dans le volet de navigation gauche d'Azure AD Connect Health, sélectionnez Connection Sync.

  3. Si l'agent n'est pas installé ou est obsolète, un avertissement s'affiche. Cliquez sur Installerr agent ou Agent de téléchargement.

  4. Exécutez le programme d'installation de l'agent (AdHealthAgentSetup.exe) sur le serveur sur lequel Azure AD Connect est installé (ou sur le serveur AD FS/contrôleur de domaine).

  5. Suivez les instructions de l'assistant. Lors de l'installation, vous serez invité à vous connecter avec un compte « Administrateur global » Microsoft Entra ID pour enregistrer l'agent.

  6. Une fois l'installation réussie, l'agent commencera à collecter et à envoyer des données au service Azure AD Connect Health.

3. Surveillance de la synchronisation des identités

Le tableau de bord Azure AD Connect Health fournit une vue détaillée de votre état de synchronisation.

  1. Dans le tableau de bord Azure AD Connect Health, sélectionnez Connection Sync.
  2. Vous verrez une liste des services de synchronisation. Cliquez sur votre service de synchronisation (généralement le nom de votre serveur Azure AD Connect).
  3. Le panneau de présentation affichera :
    • Statut de synchronisation : indique si la synchronisation fonctionne correctement.
    • Erreurs de synchronisation : un graphique et une liste des erreurs de synchronisation qui doivent être résolues.
    • Latence de synchronisation : le temps nécessaire à la synchronisation des modifications.
    • Modifications exportées : nombre d'objets exportés vers Microsoft Entra ID.

4. Analyse des erreurs de synchronisation

Azure AD Connect Health vous aide à identifier et à diagnostiquer les erreurs de synchronisation.

  1. Dans la présentation du service de synchronisation, cliquez sur la section Erreurs de synchronisation.
  2. Vous verrez une liste d'erreurs, classées par type (par exemple AttributeConflict, DuplicateValue).
  3. Cliquez sur une erreur spécifique pour afficher les détails, notamment :
    • Objets concernés : liste des objets à l'origine de l'erreur.
    • Détails de l'erreur : une description de l'erreur et une suggestion de résolution.
    • Attributs en conflit : s'il s'agit d'un conflit d'attributs, quels attributs sont à l'origine du problème.

5. Surveillance d'AD FS (le cas échéant)

Si vous utilisez AD FS pour la fédération, Azure AD Connect Health peut surveiller l’état et les performances de vos serveurs AD FS.

  1. Dans le tableau de bord Azure AD Connect Health, sélectionnez Federation Services.
  2. Vous verrez un aperçu de votre environnement AD FS, comprenant :
    • État du serveur : état des serveurs AD FS et proxy d'application Web.
    • Erreurs d'authentification : signale les tentatives d'authentification ayant échoué.
    • Performance : mesures de performances pour les demandes d'authentification.

6. Surveillance des contrôleurs de domaine (le cas échéant)

Azure AD Connect Health peut également surveiller l’état de vos contrôleurs de domaine locaux.

  1. Dans le tableau de bord Azure AD Connect Health, sélectionnez Services de domaine Active Directory.
  2. Vous verrez un aperçu de vos contrôleurs de domaine, notamment :
    • Statut du serveur : état de santé des contrôleurs de domaine.
    • Alertes : avertissements concernant la réplication, les performances ou d'autres problèmes.

Validation et tests

La validation de votre implémentation d’Azure AD Connect Health est cruciale pour garantir qu’elle surveille correctement et fournit des informations précises.

1. Vérification du statut de l'agent

  1. Dans le portail Azure AD Connect Health, vérifiez que l'état de l'agent est « Actif » pour tous les serveurs concernés (Azure AD Connect, AD FS, contrôleurs de domaine).

2. Simuler une erreur de synchronisation

  1. Dans un environnement de test, créez un utilisateur dans l'Active Directory local avec un attribut qui pourrait provoquer un conflit de synchronisation (ex : proxyAddresses dupliquées avec un utilisateur existant dans Microsoft Entra ID).
  2. Forcez un cycle de synchronisation Azure AD Connect : powershell Module d'importation ADSync Démarrer-ADSyncSyncCycle -PolicyType Delta
  3. Attendez quelques minutes et consultez le tableau de bord Azure AD Connect Health pour voir si l'erreur de synchronisation a été détectée et signalée.

3. Vérification des alertes et des notifications

  1. Assurez-vous que les notifications par e-mail sont configurées pour les alertes critiques dans Azure AD Connect Health.
  2. Vérifiez votre boîte de réception pour voir si vous avez reçu des alertes concernant l'erreur de synchronisation simulée.

Conseils de sécurité et bonnes pratiques

  • Installation complète : installez les agents Azure AD Connect Health sur tous les serveurs concernés (Azure AD Connect, AD FS, contrôleurs de domaine) pour obtenir une vue complète de votre infrastructure.structure identitaire.
  • Configuration des alertes : configurez les alertes pour les événements critiques de synchronisation, de performances et de disponibilité afin d'être informé de manière proactive des problèmes.
  • Examen régulier des erreurs : surveillez et résolvez régulièrement les erreurs de synchronisation pour maintenir l'intégrité des données d'identité et éviter les problèmes d'accès.
  • Maintenance Azure AD Connect : gardez votre logiciel Azure AD Connect à jour pour vous assurer que vous disposez des dernières fonctionnalités et correctifs de sécurité.
  • Sauvegarde et récupération : disposez d'un plan de sauvegarde et de récupération pour votre serveur Azure AD Connect et votre base de données Active Directory sur site.
  • Principe du moindre privilège : assurez-vous que le compte de service Azure AD Connect et les comptes utilisés par les agents Connect Health disposent uniquement des autorisations nécessaires.
  • Sécurité du serveur : protégez votre serveur Azure AD Connect et vos serveurs AD FS avec les meilleures pratiques de sécurité (correctifs, antivirus, pare-feu, etc.), car ce sont des composants critiques de votre infrastructure d'identité.

Dépannage courant

  • L'agent ne se connecte pas : vérifiez la connectivité réseau du serveur aux points de terminaison Azure AD Connect Health. Vérifiez que le pare-feu autorise le trafic sortant sur le port 443. Vérifiez les journaux d'événements sur le serveur pour détecter les erreurs liées à l'agent.
  • Données obsolètes sur le tableau de bord : il peut y avoir un retard dans la synchronisation des données de l'agent avec le service. Vérifiez que l'agent est en cours d'exécution sur le serveur. Redémarrez le service d'agent si nécessaire.
  • Erreurs de synchronisation persistantes : consultez les détails de l'erreur dans le tableau de bord Azure AD Connect Health. Utilisez les outils de dépannage d'Azure AD Connect (par exemple « Synchronization Service Manager ») pour rechercher la cause première. Les conflits d'attributs sont courants et nécessitent souvent une correction des données dans Active Directory sur site.
  • Fausses alertes : vérifiez les paramètres et les seuils d'alerte. Ajustez-les s’ils génèrent trop d’alertes non pertinentes.
  • Problèmes de performances AD FS : utilisez Azure AD Connect Health pour surveiller les métriques de performances AD FS et identifier les goulots d'étranglement. Vérifiez les journaux d’événements sur les serveurs AD FS.

Conclusion

Azure AD Connect Health est un outil indispensable pour les organisations exploitant des environnements d'identité hybrides. En fournissant une surveillance proactive, une visibilité centralisée et des capacités de dépannage, il permet aux équipes informatiques et de sécurité de maintenir la santé, les performances et la sécurité de leur infrastructure d'identité. La mise en œuvre et la gestion efficaces d’Azure AD Connect Health garantissent le fonctionnement fiable de la synchronisation des identités et de l’authentification, minimisant les interruptions et protégeant contre les menaces de sécurité. Avec ce guide pratique, les professionnels de la sécurité pourront renforcer la protection des identités hybrides, garantissant un accès continu et sécurisé aux ressources de l'organisation.

Références :

[1] Microsoft Apprendre. Qu'est-ce que Microsoft Entra Connect Health ?. Disponible sur : https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/whatis-azure-ad-connect [2] Microsoft Apprendre. Utilisation de Microsoft Entra Connect Health avec synchronisation. Disponible sur : https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/how-to-connect-health-sync [3] Microsoft Apprendre. Exigences de licence Microsoft Entra Connect Health. Disponible sur : https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/whatis-azure-ad-connect#license-requirements