Stratégies de sécurité et d'identité

Description

Cette stratégie vise à identifier les utilisateurs administratifs qui n’ont pas rencontré de stratégies de Conditional Access lors de leurs connexions réussies au cours des 30, 14 ou 7 derniers jours. Le but est de révéler d’éventuelles vulnérabilités et de faire respecter les mesures de sécurité nécessaires.

Impact sur votre tenant

Les comptes administratifs sans application de stratégies de Conditional Access sont plus exposés aux attaques sophistiquées. Cette lacune réduit la capacité de l’organisation à garantir des environnements d’accès sécurisés, ce qui peut entraîner des violations d’intégrité et des actions administratives non autorisées.

Action de remédiation

Planifier et envoyer le rapport à un destinataire personnalisé.

Que pouvez-vous configurer

• Saisir le destinataire de l’email (adresse personnalisée)
• Envoyer l’email lorsque le rapport est vide, non vide, ou toujours
• Envoyer en fichier Excel, CSV ou PDF
• Planifier la récurrence de l’action de remédiation

Description

Cette stratégie cible les utilisateurs administratifs qui n’ont pas été obligés de compléter une MFA lors de connexions réussies au cours des 30, 14 ou 7 derniers jours, selon les politiques de Conditional Access. L’objectif est de révéler d’éventuelles failles de sécurité et de garantir des pratiques d’authentification strictes. 

Impact sur votre tenant

Lorsque les comptes administratifs sont accessibles sans MFA, cela pose une menace critique pour la sécurité de l’organisation. Ces comptes à privilèges élevés sont souvent visés par des attaquants qui, s’ils réussissent, peuvent modifier des configurations, extraire des données ou perturber des services essentiels, impactant fortement l’activité.

Action de remédiation

Planifier et envoyer le rapport à un destinataire personnalisé.

Que pouvez-vous configurer

• Saisir le destinataire de l’email (adresse personnalisée)
• Envoyer l’email lorsque le rapport est vide, non vide, ou toujours
• Envoyer en fichier Excel, CSV ou PDF
• Planifier la récurrence de l’action de remédiation

Description

Cette stratégie identifie le nombre total d’administrateurs de l’organisation.

Impact sur votre tenant

Un nombre trop élevé d’administrateurs dans l’organisation augmente considérablement le risque de failles de sécurité potentielles.

Action de remédiation

Planifier et envoyer le rapport à un destinataire personnalisé.

Que pouvez-vous configurer

• Saisir le destinataire de l’email (adresse personnalisée)
• Envoyer l’email lorsque le rapport est vide, non vide, ou toujours
• Envoyer en fichier Excel, CSV ou PDF
• Planifier la récurrence de l’action de remédiation

Description

Cette stratégie identifie les administrateurs cloud qui n’ont pas de politique de mot de passe fort appliquée à leur compte. 

Elle affiche le nom principal de l’utilisateur, confirme son statut de rôle administratif, indique que le type de compte est un utilisateur cloud, et surtout précise si un mot de passe fort n’est pas exigé. 

Cet outil favorise une gestion robuste des mots de passe en détectant les comptes administrateurs potentiellement dépourvus de restrictions strictes dans l’environnement cloud.

Impact sur votre tenant

Les administrateurs sans mot de passe fort représentent un risque de sécurité important pour toute l’organisation.

Action de remédiation

Exécuter l’action « Définir un mot de passe requis »

Que pouvez-vous configurer

• Planifier la récurrence de l’action de remédiation
• Activer/désactiver l’alerte email si le flux de travail échoue

Description

Cette stratégie vous aide à repérer rapidement les administrateurs cloud qui n’ont pas activé la sécurité supplémentaire avec l’authentification multi-facteurs (MFA). 

Elle affiche leur nom, leur rôle et leur manager, facilitant ainsi la prise de contact pour encourager l’amélioration de la sécurité.

Impact sur votre tenant

Les administrateurs sans MFA sont plus exposés au risque de compromission de compte, ce qui peut entraîner un accès non autorisé à des données et systèmes sensibles.

Action de remédiation

1. Envoyer une attestation au manager (ou à une adresse personnalisée)
2. Exécuter l’action « Gérer la MFA »

Que pouvez-vous configurer

• Modifier le destinataire de l’attestation
• Définir le délai (min : 1 jour – max : 180 jours)
• Planifier la récurrence de l’action de remédiation
• Activer/désactiver l’alerte email si le flux de travail échoue

Description

Ce filtre affiche les administrateurs actifs dont les comptes ne sont pas bloqués et dont les mots de passe n’expirent jamais.

Impact sur votre tenant

Un trop grand nombre d’administrateurs avec des mots de passe non expirants augmente le risque de sécurité, les rendant plus exposés à une compromission en cas d’absence de renouvellement régulier.

Action de remédiation

Désactiver l’option « Mot de passe n’expire jamais ».

Que pouvez-vous configurer

• Activer/désactiver l’alerte email si le flux de travail échoue
• Planifier la récurrence de l’action de remédiation

Description

Cette stratégie décrit une procédure pour identifier les administrateurs cloud dont le mot de passe n’a pas été modifié depuis 90 jours. 

Elle affiche les informations essentielles telles que l’identifiant, le nom complet, le statut administrateur et le manager, afin de garantir une gestion professionnelle de la sécurité des mots de passe.

Impact sur votre tenant

Microsoft recommande de s’assurer que les mots de passe des comptes administrateur et partagés soient renouvelés régulièrement. Veillez à ce que tous les comptes administrateur et partagés se soient connectés et aient modifié leur mot de passe au moins une fois au cours des 90 derniers jours.

Action de remédiation

1. Envoyer une attestation au manager (ou à une adresse personnalisée)
2. Exécuter l’action « Gérer le mot de passe »

Que pouvez-vous configurer

• Sélectionner le destinataire (manager ou adresse personnalisée)
• Insérer un message supplémentaire
• Définir le délai (min : 1 jour – max : 180 jours)
• Planifier la récurrence de l’action de remédiation
• Activer/désactiver l’alerte email si le flux de travail échoue

Description

Cette stratégie identifie les groupes de distribution sans membres.

Impact sur votre tenant

Des groupes de distribution vides dans votre tenant peuvent entraîner de la confusion, compliquer la gestion et masquer des mauvaises configurations exploitables. Les bonnes pratiques incluent l’audit et le nettoyage régulier pour garantir un environnement rationalisé, sécurisé, et maintenir des politiques de contrôle d’accès claires et efficaces.

Action de remédiation

Supprimer le groupe de distribution vide.

Que pouvez-vous configurer

• Activer/désactiver l’alerte email si le flux de travail échoue
• Planifier la récurrence de l’action de remédiation

Description

Cette stratégie identifie les groupes M365 sans membres.

Impact sur votre tenant

Les groupes MS 365 vides dans votre tenant peuvent entraîner de la confusion, compliquer la gestion et masquer des mauvaises configurations exploitables. Les bonnes pratiques incluent l’audit et le nettoyage régulier pour garantir un environnement rationalisé et sécurisé, et pour maintenir des politiques de contrôle d’accès claires et efficaces.

Action de remédiation

Supprimer le groupe Microsoft 365.

Que pouvez-vous configurer

• Activer/désactiver l’alerte email si le flux de travail échoue
• Planifier la récurrence de l’action de remédiation

Description

Cette stratégie identifie les groupes de sécurité sans membres.

Impact sur votre tenant

Les groupes de sécurité vides dans votre tenant peuvent entraîner de la confusion, compliquer la gestion et masquer des mauvaises configurations exploitables. Les bonnes pratiques incluent l’audit et le nettoyage régulier pour garantir un environnement rationalisé, sécurisé, et maintenir des politiques de contrôle d’accès claires et efficaces.

Action de remédiation

Supprimer le groupe de sécurité vide.

Que pouvez-vous configurer

• Activer/désactiver l’alerte email si le flux de travail échoue
• Planifier la récurrence de l’action de remédiation

Description

Cette stratégie identifie les membres externes dans les groupes de distribution.

Impact sur votre tenant

Un nombre trop élevé de membres externes dans les groupes de distribution augmente le risque de fuite de données, des informations sensibles pouvant être partagées involontairement. Cela étend également la surface d’attaque pour le phishing ou l’ingénierie sociale visant à pénétrer le réseau de l’organisation.

Action de remédiation

Supprimer le membre du groupe de distribution.

Que pouvez-vous configurer

• Activer/désactiver l’alerte email si le flux de travail échoue
• Planifier la récurrence de l’action de remédiation

Description

Cette stratégie fournit une vue claire des utilisateurs externes dans vos groupes Microsoft 365. 

Elle liste leur nom principal, leur nom d’affichage, ainsi que les détails du groupe, y compris l’identifiant unique et le nom du groupe. Elle précise également si l’utilisateur est marqué comme invité, abonné, membre ou propriétaire dans le groupe. 

C’est un moyen simple d’auditer l’accès externe à vos espaces collaboratifs Microsoft 365.

Impact sur votre tenant

Les utilisateurs externes ayant accès à des ressources et des données via leur appartenance à des groupes M365 requièrent une attestation périodique pour garantir qu’ils ne sont pas oubliés et qu’ils disposent du minimum d’accès possible.

Action de remédiation

1. Envoyer une attestation au manager (ou à une adresse personnalisée)
2. Exécuter l’action « Supprimer le membre du groupe M365 »

Que pouvez-vous configurer

• Sélectionner le destinataire (propriétaires du groupe ou adresse personnalisée)
• Insérer un message supplémentaire
• Définir le délai (min : 1 jour – max : 180 jours)
• Planifier la récurrence de l’action de remédiation
• Activer/désactiver l’alerte email si le flux de travail échoue

Description

Cette stratégie affiche la liste des utilisateurs externes dans vos groupes de sécurité. Elle donne leur nom principal, leur nom d’affichage, le type de membre dans le groupe, le nom du groupe de sécurité, et leur statut d’invité. 

Elle précise aussi s’ils sont propriétaires et fournit l’identifiant unique (GUID) du groupe de sécurité. 

Ceci est utile pour gérer et examiner l’accès externe aux zones sensibles de votre organisation.

Impact sur votre tenant

Les utilisateurs externes membres des groupes de sécurité requièrent une attestation périodique pour garantir qu’ils ne sont pas oubliés et possèdent le minimum de privilèges.

Action de remédiation

1. Envoyer une attestation au manager (ou à une adresse personnalisée)
2. Exécuter l’action « Supprimer le membre du groupe de sécurité »

Que pouvez-vous configurer

• Sélectionner le destinataire (propriétaires du groupe ou adresse personnalisée)
• Insérer un message supplémentaire
• Définir le délai (min : 1 jour – max : 180 jours)
• Planifier la récurrence de l’action de remédiation
• Activer/désactiver l’alerte email si le flux de travail échoue

Description

Cette stratégie vous aide à identifier les utilisateurs invités inactifs dans Microsoft 365 au cours des 180 derniers jours. 

Elle affiche leur nom principal et inclut une colonne pour le manager, même si cela peut ne pas s’appliquer aux invités. 

Elle indique aussi la dernière date d’activité et confirme leur statut d’utilisateur invité. Ceci est utile pour l’audit et le nettoyage des utilisateurs externes inactifs dans votre système.

Impact sur votre tenant

Les invités inactifs depuis 180 jours ou plus représentent un risque pour la sécurité et encombrent la gestion des utilisateurs. Leur identification et gestion sont essentielles pour maintenir un environnement efficace et sécurisé.

Action de remédiation

Exécuter l’action « Supprimer l’utilisateur invité »

Que pouvez-vous configurer

• Planifier la récurrence de l’action de remédiation
• Activer/désactiver l’alerte email si le flux de travail échoue

Description

Cette stratégie met en évidence les utilisateurs inactifs depuis 60 jours, mais dont les comptes ne sont pas bloqués. 

Elle affiche leur nom principal, la dernière tentative de connexion et les informations sur leur manager. 

Elle confirme aussi que les informations d’identification du compte ne sont pas bloquées, ce qui est utile pour l’analyse de l’activité et du statut des comptes utilisateurs.

Impact sur votre tenant

Les groupes Teams contenant des invités peuvent présenter des risques de sécurité. S’assurer que ces invités sont nécessaires et bien gérés contribue à maintenir un environnement sécurisé.

Action de remédiation

1. Envoyer une attestation au manager (ou à une adresse personnalisée)
2. Exécuter l’action « Bloquer l’état de connexion »

Que pouvez-vous configurer

• Sélectionner le destinataire (manager ou adresse personnalisée)
• Insérer un message supplémentaire
• Définir le délai (min : 1 jour – max : 180 jours)
• Planifier la récurrence de l’action de remédiation
• Activer/désactiver l’alerte email si le flux de travail échoue

Description

Cette stratégie est conçue pour identifier les groupes Microsoft 365 sans propriétaires assignés. 

Elle affiche le nom de chaque groupe et confirme que le nombre total de propriétaires est zéro. Elle fournit aussi l’adresse SMTP principale de chaque groupe, utile pour l’administration. 

Cet outil facilite la gouvernance et garantit que chaque groupe est correctement supervisé.

Impact sur votre tenant

Les groupes Microsoft 365 sans propriétaires peuvent entraîner des ressources non gérées et potentiellement orphelines. S’assurer que chaque groupe ait un responsable désigné est essentiel pour une gestion et une gouvernance efficaces.

Action de remédiation

1. Envoyer une attestation à l’adresse SMTP principale (ou à une adresse personnalisée)
2. Aucune action ne sera exécutée – l’attestation sert uniquement à titre informatif

Que pouvez-vous configurer

• Sélectionner le destinataire (propriétaires du groupe ou adresse personnalisée)
• Insérer un message supplémentaire
• Définir le délai (min : 1 jour – max : 180 jours)
• Planifier la récurrence de l’action de remédiation
• Activer/désactiver l’alerte email si le flux de travail échoue

Description

Cette stratégie vise les utilisateurs qui n’ont pas rencontré de stratégies de Conditional Access lors de leurs connexions réussies durant les 30, 14 ou 7 derniers jours. Elle permet d’identifier les éventuelles failles de sécurité en signalant les utilisateurs non soumis à ces stratégies.

Impact sur votre tenant

L’absence de Conditional Access pour les connexions utilisateur peut aboutir à un accès non autorisé depuis des emplacements non fiables. Ce manque de contrôle permet aux attaquants d’exploiter des points d’entrée vulnérables et augmente le risque de compromission des identités et d’accès non autorisé aux données.

Action de remédiation

Planifier et envoyer le rapport à un destinataire personnalisé.

Que pouvez-vous configurer

• Saisir le destinataire de l’email (adresse personnalisée)
• Envoyer l’email lorsque le rapport est vide, non vide, ou toujours
• Envoyer en fichier Excel, CSV ou PDF
• Planifier la récurrence de l’action de remédiation

Description

Cette stratégie cible les utilisateurs qui n’ont pas été tenus de compléter une MFA lors de leurs connexions réussies au cours des 30, 14 ou 7 derniers jours, selon la politique de Conditional Access. L’objectif est de détecter les failles et de garantir des pratiques d’authentification robustes. 

Impact sur votre tenant

Autoriser des connexions sans authentification multi-facteurs accroît le risque d’accès non autorisé, car les attaquants peuvent facilement contourner une authentification simple. Cette faiblesse expose votre organisation aux violations de données et attaques par phishing, compromettant potentiellement des informations sensibles.

Action de remédiation

Planifier et envoyer le rapport à un destinataire personnalisé.

Que pouvez-vous configurer

• Saisir le destinataire de l’email (adresse personnalisée)
• Envoyer l’email lorsque le rapport est vide, non vide, ou toujours
• Envoyer en fichier Excel, CSV ou PDF
• Planifier la récurrence de l’action de remédiation

Description

Cette stratégie vous aide à repérer rapidement les administrateurs cloud qui n’ont pas activé la sécurité supplémentaire avec la MFA.

Elle affiche leur nom, leur rôle et leur manager, facilitant ainsi la prise de contact pour améliorer la sécurité.

Impact sur votre tenant

Les utilisateurs sans méthode MFA par défaut sont plus vulnérables aux failles de sécurité. L’application de la MFA pour tous minimise ce risque.

Action de remédiation

Envoyer une alerte à l’utilisateur sans MFA activée

Que pouvez-vous configurer

• Planifier la récurrence de l’action de remédiation
• Activer/désactiver l’alerte email si le flux de travail échoue

Description

Cette stratégie est conçue pour identifier les utilisateurs qui n’ont pas activé l’authentification multi-facteurs (MFA).

Elle affiche l’UPN, le nom d’affichage, l’état de la MFA, le manager et si un rôle administratif est attribué. 

Cet outil est essentiel pour les équipes IT afin de s’assurer que la MFA soit appliquée à tous pour renforcer la sécurité des comptes.

Impact sur votre tenant

Les utilisateurs sans méthode MFA sont plus vulnérables aux incidents de sécurité. L’application de la MFA à tous permet de réduire les accès non autorisés.

Action de remédiation

Exécuter l’action « Gérer la MFA »

Que pouvez-vous configurer

• Planifier la récurrence de l’action de remédiation
• Activer/désactiver l’alerte email si le flux de travail échoue

Description

Ce filtre affiche la liste des utilisateurs de l’organisation remplissant les critères suivants : type de compte UserMailbox ou utilisateur, pas de blocage de connexion, au moins une licence attribuée (ce qui confirme des droits sur certains services/fonctionnalités) et aucune méthode d’authentification forte par défaut. Il identifie donc les utilisateurs actifs, licenciés, sans méthode de sécurité renforcée configurée.

Impact sur votre tenant

Un grand nombre d’utilisateurs dans ce cas accroit les risques de sécurité par manque d’authentification robuste, potentiellement en contournant les stratégies de Conditional Access mises en place, rendant l’organisation plus vulnérable et exposée à des problèmes de conformité.

Action de remédiation

Planifier et envoyer le rapport à un destinataire personnalisé.

Que pouvez-vous configurer

• Saisir le destinataire de l’email (adresse personnalisée)
• Envoyer l’email lorsque le rapport est vide, non vide, ou toujours
• Envoyer en fichier Excel, CSV ou PDF
• Planifier la récurrence de l’action de remédiation

Description

Ce filtre affiche les utilisateurs actifs, licenciés dans votre organisation avec un rôle User ou UserMailbox, dont les comptes ne sont pas bloqués, avec au moins une licence et des mots de passe qui n’expirent jamais.

Impact sur votre tenant

Trop d’utilisateurs ayant des mots de passe qui n’expirent jamais peut représenter un risque de sécurité, car les comptes sont plus susceptibles d’être compromis avec le temps sans renouvellement régulier des mots de passe.

Action de remédiation

Désactiver l’option « Mot de passe n’expire jamais ».

Que pouvez-vous configurer

• Activer/désactiver l’alerte email si le flux de travail échoue
• Planifier la récurrence de l’action de remédiation