Qu’est-ce que Microsoft Entra ?

Microsoft Entra est une famille de produits d’identité et d’accès réseau. Elle permet aux organisations d’implémenter une stratégie de sécurité Confiance Zéro et de créer une infrastructure de confiance qui vérifie les identités, valide les conditions d’accès, vérifie les autorisations, chiffre les canaux de connexion et surveille la compromission.

Principes Zero Trust : Microsoft Entra applique les principes Zero Trust en vérifiant explicitement chaque accès, en appliquant le moindre privilège et en supposant qu’aucune requête n’est sûre par défaut.

Famille de produits Microsoft Entra

La famille de produits Microsoft Entra couvre quatre étapes de maturité pour l’accès de bout en bout sécurisé de toute identité fiable.

Microsoft Entra ID

Service de gestion des identités et des accès cloud qui fournit l’identité, l’authentification, la stratégie et la protection essentielles pour sécuriser les utilisateurs, les appareils, les applications et les ressources.

Microsoft Entra Domain Services

Services de domaine managé, comme la stratégie de groupe, le protocole LDAP et l’authentification Kerberos/NTLM. Permet d’exécuter des applications héritées dans le cloud.

Microsoft Entra External ID

Permet aux identités externes d’accéder en toute sécurité aux ressources d’entreprise et aux applications grand public (B2C / CIAM).

Microsoft Entra Workload Identities

Solution de gestion des identités et des accès pour les identités de charge de travail (applications, services et conteneurs).

Microsoft Entra ID Governance

Facilite la gestion des identités et des autorisations en automatisant les demandes d’accès, les affectations et les révisions.

Microsoft Entra ID Protection

Détecte et signale les risques d’identité avec des stratégies d’accès conditionnel basées sur les risques.

Vue d’ensemble de l’authentification Microsoft Entra

L’authentification est le processus de vérification de l’identité d’une personne avant d’accorder l’accès à une ressource. Il s’agit de la façon dont un système s’assure que les utilisateurs sont ceux qu’ils disent qu’ils sont quand ils essaient de se connecter.

Méthodes d’authentification prises en charge

Méthode Authentification principale Authentification secondaire
Windows Hello pour Entreprise ✅ Oui MFA
Clé d’accès (FIDO2) ✅ Oui MFA
Microsoft Authenticator (clé secrète) ✅ Oui MFA
Authentification par certificat ✅ Oui MFA
Authentification sans mot de passe ✅ Oui Non
Notifications push Microsoft Authenticator ✅ Oui MFA et SSPR
Jetons OATH (matériels/logiciels) ❌ Non MFA et SSPR
SMS / Appel vocal SMS uniquement MFA et SSPR

Méthodes d’authentification résistantes au hameçonnage

Microsoft recommande d’utiliser des méthodes d’authentification résistantes au hameçonnage car elles offrent l’expérience de connexion la plus sécurisée :

  • Windows Hello Entreprise – Authentification biométrique ou PIN sécurisé
  • Clés de sécurité FIDO2 – Authentification matérielle résistante au hameçonnage
  • Clés secrètes dans Microsoft Authenticator – Authentification sans mot de passe
  • Authentification basée sur des certificats (CBA) – Utilisation de certificats numériques
  • Informations d’identification de la plateforme pour macOS – Authentification native macOS
Important : Les méthodes traditionnelles comme SMS ou codes OTP par e-mail sont vulnérables aux attaques par hameçonnage à distance, où les attaquants utilisent l’ingénierie sociale et l’IA pour voler des informations d’identification.

Récupération de compte à haute assurance

Microsoft Entra ID prend en charge l’identifiant émis par le gouvernement et la vérification biométrique pour la récupération de compte. Les organisations peuvent choisir parmi les principaux fournisseurs de vérification d’identité (IDV) via le Microsoft Security Store :

  • Idemia
  • Lexis Nexis
  • Au10tix

Ces partenaires offrent une couverture dans 192 pays/régions et la vérification à distance pour la plupart des documents d’identité émis par le gouvernement (permis de conduire, passeports).

Gestion des applications d’entreprise

Microsoft Entra centralise la gestion des applications SaaS, internes et multi-locataires. Les organisations peuvent intégrer des milliers d’applications préintégrées ou personnaliser leurs propres applications.

Fonctionnalités clés

  • Single Sign-On (SSO) – Permettre aux utilisateurs de se connecter une fois pour accéder à toutes leurs applications
  • Consentement des applications – Contrôler les autorisations accordées aux applications
  • Publication d’applications internes – Exposer en toute sécurité des applications locales
  • Gestion des accès – Attribuer des utilisateurs et groupes aux applications
  • Provisionnement automatique – Créer et gérer automatiquement les comptes utilisateurs
Galerie d’applications Microsoft : Plus de 3000 applications SaaS préintégrées disponibles avec configuration SSO simplifiée (Salesforce, Google Workspace, Slack, Zoom, etc.).

Contrôle d’accès basé sur les rôles (RBAC)

Le RBAC permet d’attribuer des permissions via des rôles pour gérer qui peut effectuer quelles actions sur quelles ressources.

Types de rôles

  • Rôles intégrés – Rôles prédéfinis par Microsoft (Administrateur global, Administrateur d’utilisateurs, Lecteur de répertoire, etc.)
  • Rôles personnalisés – Rôles définis sur mesure via JSON pour répondre à des besoins spécifiques

Attribution des rôles

Les rôles peuvent être attribués :

  • Directement aux utilisateurs
  • Via des groupes (recommandé pour la gestion à grande échelle)
  • Avec une étendue limitée (au niveau de l’organisation, d’une unité administrative ou d’une ressource spécifique)
Principe du moindre privilège : Le RBAC applique ce principe en n’accordant que les permissions minimales nécessaires pour accomplir une tâche.

Accès conditionnel

L’accès conditionnel est le moteur de décision Zero Trust de Microsoft Entra. Il évalue les signaux en temps réel pour déterminer si l’accès doit être autorisé, bloqué ou nécessiter des contrôles supplémentaires.

Signaux évalués

  • Utilisateur et emplacement – Qui se connecte et depuis où
  • Appareil – État de conformité, plateforme, état managé
  • Application – Quelle application ou ressource est accédée
  • Risque – Niveau de risque de connexion et d’utilisateur détecté par ID Protection
  • Contexte – Heure de connexion, fréquence, comportement inhabituel

Actions disponibles

  • Autoriser l’accès – Accès direct sans contrôles supplémentaires
  • Bloquer l’accès – Refuser complètement l’accès
  • Exiger MFA – Demander une authentification multifacteur
  • Exiger un appareil conforme – Vérifier que l’appareil respecte les politiques de sécurité
  • Exiger une application cliente approuvée – Autoriser uniquement les applications gérées
  • Restreindre la session – Limiter les actions possibles (lecture seule, durée limitée)
Exemple pratique : Un utilisateur accédant à des données sensibles depuis un nouvel appareil non managé devra fournir une MFA et ne pourra accéder qu’en lecture seule pendant une session limitée.

Identité hybride

L’identité hybride permet d’utiliser un annuaire local (Active Directory) et le cloud (Microsoft Entra ID) de manière transparente. L’objectif est de fournir une identité unique pour toutes les ressources.

Méthodes de synchronisation via Microsoft Entra Connect

  • Password Hash Sync (PHS) – Synchronise le hachage du mot de passe vers le cloud
    • Méthode la plus simple et recommandée
    • Permet l’authentification cloud même si AD local est indisponible
    • Active la détection de fuites d’informations d’identification
  • Pass-Through Authentication (PTA) – Valide les mots de passe directement avec AD local
    • Les mots de passe restent uniquement on-premises
    • Nécessite des agents on-premises toujours disponibles
    • Applique les politiques de mot de passe AD locales
  • Federation (AD FS) – Délègue l’authentification à un serveur de fédération
    • Requis pour l’authentification par carte à puce
    • Infrastructure complexe à maintenir
    • Permet des scénarios d’authentification avancés
Recommandation : Microsoft recommande PHS pour la plupart des organisations en raison de sa simplicité, résilience et fonctionnalités de sécurité avancées.

Provisionnement des utilisateurs et des applications

Le provisioning automatise la création, mise à jour et suppression des comptes utilisateurs dans les applications cloud et services.

Basé sur SCIM 2.0

Le protocole SCIM (System for Cross-domain Identity Management) est un standard ouvert permettant l’automatisation de l’échange d’informations d’identité.

Fonctionnalités

  • Création automatique – Créer des comptes lors de l’arrivée d’un nouvel employé
  • Synchronisation des attributs – Maintenir les informations à jour (nom, email, département)
  • Déprovisionnement – Désactiver/supprimer les comptes lors du départ
  • Gestion de groupe – Synchroniser l’appartenance aux groupes
  • Réconciliation – Détecter et corriger les incohérences

Avantages

  • Réduit les erreurs humaines
  • Améliore la sécurité en désactivant rapidement les accès
  • Réduit les coûts administratifs
  • Améliore la conformité

Identités managées pour les ressources Azure

Les identités managées permettent aux ressources Azure de s’authentifier auprès des services qui prennent en charge l’authentification Microsoft Entra sans avoir à gérer des informations d’identification dans le code.

Types d’identités managées

  • Assignée par le système – Liée au cycle de vie d’une ressource Azure spécifique
    • Créée et supprimée automatiquement avec la ressource
    • Utilisée pour une seule ressource
    • Exemple : une VM qui accède à Key Vault
  • Assignée par l’utilisateur – Ressource Azure indépendante
    • Peut être assignée à plusieurs ressources
    • Cycle de vie géré indépendamment
    • Réutilisable entre ressources

Services compatibles

Les identités managées peuvent accéder à :

  • Azure Key Vault (secrets, certificats, clés)
  • Azure Storage (blobs, files, queues)
  • Azure SQL Database
  • Azure Container Registry
  • Azure Service Bus
  • Et plus de 100 autres services Azure
Avantage majeur : Élimine le besoin de stocker des secrets dans le code ou la configuration, réduisant considérablement les risques de sécurité.

Intégration des applications SaaS

Microsoft Entra fournit des tutoriels pour intégrer des milliers d’applications SaaS populaires avec configuration SSO et provisionnement simplifiés.

Fonctionnalités d’intégration

  • Single Sign-On (SSO) – Connexion unique pour toutes les applications
  • Provisioning automatique – Création et gestion automatique des comptes
  • MFA – Authentification multifacteur intégrée
  • Accès conditionnel – Politiques d’accès granulaires
  • Surveillance et reporting – Logs d’authentification et d’audit

Applications populaires préintégrées

  • Microsoft 365 (Teams, SharePoint, OneDrive)
  • Salesforce
  • Google Workspace
  • Slack
  • Zoom
  • Dropbox
  • ServiceNow
  • Workday
  • SAP
  • Et plus de 3000 autres applications

Surveillance et état de santé Microsoft Entra

Microsoft Entra offre des outils de surveillance complets pour assurer la sécurité et la conformité de votre environnement d’identité.

Outils de monitoring

  • Journaux de connexion – Détails de toutes les authentifications (réussies et échouées)
    • Utilisateur, application, adresse IP, appareil
    • Méthode d’authentification utilisée
    • Résultat de l’accès conditionnel

    • Veille Technologique – Actualités Microsoft

    Chargement des actualités…