Sécuriser le contrôle d’accès en utilisant des groupes dans Microsoft Entra ID
Microsoft Entra ID permet d’utiliser des groupes pour gérer l’accès aux ressources d’une organisation. Utilisez des groupes pour le contrôle d’accès pour gérer et réduire l’accès aux applications. Lorsque des groupes sont utilisés, seuls les membres de ces groupes peuvent accéder à la ressource. L’utilisation de groupes active également les fonctionnalités de gestion suivantes :
- Groupes à appartenance dynamique basée sur des attributs
- Groupes externes synchronisés à partir de l’instance locale d’Active Directory
- Groupes gérés par l’administrateur ou en libre-service
Pour en savoir plus sur les avantages des groupes pour le contrôle d’accès, consultez Gérer l’accès à une application.
Lors du développement d’une application, autorisez l’accès avec la revendication de groupes. Si vous souhaitez obtenir plus d’informations, vérifiez comment configurer des revendications de groupe pour des applications avec Microsoft Entra ID.
Aujourd’hui, de nombreuses applications sélectionnent un sous-ensemble de groupes avec l’indicateur securityEnabled
défini sur true
pour éviter les défis de mise à l’échelle, c’est-à-dire pour réduire le nombre de groupes retournés dans le jeton. L’attribution de la valeur true à l’indicateur securityEnabled
pour un groupe ne garantit pas que le groupe est géré en toute sécurité.
Meilleures pratiques pour atténuer les risques
Le tableau suivant présente plusieurs meilleures pratiques de sécurité pour les groupes de sécurité et les risques de sécurité potentiels que chaque pratique atténue.
Bonnes pratiques de sécurité | Risque de sécurité atténué |
---|---|
Assurez-vous que le propriétaire de la ressource et le propriétaire du groupe sont le même principal. Les applications doivent créer leur propre expérience de gestion de groupe et créer de nouveaux groupes pour gérer l’accès. Par exemple, une application peut créer des groupes avec l’autorisation Group.Create et s’ajouter elle-même comme propriétaire du groupe. De cette façon, l’application contrôle ses groupes sans avoir plus de privilèges pour modifier d’autres groupes dans le locataire. |
Lorsque les propriétaires de groupes et les propriétaires de ressources sont différentes entités, les propriétaires de groupes peuvent ajouter des utilisateurs au groupe qui ne sont pas censés accéder à la ressource mais peuvent y accéder par inadvertance. |
Créez un contrat implicite entre le propriétaire de la ressource et le propriétaire du groupe. Le propriétaire de la ressource et le propriétaire du groupe doivent s’aligner sur l’objet du groupe, les stratégies et les membres qui peuvent être ajoutés au groupe pour accéder à la ressource. Ce niveau de confiance est non technique et s’appuie sur un contrat humain ou commercial. | Lorsque les propriétaires de groupes et les propriétaires de ressources ont des intentions différentes, le propriétaire du groupe peut ajouter des utilisateurs au groupe auquel le propriétaire de la ressource n’avait pas prévu d’accorder l’accès. Cette action peut entraîner un accès inutile et potentiellement risqué. |
Utilisez des groupes privés pour le contrôle d’accès. Les groupes Microsoft 365 sont gérés par le concept de visibilité. Cette propriété contrôle la stratégie de jointure du groupe et la visibilité des ressources de groupe. Les groupes de sécurité ont des stratégies de jointure qui permettent à quiconque de rejoindre ou de demander l’approbation du propriétaire. Les groupes synchronisés locaux peuvent également être publics ou privés. Les utilisateurs qui rejoignent un groupe synchronisé localement peuvent également accéder à la ressource cloud. | Lorsque vous utilisez un groupe public pour le contrôle d’accès, tous les membres peuvent rejoindre le groupe et accéder à la ressource. Lorsqu’un groupe public est utilisé pour octroyer l’accès à une ressource externe, le risque d’élévation de privilège existe. |
Imbrication de groupes. Lorsque vous utilisez un groupe pour le contrôle d’accès et qu’il a d’autres groupes en tant que membres, les membres des sous-groupes peuvent accéder à la ressource. Dans ce cas, il existe plusieurs propriétaires de groupe du groupe parent et des sous-groupes. | Pour s’aligner avec plusieurs propriétaires de groupes sur l’objet de chaque groupe et la façon d’ajouter des membres appropriés à ces groupes est plus complexe et plus susceptible d’octroyer un accès par accident. Limitez le nombre de groupes imbriqués ou ne pas les utiliser du tout si possible. |