Les administrateurs informatiques d'aujourd'hui ont un certain nombre de responsabilités, notamment en ce qui concerne la maintenance et la gestion d'Active Directory. Par conséquent, de nombreuses entreprises et organisations ont cherché à utiliser l'administration déléguée (un concept que nous expliquons plus en détail ci-dessous) dans le but d'améliorer leur efficacité mais aussi de soulager leurs équipes administratives. En revanche, une délégation administrative trop massive - en particulier avec un outil riche en données comme Active Directory - peut entraîner une diminution de la sécurité et une augmentation des risques, rendant votre organisation plus vulnérable aux cyberattaques. Si vous cherchez des moyens de réduire la délégation administrative dans Active Directory et ainsi atténuer ce risque, tout en réduisant la charge de travail de votre équipe d'administrateurs, vous êtes au bon endroit.

Avant de plonger dans nos principaux conseils et astuces, commençons par quelques définitions :

Qu'est-ce qu'Active Directory ? Active Directory, ou AD, est un service d'annuaire Microsoft conçu pour les réseaux Windows et inclus dans la plupart des systèmes d'exploitation Windows. Concrètement, Active Directory aide les administrateurs à trouver les informations dont ils ont besoin en organisant les renseignements concernant les comptes d'utilisateurs, les périphériques, etc. Nous aimons penser que c'est l'équivalent informatique d'une liste d'invités dans une boîte de nuit (qui dicte quels utilisateurs sont autorisés à entrer, qui a un siège dans la section VIP, etc.)

Qu'est-ce que l'administration déléguée ? De manière générale, l'administration déléguée fait référence à la façon dont le contrôle d'accès basé sur les rôles est utilisé pour décentraliser les fonctions administratives par la délégation de tâches et de fonctions. Pour les partenaires et les revendeurs, Microsoft indique que "l'administration déléguée vous permet de gérer Microsoft 365 comme si vous étiez un administrateur au sein de cette organisation."

Qu'est-ce que le contrôle d'accès basé sur les rôles (Role-Based Access Control - RBAC) ? Le contrôle d'accès basé sur les rôles, limite l'accès au réseau aux utilisateurs sélectionnés et autorisés. Selon Microsoft, "le RBAC vous permet de contrôler, à des niveaux à la fois larges et précis, ce que les administrateurs et les utilisateurs finaux peuvent faire. Le RBAC vous permet également de faire correspondre plus précisément les fonctions que vous attribuez aux utilisateurs et aux administrateurs aux rôles réels qu'ils occupent au sein de votre organisation."

Maintenant que nous avons couvert les bases, abordons la réduction de la délégation dans Active Directory et la protection de votre réseau.

Tout d'abord, vous devez établir un ensemble de groupes, ou de rôles administratifs, et leur attribuer des tâches et responsabilités en conséquence.

Avec CoreView, vous pouvez séparer, répartir et segmenter les utilisateurs comme vous le souhaitez - par emplacement, unité d'affaires, département, etc. Une fois ces groupes identifiés, vous pouvez les différencier en utilisant des locataires virtuels – virtual tenant (également connus sous le nom de virtualisation des locataires – tenant virtualisation). En décomposant votre organisation en ces petits groupes, vous pouvez facilement restreindre ce que les utilisateurs peuvent voir et faire et sur quoi ils peuvent agir. Ainsi vous évitez que la délégation ne devienne incontrôlable et réduisez les risques.

Le privilège minimum est votre meilleur ami.

Dans le domaine de la cybersécurité, le principe du moindre privilège veut que l'on accorde à un utilisateur les niveaux d'accès, ou autorisations, les plus bas nécessaires à l'accomplissement de sa tâche. Il est essentiel d'appliquer ce principe à la délégation dans Azure Active Directory, car AAD comprend un certain nombre de rôles administratifs de haut niveau, dont celui d'administrateur global, qui donnent accès à une multitude d'informations et de contrôles. Il faut donc limiter l'attribution de ces rôles à un nombre restreint d'administrateurs (par exemple, uniquement ceux qui sont responsables de la santé globale d'Azure Active Directory), puis déléguer des droits et privilèges sensiblement réduits à d'autres utilisateurs, ou "opérateurs", à partir de là.

Pour y parvenir, nous recommandons d'adopter un modèle RBAC basé sur les fonctions. Bien que le centre d'administration Microsoft 365 n'offre pas ce niveau de contrôle très précis aux administrateurs, CoreView le fait – il s’agit du contrôle d'accès fonctionnel, ou FAC. L’outil de contrôle d'accès fonctionnel Coreview vous permet de sélectionner les fonctions que vous souhaitez accorder, plutôt que d’attribuer des rôles généraux.

Dans le cadre de la protection des groupes ayant un niveau d’accès élevé, Microsoft propose un certain nombre de recommandations et d'options de configuration pour limiter la délégation dans Active Directory. Cela empêche que les informations d'identification des comptes à haut niveau de droit soient transmises à d'autres ordinateurs, services et utilisateurs d'un réseau.

L'une des options consiste à activer la fonction "Le compte est sensible et ne peut pas être délégué" - une fonction facile à activer pour un compte de service ou de système local. Une fois cette fonction activée, les informations d'identification d'un compte ne peuvent pas être réutilisées ou distribuées, ce qui limite la portée des attaques potentielles.

Là encore, les rôles administratifs de haut niveau au sein d'Azure Active Directory sont parmi les plus puissants d'une organisation – les Joyaux de la Couronne de l'administration informatique. C'est pourquoi il est impératif qu'ils soient non seulement protégés par des fonctions de sécurité étendues, mais aussi surveillés et audités régulièrement.

Comme l'explique Microsoft, "les comptes occupant ces rôles doivent être parmi les plus protégés de l'entreprise. Des précautions de sécurité supplémentaires doivent être prises pour s'assurer qu'ils ne sont pas utilisés de manière abusive ou compromettante. La surveillance et l'audit de l'appartenance à ces rôles doivent être effectués. Lorsque cela est possible, l'utilisation de groupes personnalisés avec des privilèges délégués peut constituer une solution plus sûre."

Le système de gestion Microsoft 365 de Coreview a été conçu en tenant compte de la prévention des risques, ce qui vous permet d'accélérer l'adoption de l'authentification multifactorielle et de réinitialiser les mots de passe lorsqu'un comportement à risque est détecté. CoreView effectue également des analyses et des audits de sécurité avec des journaux d'activité illimités, ce qui vous permet d'identifier - et de prévenir - les failles de sécurité aussi rapidement et efficacement que possible.