1 votes

Meilleures pratiques pour les PC joints à Azure AD et les comptes d'administrateur global

Je viens d'un environnement Active Directory sur site, mais dans mon nouveau poste, notre entreprise est entièrement sous Microsoft 365 / Azure AD. Nous n'avons rien sur site.

Nos collaborateurs sont dispersés dans tout le pays, utilisent tous des ordinateurs portables, et utilisent actuellement un compte local ou éventuellement un compte Microsoft personnel lorsqu'ils utilisent leur ordinateur Windows 10, et n'utilisent leurs identifiants AAD que pour accéder à la messagerie, Sharepoint, Teams, etc.

Je prévois de joindre les ordinateurs à AAD et de les gérer avec Intune, mais certains de nos collaborateurs de niveau C ont un accès d'administrateur global aux systèmes M365/AAD. Avec le système on-prem, nous n'avons jamais attribué de droits d'administrateur de domaine à nos comptes d'utilisateur ordinaires, mais nous avons plutôt utilisé des comptes ordinaires pour le travail quotidien et un compte distinct à des fins d'administration. Ai-je raison de supposer que je devrais faire la même chose avec AAD - enlever leurs droits Global Admin sur leurs comptes réguliers ? Il semble juste une recette pour le désastre si un malware obtient sur leur PC joint au domaine et ils sont connectés en tant que Global Admin. Ou est-ce que cette configuration a des mécanismes en place pour se protéger contre ce type de scénario que je ne connais pas ?

Pour être clair, je fais confiance à ces personnes pour ne pas abuser de leur pouvoir, mais j'essaie de me prémunir contre les attaques. Tout lien vers un bon document sur les meilleures pratiques de sécurité M365/AAD serait également apprécié. (plutôt que l'article sur les "meilleures pratiques" de Microsoft qui me suggère de passer à AAD Prem P2 pour m'abonner à leurs services de sécurité)

3voto

joeqwerty Points 106914

Ai-je raison de penser que je devrais faire la même chose avec l'AAD - prendre retirer leurs droits d'administrateur global sur leurs comptes réguliers ?

Vous avez tout à fait raison. Ce n'est pas spécifique à Office 365. Il s'agit d'une bonne pratique standard. Ils (et vous) doivent se connecter à vos ordinateurs avec des comptes d'utilisateur Office 365/Azure AD "standard" (pas de rôles de gestion Office 365 ou Azure), et vous devez utiliser des comptes Global Admin dédiés et nommés pour les tâches qui nécessitent ce rôle.

Des mesures de protection sont-elles en place ? Seulement si vous les mettez en place. L'une d'entre elles consiste à utiliser les valeurs de sécurité par défaut d'Office 365 et à mettre en œuvre l'authentification multifactorielle pour tous les comptes qui ont des rôles de gestion d'Office 365 ou d'Azure AD. Un administrateur global est un administrateur global et possède tous les droits, autorisations et capacités d'un administrateur global. Il n'existe aucun mécanisme de protection permettant de dire "Oh, cet administrateur global se connecte à partir d'une machine jointe à Azure AD, nous allons donc restreindre sa capacité d'administrateur global".

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X