Microsoft 365, la protection des comptes Administrateur


Du fait de sa popularité, la plateforme Microsoft 365 est une cible de choix pour les pirates.  La technique la plus courante pour s’attaquer à cette plateforme est le phishing (hameçonnage).  C’est une des fraudes les plus anciennes connue sur Internet, et qui reste la plus efficace.  Souvent sur base d’un courrier frauduleux, l’utilisateur est amené à cliquer sur un lien qui va révéler des informations d’identités qui vont aboutir à une usurpation d’identité.  Le cybercriminel obtient par ce biais un accès à votre plateforme.

Si l’usurpation d’identité touche un compte administrateur avec des privilèges élevés, cela peut amener à une situation très problématique.

Voici quelques conseils pour protéger vos comptes administrateurs !

La double identité

 Vos administrateurs, doivent avoir deux comptes Microsoft 365, un compte utilisateur pour les opérations courantes nécessitant l’utilisation des outils Office, et un compte dédié pour les opérations d’administration.  Ces comptes d’administration  n’ont pas besoin de licence, nul besoin de boite mail sur ces comptes.  Ceci est la base, car on évitera déjà ainsi que ces comptes soient liés à des appareils qui synchronisent des données en local (courrier, OneDrive, etc …)

 

 

Admin Général 
Réinitialiser le mot de passe 
Compte 
Appareils 
Licences et applications 
Courrier 
OneDrive 
Sélectionner un lieu • 
Belgique 
Licences (O) 
Microsoft Power Automate Free 
9999 licence(s) sur 10000 disponible(s) 
Office 365 Al pour les étudiants 
Nombre illimité de licences disponibles 
Office 365 Al pour les enseignants 
Nombre illimité de licences disponibles

Diviser pour mieux administrer

 Microsoft 365 offre différents rôles d’administration, même s’il est tentant en tant qu’administrateur d’avoir les pleins pouvoirs, cela est risqué. Si votre identité est usurpée, le criminel aura les pleins pouvoirs.  Si vous avez plusieurs administrateurs sur votre plateforme, ont-ils vraiment tous besoins des pleins pouvoirs ?  Pensez à déléguer les droits en fonction de leurs besoins réels.

 

 

C)) Accès au centre d'administration 
Les lecteurs généraux disposent d'un accès en lecture seule aux centres 
d'administration alors que les administrateurs généraux disposent d'un accès 
illimité et peuvent modifier tous les paramètres. Les utilisateurs qui ont 
d'autres rôles sont plus limités dans ce qu'ils peuvent voir et faire. 
Administrateur général Q) 
Administrateur Exchange Q) 
Administrateur SharePoint 
Administrateur Teams O 
Administrateur de l'utilisateur Q) 
Administrateur du service de prise en charge Q) 
Administrateur du support technique Q) 
Lecteur global

L’authentification forte

 L’authentification à plusieurs facteurs est un bon moyen de protéger vos comptes, tous vos comptes.  Cette méthode peut tout de même s’avérer contraignante pour vos utilisateurs.  Mais elle est nécessaire pour vos administrateurs.  Pour les comptes d’administration ‘courants’, ceux utilisés quotidiennement, il est vivement conseillé d’activer le MFA.

 

PROCESSING

Vos lignes de défense

Lors de la création de votre solution Microsoft 365, vous avez aussi créer un premier compte d’administration, qui a les pleins pouvoirs.  Garder ce compte avec précaution, ne lui attribuer aucune licence, et ne l’utilisez pas dans vos opérations quotidiennes.  Et surtout, ne changez pas son identifiant, laissez-le sur le domaine onmicrosoft.com.  Il vous servira comme bouée de secours ultime, si tous les autres comptes d’administration ont été piratés. Pensez à changer son mot de passe régulièrement, tous les mois, ou au moins 2x par an !  Conserver ce mot de passe dans un système protégé, un coffre-fort de mot de passe comme 1Password


Je vous recommande 
aussi de créer un deuxième compte administrateur général de secours, toujours sans licence mais sur votre domaine d’exploitation. Il vous servira de première ligne de secours. 

 

Concernant l’authentification forte, personnellement, je n’applique pas de MFA sur ces deux comptes.  Car en cas d’attaque criminelle, je souhaite pouvoir lancer une série de scripts PowerShell très rapidement pour minimiser au maximum les impacts d’une attaque.  Et le MFA est un sérieux frein aux scripts PowerShell.

Trousse de secours

 En cas de cyber attaque, il faut pouvoir réagir très rapidement.  En tant qu’administrateur, vous devez avoir une série de scripts PowerShell à exécuter pour opérer des opérations de contre-attaque.  Ces scripts doivent être exécuter via votre première ligne de secours, si c’est encore possible, sinon via le compte de secours ultime, en espérant que la force soit avec vous. 

Les opérations à effectuer avec votre compte d’administration de 1ere ligne, si votre 1ere ligne de secours est opérationnelle !


  • Modifier manuellement le mot de passe de votre compte administrateur initial
  • Bloquer tous les comptes utilisateurs autres que vos deux comptes de secours
  • Révoquer toutes les sessions de tous vos comptes utilisateurs excepté vos deux comptes de secours
  • Désactiver le service de Réinitialisation des mots de passe pour tous vos utilisateurs
  • Changez les mots de passe de tous vos comptes utilisateurs en forçant le changement de mot de passe à la 1ere connexion
  • Réinitialiser les processus MFA si ceux-ci sont actifs

 Les opérations à effectuer avec votre compte d’administration de 2eme ligne, si votre 1ere ligne de secours n’est pas opérationnelle !


  • Modifier manuellement le mot de passe de votre compte administrateur initial
  • Bloquer tous les comptes utilisateurs excepté votre compte d’administration initial
  • Révoquer toutes les sessions de tous vos comptes utilisateurs
  • Désactiver le service de Réinitialisation des mots de passe pour tous vos utilisateurs
  • Changez les mots de passe de tous vos comptes utilisateurs en forçant le changement de mot de passe à la 1ere connexion
  • Réinitialiser les processus MFA si ceux-ci sont actifs

Conditionner les accès par localisation

 Pour les établissements ayant des licences Microsoft A3 ou Microsoft A5, vous pouvez conditionner les accès par filtrage IP ou par localisations.  Avec les fonctionnalités Azure Active Directory Plan 1, vous pouvez activer des stratégies d’accès conditionnels.  Appliquer l’authentification forte de manière groupée et/ou sélective, refuser l’accès à des utilisateurs en dehors de la Belgique, refuser l’accès à certaines applications pour vos utilisateurs externes, etc …

Pour mettre en place ces stratégies, il faut au moins une licence Azure AD Premium Plan 1, celle-ci couvrira l’ensemble des utilisateurs qui ont une licence Microsoft A3/A5.

Pour les établissements ayant des licences Office A1/A3/A5, là ce n’est pas très clair.  Si vous faites l’acquisition d’une seule licence Azure AD Premium Plan 1, vous allez pouvoir définir des stratégies d’accès conditionnel, mais il n’est pas certain qu’elles s’appliquent à vos utilisateurs.  Il faudrait l’avis d’un expert en Licences !  Mais selon mes propres tests, cela fonctionne.

Comment avez-vous trouvé ce billet ?

N'hésitez pas à voter !

Score moyen 5 / 5. Nombre de vote 4


guest
0 Commentaires
Inline Feedbacks
View all comments