Le concept :
La gestion des comptes d’accès d’urgence dans Microsoft Entra ID est cruciale pour éviter d’être verrouillé accidentellement hors de votre organisation en cas de panne ou de dysfonctionnement du réseau. Les comptes d’accès d’urgence, dotés du rôle Administrateur général, sont utilisés uniquement dans des situations critiques où les comptes administratifs normaux ne sont pas disponibles. Il est recommandé de créer plusieurs comptes d’accès d’urgence, de les configurer pour une authentification forte et de stocker leurs informations d’identification en toute sécurité.
Les principales situations nécessitant l’utilisation de comptes d’accès d’urgence incluent des pannes de réseau, l’indisponibilité des administrateurs en raison de problèmes avec l’authentification multifactorielle, ou la perte du dernier administrateur général. Les comptes d’urgence doivent être des comptes cloud uniquement, non fédérés et utilisant des méthodes d’authentification sans mot de passe telles que les clés FIDO2 ou l’authentification basée sur des certificats.
Il est essentiel de surveiller les journaux de connexion et d’audit des comptes d’urgence pour détecter toute utilisation non autorisée. Les organisations doivent également valider régulièrement les comptes d’urgence pour s’assurer qu’ils sont fonctionnels et accessibles aux personnes autorisées. Des exercices périodiques doivent être effectués pour vérifier les capacités des comptes et s’assurer que les alertes sont déclenchées en cas d’utilisation.
Pour garantir la sécurité et la disponibilité des comptes d’urgence, les informations d’identification doivent être stockées dans des coffres sécurisés et résistants aux incendies. Les organisations doivent également configurer des règles d’alerte et former une équipe d’analyse post-mortem pour évaluer chaque utilisation des comptes d’urgence et déterminer les actions appropriées.
Configuration dans Entra ID :
Pour configurer l’authentification forte pour les comptes d’accès d’urgence dans Microsoft Entra ID, suivez ces étapes :
Étapes de configuration de l’authentification forte
1. Créer des comptes d’accès d’urgence :
– Accédez au portail Microsoft Entra ID.
– Créez plusieurs comptes d’accès d’urgence avec des rôles d’administrateur général.
2. Activer l’authentification multifactorielle (MFA) :
– Accédez à l’onglet Sécurité dans le portail Microsoft Entra ID.
– Cliquez sur « Authentification multifactorielle » et activez la MFA pour les comptes d’accès d’urgence.
– Sélectionnez les méthodes d’authentification comme les notifications par téléphone, les SMS ou les applications d’authentification (Microsoft Authenticator, par exemple).
3. Configurer l’authentification sans mot de passe :
– Dans l’onglet Sécurité, accédez à « Méthodes d’authentification ».
– Ajoutez des méthodes sans mot de passe telles que les clés de sécurité FIDO2 et l’authentification basée sur les certificats (Certificats PIV/CAC).
4. Surveiller les connexions et les audits :
– Activez la journalisation des connexions et des activités pour les comptes d’urgence.
– Configurez des alertes pour toute utilisation non autorisée ou suspecte des comptes.
5. Stocker les informations d’identification en toute sécurité :
– Conservez les informations d’identification des comptes d’urgence dans des coffres-forts sécurisés et résistants aux incendies.
– Limitez l’accès aux informations d’identification aux personnes autorisées seulement.
6. Effectuer des exercices périodiques :
– Planifiez des exercices réguliers pour valider que les comptes d’urgence fonctionnent correctement.
– Assurez-vous que les personnes autorisées savent comment accéder et utiliser les comptes en cas d’urgence.
Exemple de configuration de l’authentification sans mot de passe
Pour configurer une clé de sécurité FIDO2 pour un compte d’accès d’urgence :
1. Ajouter une clé de sécurité FIDO2 :
– Accédez au portail Microsoft Entra ID et connectez-vous avec un compte administrateur général.
– Dans le menu de gauche, cliquez sur « Sécurité » puis « Méthodes d’authentification ».
– Sélectionnez « Ajouter une méthode » et choisissez « Clé de sécurité FIDO2 ».
– Suivez les instructions pour enregistrer la clé de sécurité FIDO2 avec le compte d’accès d’urgence.
2. Configurer les certificats PIV/CAC :
– Dans le même menu « Méthodes d’authentification », ajoutez les certificats PIV/CAC si votre organisation utilise cette méthode.
– Enregistrez les certificats avec les comptes d’accès d’urgence.
Règles d’alerte et analyse post-mortem
– Configurer des règles d’alerte : Mettez en place des alertes pour notifier les administrateurs en cas d’utilisation des comptes d’urgence.
– Analyse post-mortem : Après chaque utilisation des comptes d’urgence, effectuez une analyse pour comprendre les causes et les actions nécessaires pour améliorer la sécurité.
Plus de détails ici : Gérer des comptes administrateur d’accès en cas d’urgence – Microsoft Entra ID | Microsoft Learn