Le Blog de Teamy

En route pour l'école 2.0 avec Microsoft 365 Education

AD AzureMicrosoft 365Sécurité

Bloquer l’accès à Microsoft 365 sur base de l’emplacement

3319 Views 0 Comments 11 min read

L’offre Azure AD Premium Plan 1 offre deux outils qui vous permettent de mieux contrôler les accès à votre plateforme Microsoft 365. On parlera donc ici des Accès conditionnels et des Emplacements nommés.  Ces stratégies d’accès sont appliquées au terme de l’authentification premier facteur.  Elles ne sont donc pas destinées à être la première ligne de défense d’une organisation, mais elles sont une des barrières contre les cyberattaques potentielles. 

Avant de commencer, un petit mot sur les licences.  Pour activer ces fonctionnalités, vous devez avoir la licence ‘Azure Active Directory Premium P1’.  Actuellement au prix de 5,10€ par licence et par mois.  Selon moi, et je n’ai pas trouvé de documentation contradictoire, il suffirait d’une licence Azure AD Premium P1 pour activer et mettre en place les accès conditionnels.  Cette fonctionnalité s’applique sur le Tenant et non les utilisateurs, donc vos utilisateurs n’ont besoin d’aucune licence spécifique pour en bénéficier.

 

Voici ce qui est dit dans la documentation officielle : Conditions de licence : « L’utilisation de cette fonctionnalité nécessite une licence Azure AD Premium P1 ».

Azure Active Directory Premium Pl VOUS POSSÉDEZ DÉJÀ CET ÉLÉMENT Ensemble fiable de fonctionnalités pour les organisations ayant des besoins importants en termes de gestion des identités et des accès. À partir de 5,10 € licences/mois a Comparaison Détails

Notre point de départ sera la console d’administration Azure Active Directory

https://aad.portal.azure.com/

 

Centre d'administration Azure Active Tableau de bord Tous les services FAVORIS Azure Active Directory Utilisateurs Applications d'entreprise Tableau de bord v Tableau de bord prive Nouveau tableau de bord v Neomytic neo c Azure AD Premium PI Utilisateurs et groupes ocooo Connexions des utilisateurs CD Actualiser Plein 'cran Modifier Exporter v Cloner Bienvenue dans le centre d'administration d'Azu.. Azure AD vous aide å protéger votre entreprise et valoriser vos utilisateurs. En savoir plus sur Azure AD Recommandé Sync with Windows Server AD Sync users and groups from your on- premises directory to your Azure AD Supprimer Täches rapides Azur... Ajouter un utilisateur Ajouter un utilisateur i... Ajouter un groupe Rechercher un utilisateur Rechercher un groupe Rechercher une applica... Portail Azure portal.azure.com pour Tous les • 12/01/2022 et 16 jam. Nouveautés 23 janv. 30 jam'. 6 févr Azure AD Connect Synchronisation Journaux d 'audit Afficher l•activité Azure AD makes the leaders quadrant in Gartner's 2017 Magic Quadrant for Access Management Azure Information Protection (formerly Rights Management Service) is available in the Azure portal

 

Plus précisément, dans la partie « Sécurité »Centre d•administration Azure Active Directory Tableau de bord Tous les services FAVOR'S Azure Active Directory Utilisateurs Applications d'entreprise Tableau de bord > Neomytic > Sécurité I Prise en main Rechercher (Ctrl*/) Prise en main Protéger Acces conditionnel Identity Protection Centre de sécurité Justificatifs (préversion) Gérer Score d 'identité sécurisée Emplacements nommés Méthodes d •authentification O MFA Rapport utilisateurs risque Identités de charge de travail risque (préversion) Documentation Azure Active Directory propose une gamme de fonctionnalités de sécurité afin de Prot* Acces conditionnel Azure AD Azure AD Identity Protection Azure Security Center • Score d•identité sécurisée Emplacements nommés Méthodes d•authentification Authentification multifacteur (MFA) Guide de la sécurité Pour une sécurité renforcée, nous vous recommandons ce qui suit: 5 étapes pour sécuriser votre infrastructure d•identité Guide Sur le mot de passe Azure AD Livre blanc sur la sécurité des données Azure AD • Fonctionnement de la synchronisation de hachage de mot de passe (PHS)

La première étape sera de définir les emplacements de confiance, c’est-à-dire les pays depuis lesquels la connexion à votre plateforme Microsoft 365 est autorisée.

 

Tableau de bord > Neomytic > Sécurité Sécurité I Emplacements nommés « Emplacement des pays + Emplacement des plages IP Configurer des adresses IP approuv'ées MFA Prise en main Protéger Accès conditionnel Identity Protection Centre de sécurité Justificatifs (préversion) Gérer Score d'identité sécurisée Emplacements nommés Méthodes d'authentification O MFA Les emplacements nommés sont utilisés par les rapports de sécurité Azure AD afin de réduire les faux positifs et par I Type d'emplacement : Tous les types Rechercher dans les noms Nom Aucun emplacement nommé trouvé. Type approuvé : Tous les types

 

Nous allons travailler sur base des emplacements par Pays, et donc créer un élément listant les pays de confiance.

Mon établissement étant Belge, mon hypothèse de travail sera d’autoriser les accès à ma plateforme 365 que depuis la Belgique.  A vous d’adapter en fonction de vos besoins.

Ajout d’un emplacement des pays, nommé ‘Trusted Countries’, et ne reprenant que la Belgique comme pays.  Le pays est déterminé sur base des adresses IP réservées à la Belgique, vous pouvez aussi jouer sur la localisation GPS en créant un deuxième Emplacement nommé.

Nouvel emplacement (Pays) O Seules les adresses IPv4 sont mappées à des pays/rëgions. Les adresses IPv6 sont incluses dans des pays,'régions inconnu(e)s. Nom Trusted Countries Déterminer remplacement avec l'adresse IP (IPv4 unique... Inclure des pays/régions inconnus Q) Rechercher dans les pays Nom x

Maintenant que ma liste ‘Blanche’ des pays de confiance est établie, je dois créer une stratégie d’accès !

Accès conditionnel – Centre d’administration Azure Active Directory

 

 

Accès conditionnel I Stratégies Azure Active Directory Vue d•ensemble (p réversion) stratégies Insights et rapports Diagnostiquer et résoudre les problèmes Gérer Emplacements nommés Contrôles personnalisés (préversion) Conditions d'utilisation Connectivité VPN Contexte d'authentification (préversion) Stratégies classiques Supervision Journaux de connexion Journaux d'audit + Nouvelle stratégie v What Qu'est-ce que l'accès conditionnel ? Des commentaires ? L'accès conditionnel vous donne la possibilité d'appliquer des exigences d'accès quand des conditions spécifiques se produisent. Examinons quelques exemples Conditions Quand un utilisateur est en dehors du réseau de société Contrôle Ils doivent se connecter avec l'authentification multifacteur Quand des utilisateurs du groupe 'Responsables' se connectent Ils doivent étre sur un appareil Intune ou joint au domaine Vous voulez en savoir plus sur l'accès conditionnel ? Démarrer • Créer votre première stratégie en cliquant sur « -s Nouvelle stratégie » Spécifier les conditions et contrôles de la stratégie Quand vous avez terminé, n'oubliez pas d'activer la stratégie et de la créer Vous êtes intéressé par les scénarios courants ?

« Nouvelle Stratégie »

 

Nom de la stratégie : Countries Black List

 

Nom Countries Black List Affectations utilisateurs ou identités de charge de travail @ Tous les utilisateurs Applications ou actions cloud O Toutes les applications cloud Conditions Q) I condition sélectionnée Contrôles d'accès Octroyer (J) Bloquer l'accès Session Q) O contrôles sélectionnés

Cette stratégie sera
appliquée à tous les utilisateurs

 

Nom Countries Black List Affectations utilisateurs ou identités de charge de travail Tous les utilisateurs Applications ou actions cloud O Toutes les applications cloud Conditions Q) I condition sélectionnée Contrôles d'accès Octroyer Q) Bloquer l'accès Session (D O contrôles sélectionnés À quoi cette stratégie s'applique-t-elle ? Utilisateurs et groupes Inclure Exclure O Aucun @ Tous les utilisateurs O Sélectionner des utilisateurs et des groupes Tous les utilisateurs invités et externes Q) Rôles d'annuaire CD utilisateurs et groupes Ne bloquez pas votre accès ! Cette stratégie aura une incidence sur tous vos utilisateurs. Nous vous recommandons d'appliquer d'abord une stratégie à un petit ensemble d'utilisateurs pour vérifier qu'elle se comporte comme prévu.

Remarque : Dans un premier temps, il est conseillé de ne pas l’appliquer sur tous vos utilisateurs.  Il vaut mieux faire quelques tests sur un groupe restreint d’utilisateur, histoire de ne pas bloquer votre propre compte utilisateur.

Cette stratégie sera appliquée à toutes vos applications Microsoft 365Nom * Countries Black List Affectations Utilisateurs ou identités de charge de travail (D Tous les utilisateurs Applications ou actions cloud @ Toutes les applications cloud Conditions @ 1 condition sélectionnée Contrôles d'accès Octroyer CD Bloquer l'accès Session Q) O contrôles sélectionnés s'applique Applications Cloud Inclure Exclure O Aucun Toutes les applications cloud C) Sélectionner les applications n Ne bloquez pas votre accès ! Cette stratégie a un impact sur le portail Azure. Avant de continuer, assurez- vous que vous ou quelqu'un d'autre sera en mesure de revenir au portail. Ignorez cet avertissement si vous configurez une stratégie de session de navigateur persistante qui ne fonctionne correctement que si l'option Toutes les applications Cloud » est sélectionnée.

Cette stratégie sera appliquée sur ‘Tous les emplacements’

Contrôlez l'accès en fonction de la stratégie d'accès conditionnel pour regrouper les signaux, prendre des décisions et appliquer des stratégies organisationnelles. En savoir plus Nom Countries Black List Affectations Utilisateurs ou identités de charge de travail (D Tous les utilisateurs Applications ou actions cloud Toutes les applications cloud Conditions O 1 condition sélectionnée Contrôles d'accès Octroyer CD Bloquer l'accès Session Q) O contrôles sélectionnés Contrôlez l'accès en fonction des signaux à partir de conditions telles que le risque, la plateforme d'appareil, l'emplacement, les applications clientes ou l'état de l'appareil. En savoir plus Plateformes d'appareils Q) Non configuré Emplacements (D Tous les emplacements et 1 exclus Applications clientes Q) Non configuré État de l'appareil (préversion) Q) Non configuré Filtre pour les appareils @ Non configuré Contrêlez l'accès des utilisateurs en fonction de leur emplacement physique. (En savoir plus) [I] III : http://aka.ms/ux_ca_locationconditian Configurer @ Non Inclure Exclure @ Tous les emplacements O Tous les emplacements approuvés O Emplacements sélectionnés

 

Mais on prendra garde à Exclure notre ‘Emplacement nommé – Trusted Countries’Contrôlez l'accès en fonction de la stratégie d'accès conditionnel pour regrouper les signaux, prendre des décisions et appliquer des stratégies organisationnelles. En sav.n)ir plus Nom Countries Black List Affectations Utilisateurs ou identités de charge de travail Q) Tous les utilisateurs Applications ou actions Cloud @ Toutes les applications Cloud Conditions Q) 1 condition sélectionnée Contrôles d'accès Octroyer Q) Bloquer l'accès Session (D O contrôles sélectionnés Contrôlez l'accès en fonction des signaux à partir de conditions telles que le risque, la plateforme d'appareil, l'emplacement, les applications clientes ou l'état de l'appareil. En savoir plus Plateformes d Q) Non configuré Emplacements @ Tous les emplacements et 1 exclus Applications clientes Q) Non configuré État de l'appareil (préversion) @ Non configuré Filtre pour les appareils @ Non configuré Contrôlez l'accès des utilisateurs en fonction de leur emplacement physique. [En savoir plus] [Il [I] : http://aka.ms/ux_ca_locationcondition Configurer @ Non Inclure Exclure Sélectionner les emplacements à exclure de la stratégie C) Tous les emplacements approuvés @ Emplacements sélectionnés Sélectionner Trusted Countries Trusted Countries

Cette stratégie, si elle est vérifiée, va bloquer la connexion

 

Contrôles d'accès Octroyer (D Bloquer l'accès Session Q) O contrôles sélectionnés

Il restera à l’enregistrer et à l’activer

Conseil :  Je vous invite à mettre en place cette stratégie via le compte d’administration initial de votre tenant (admin@xxxx.onmicrosoft.com) et de l’exclure de cette stratégie.  Ce compte doit être réservé aux opérations d’administration 

Il nous reste à faire quelques tests !

 

Pour tester cette stratégie, il va falloir se connecter en tant qu’utilisateur ayant une adresse IP non Belge.  Moi j’utilise un outil de VPN pour faire en sorte que ma connexion provienne d’un pays autre que la Belgique.  Allez, un petit tour en Suisse.

Tentatives de connexion aux outils suivants : Outlook, Teams, Console d’administration M365, Console Azure, …

Remarque : Cette approche n’est pas une défense absolue, vous l’aurez compris que se connecter à votre tenant en utilisant un VPN, n’importe quel utilisateur peut faire croire à votre système qu’il se connecte depuis la Belgique.  Mais en terme de sécurité, l’objectif n’est pas d’avoir la défense absolue, car elle n’existe pas.  L’objectif est de multiplier le nombre de barrières pour décourager tout individu malveillant, et cette approche en est une.

Comment avez-vous trouvé ce billet ?

N'hésitez pas à voter !

Score moyen 5 / 5. Nombre de vote 2


S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments