Sécuriser Microsoft Entra ID : audit et bonnes pratiques 2026
Microsoft Entra ID (anciennement Azure Active Directory) est le système d'identité central de millions d'organisations. Il gère l'authentification à Microsoft 365, Azure, et des milliers d'applications SaaS. Sa compromission équivaut à la prise de contrôle totale de votre environnement numérique. Les attaques sur Entra ID se sont multipliées avec l'explosion du travail hybride — voici comment auditer et durcir votre tenant.
Attaques courantes sur Entra ID
- Password spray : tenter un mot de passe commun (Printemps2024!) sur des milliers de comptes pour éviter le verrouillage. Très efficace contre les comptes sans MFA.
- Adversary-in-the-Middle (AiTM) : phishing qui intercepte le token de session après authentification MFA (EvilProxy, Evilginx2). Bypass du MFA classique.
- Consent grant attack : une application OAuth malveillante demande des permissions sur le tenant via un lien de phishing. L'utilisateur consent et l'attaquant a accès à ses mails/fichiers.
- Service principal abuse : exploitation de service principals avec des secrets qui n'expirent jamais et des permissions excessives (Global Admin, Owner sur subscriptions)
- Token theft : vol de tokens d'accès depuis des endpoints exposés, des logs applicatifs, ou via un malware sur le poste
- Legacy authentication : protocoles IMAP/POP3/SMTP qui ne supportent pas le MFA, utilisés pour bypasser les Conditional Access policies
MFA et Conditional Access : la base
MFA obligatoire pour tous les utilisateurs
- Activer Security Defaults (paramètre de base gratuit) ou des Conditional Access policies (nécessite P1/P2)
- Privilégier l'application Microsoft Authenticator (push notifications) plutôt que les SMS (SIM swapping)
- Pour les comptes les plus sensibles : clés FIDO2 (YubiKey) qui résistent au phishing et au AiTM
- Bloquer les authentifications legacy (IMAP/POP3/SMTP) via une Conditional Access policy "Block legacy authentication"
Conditional Access policies essentielles
- MFA pour tous les utilisateurs : politique de base, s'applique à toutes les applications
- MFA renforcé pour les admins : MFA + poste conforme (Compliant device) pour tout accès admin
- Blocage des pays à risque : bloquer les connexions depuis des pays non utilisés (Corée du Nord, Russie, etc.)
- Named Locations : définir les IP de l'entreprise comme "trusted locations" pour adapter les politiques
- Session controls : limiter la durée des sessions, forcer la réévaluation pour les accès à des applications sensibles
- Risky sign-ins : politique basée sur le risque Entra ID Protection pour demander un MFA ou bloquer les connexions à risque élevé
Privileged Identity Management (PIM)
PIM (nécessite Entra ID P2) est le mécanisme de gestion des accès privilégiés Just-In-Time pour Entra ID. Son principe : les administrateurs n'ont pas de rôles admin permanents — ils les activent temporairement quand ils en ont besoin.
- Éliminer les Global Admin permanents : convertir tous les Global Admin en "Eligible" (activable) plutôt que "Active" (permanent). En cas de compromission du compte, l'attaquant n'a pas les droits admin directement.
- Durée d'activation limitée : configurer une durée maximale d'activation (ex. 1h pour Global Admin, 4h pour Exchange Admin)
- Justification obligatoire : l'administrateur doit saisir une raison pour chaque activation de rôle
- Approbation : certains rôles critiques peuvent nécessiter l'approbation d'un autre administrateur avant activation
- Alertes et revue d'accès : notification à chaque activation, revue trimestrielle des éligibilités PIM
- Breakglass accounts : 2 comptes Global Admin d'urgence (non soumis à PIM, avec FIDO2) stockés en lieu sûr hors ligne pour récupérer l'accès au tenant en cas de problème PIM
Entra ID Protection : détection des compromissions
Entra ID Protection (inclus dans P2) détecte automatiquement les signes de compromission via le Machine Learning Microsoft :
- Détections de risque utilisateur : credentials leakés (darkweb), connexions anormales, activité suspecte
- Détections de risque de connexion : connexion depuis Tor, IP anonymisateur, voyage impossible (connexion Paris + Tokyo dans la même heure)
- Risk-based Conditional Access : forcer un MFA renforcé ou bloquer automatiquement les connexions à risque élevé
- Workbooks et rapports : tableaux de bord dans Azure Monitor pour suivre les risques et les tendances
Outils d'audit Entra ID
- Purple Knight (Semperis) : outil gratuit d'audit de sécurité Entra ID et Active Directory on-premises. Détecte les mauvaises configurations, les comptes privilégiés exposés et les backdoors potentiels.
- BloodHound (Community Edition) : analyse les chemins d'attaque dans Entra ID et Active Directory. Visualise comment un attaquant peut se déplacer d'un compte standard vers Global Admin.
- Microsoft Secure Score : tableau de bord natif mesurant la maturité sécurité du tenant avec des recommandations priorisées.
- Hawk / Microsoft Graph : outils d'investigation forensique pour analyser les logs Entra ID et détecter des signes de compromission (consent grants suspects, règles de redirection mail, etc.)
- ScubaGear (CISA) : outil open source d'audit de la configuration Microsoft 365 et Entra ID selon les benchmarks gouvernementaux américains, adaptable aux standards européens.
Checklist d'audit Entra ID prioritaire
- Moins de 5 Global Admin permanents — idéalement 0 hors breakglass
- PIM activé et configuré pour tous les rôles admin
- MFA obligatoire pour tous les utilisateurs (pas d'exception)
- Legacy authentication bloquée (Conditional Access policy)
- Entra ID Protection activé avec risk-based policies
- Audit logs conservés au moins 90 jours (180 jours recommandé)
- Revue des consent grants et des service principals avec des permissions élevées
- Self-Service Password Reset (SSPR) configuré avec méthodes d'authentification sécurisées
- Named Locations et Trusted IP configurés
- Breakglass accounts testés et monitored via des alertes
Audit Microsoft Entra ID pour votre organisation
Nos experts Microsoft certifiés réalisent un audit complet de votre tenant Entra ID avec rapport de remédiation priorisé et accompagnement à la mise en conformité.
Demander un audit Entra ID