Configurer les contrôles d’accès aux identités pour être conforme au niveau d’impact élevé FedRAMP High

Article
10/24/2024

Le contrôle d’accès est un élément essentiel pour le fonctionnement du niveau d’impact élevé FedRAMP (Federal Risk and Authorization Management Program).

La liste suivante des contrôles et des améliorations de contrôle de la famille de contrôle d'accès (AC) peut nécessiter une configuration dans votre client Microsoft Entra.

Famille de contrôle	Description
AC-2	Gestion des comptes
AC-6	Privilège minimum
AC-7	Tentatives d’ouverture de session infructueuses
AC-8	Notification d’utilisation du système
AC-10	Contrôle des sessions simultanées
AC-11	Verrouillage de session
AC-12	Arrêt de session
AC-20	Utilisation de systèmes d’information externes

Chaque ligne du tableau suivant fournit des orientations prescriptives pour vous aider à élaborer la réponse de votre organisation aux responsabilités partagées concernant le contrôle ou le renforcement du contrôle.

Configurations

ID et description du contrôle FedRAMP	Aide et recommandations relatives à Microsoft Entra
GESTION DES COMPTES AC-2 L’organisation : (a.) Identifie et sélectionne les types de comptes de système d’information suivants pour appuyer les missions et les fonctions organisationnelles : [Affectation : types de comptes du système d’information définis par l’organisation]. (b.) Affecte des gestionnaires de comptes aux comptes du système d’information. (c.) Établit les conditions d’appartenance au groupe et au rôle. (d.) Spécifie les utilisateurs autorisés du système d’information, l’appartenance aux groupes et aux rôles, ainsi que les autorisations d’accès (par ex., les privilèges) et, si nécessaire, d’autres attributs pour chaque compte. (e.) Exige l’approbation [Affectation : du personnel ou des rôles définis par l’organisation] pour les requêtes de création de compte du système d’information. (f.) Crée, active, modifie, désactive et supprime les comptes du système d’information conformément aux [Affectation : procédures ou conditions définies par l’organisation]. (g.) Surveille l’utilisation des comptes du système d’information. (h.) Avertit les gestionnaires de comptes : (1.) Lorsque les comptes ne sont plus requis (2.) Lors de la suppression ou du transfert des utilisateurs (3.) Lorsque l’utilisation d’un système d’information individuel ou les besoins en matière de connaissances évoluent (i.) Autorise l’accès au système d’information en fonction des éléments suivants : (1.) Autorisation d'accès valide (2.) Utilisation prévue du système (3.) Autres attributs requis par l’organisation ou les missions/fonctions métier associées (j.) Vérifie la conformité des comptes aux exigences de gestion des comptes [Affectation FedRAMP : mensuellement pour l’accès privilégié, tous les six (6) mois pour l’accès non privilégié] (k.) Établit un processus de réémission des informations d’identification pour les comptes partagés ou de groupe (si déployés) lorsque des personnes sont retirées du groupe.	Implémenter la gestion du cycle de vie des comptes pour les comptes contrôlés par le client. Surveiller l’utilisation des comptes et notifier les gestionnaires de comptes des événements de cycle de vie des comptes. Examiner les comptes en lien avec la conformité aux exigences de gestion de compte chaque mois pour l’accès privilégié et tous les six mois pour l’accès sans privilège. Utilisez Microsoft Entra ID pour provisionner des comptes à partir de systèmes RH externes, d'Active Directory sur site ou directement dans le cloud. Toutes les opérations du cycle de vie du compte sont auditées dans les journaux d'audit Microsoft Entra. Vous pouvez collecter et analyser les journaux en utilisant une solution SIEM (Security Information and Event Management) comme Microsoft Sentinel. Vous pouvez également utiliser Azure Event Hubs pour intégrer des journaux dans des solutions SIEM tierces afin d’activer la supervision et la notification. Utilisez la gestion des droits Microsoft Entra avec des examens d’accès pour garantir l’état de conformité des comptes. Provisionner des comptes Planifier l'application RH cloud pour le provisionnement des utilisateurs Microsoft Entra Microsoft Entra Connect Sync : comprendre et personnaliser la synchronisation Ajouter ou supprimer des utilisateurs à l'aide de Microsoft Entra ID Superviser les comptes Auditer les rapports d’activité dans le Centre d’administration Microsoft Entra Connecter les données Microsoft Entra à Microsoft Sentinel Tutoriel : Diffuser des journaux en continu sur un Event Hub Azure Passer en revue les comptes Qu’est-ce que la gestion des droits d’utilisation Microsoft Entra ? Créer une révision d’accès pour un package d’accès dans la gestion des droits d’utilisation Microsoft Entra Révision d’accès pour un package d’accès dans la gestion des droits d’utilisation Microsoft Entra Ressources Autorisations du rôle d'administrateur dans Microsoft Entra ID Groupes dynamiques dans Microsoft Entra ID
AC-2 (1) L’organisation utilise des mécanismes automatisés pour gérer les comptes du système d’information.	Utilisez des mécanismes automatisés pour prendre en charge la gestion des comptes contrôlés par le client. Configurez le provisionnement automatisé des comptes contrôlés par le client à partir de systèmes RH externes ou d’Active Directory local. Pour les applications qui prennent en charge le provisionnement d'applications, configurez Microsoft Entra ID pour créer automatiquement des identités et des rôles d'utilisateur dans les applications Cloud Software as a Solution (SaaS) auxquelles les utilisateurs doivent accéder. En plus de créer des identités utilisateur, l’approvisionnement automatique comprend la maintenance et la suppression d’identités utilisateur en cas de modification de l’état ou des rôles. Pour faciliter la surveillance de l'utilisation du compte, vous pouvez diffuser les journaux Microsoft Entra ID Protection, qui affichent les utilisateurs à risque, les connexions à risque et les détections de risques, ainsi que les journaux d'audit directement dans Microsoft Sentinel ou Event Hubs. Approvisionner Planifier l'application RH cloud pour le provisionnement des utilisateurs Microsoft Entra Microsoft Entra Connect Sync : comprendre et personnaliser la synchronisation Qu’est-ce que le provisionnement automatisé des utilisateurs d’applications SaaS dans Microsoft Entra ID ? Tutoriels d'intégration d'applications SaaS à utiliser avec Microsoft Entra ID Contrôle et audit Examiner les risques Auditer les rapports d’activité dans le Centre d’administration Microsoft Entra Présentation de Microsoft Sentinel Microsoft Sentinel : connecter les données de Microsoft Entra ID Tutoriel : diffuser les journaux Microsoft Entra vers un Event Hub Azure
AC-2 (2) Le système d’information [Sélection FedRAMP : désactive] automatiquement les comptes temporaires et d’urgence [Affectation FedRAMP : 24 heures après la dernière utilisation]. AC-02(3) Le système d’information désactive automatiquement les comptes inactifs au bout de [Affectation FedRAMP : trente-cinq (35) jours pour les comptes d’utilisateurs]. AC-2 (3) Exigences et conseils supplémentaires pour FedRAMP : Exigence : le fournisseur de services définit les délais pour les comptes non associés à des utilisateurs (par exemple, les comptes associés à des appareils). Le JAB/AO approuve et accepte les délais. Lorsque la gestion des utilisateurs dépend du service, les rapports d’activité des utilisateurs consommateurs doivent être mis à disposition.	Utilisez des mécanismes automatisés pour prendre en charge la suppression ou la désactivation automatique des comptes temporaires et d’urgence dans un délai de 24 heures à partir de la dernière utilisation et de tous les comptes contrôlés par le client après 35 jours d’inactivité. Implémentez l’automatisation de la gestion des comptes avec Microsoft Graph et Microsoft Graph PowerShell. Microsoft Graph permet de superviser l’activité de connexion et Azure AD PowerShell de prendre des mesures sur les comptes dans le délai imparti. Déterminer l’inactivité Gérer les comptes d’utilisateur inactifs dans Microsoft Entra ID Gérer les appareils obsolètes dans Microsoft Entra ID Supprimer ou désactiver des comptes Utilisation des utilisateurs dans Microsoft Graph Obtenir un utilisateur Mettre à jour un utilisateur Suppression d’un utilisateur Utiliser des appareils dans Microsoft Graph Obtenir un appareil Mettre à jour un appareil Supprimer un appareil Consultez la documentation PowerShell Microsoft Graph Get-MgUser Update-MgUser Get-MgDevice Update-MgDevice
AC-2 (4) Le système d’information vérifie automatiquement les actions de création, de modification, d’activation, de désactivation et de suppression des comptes et en informe [Affectation FedRAMP : le propriétaire du système du fournisseur de services et/ou l’organisation].	Implémentez un système d’audit et de notification automatisé pour le cycle de vie de gestion des comptes contrôlés par le client. Toutes les opérations de cycle de vie des comptes (opérations de création, de modification, d’activation, de désactivation et de suppression des comptes) sont auditées dans les journaux d’audit Azure. Vous pouvez diffuser en continu les journaux directement dans Microsoft Sentinel ou Event Hubs pour faciliter la notification. Audit Auditer les rapports d’activité dans le Centre d’administration Microsoft Entra Microsoft Sentinel : connecter les données de Microsoft Entra ID Notification Présentation de Microsoft Sentinel Tutoriel : diffuser les journaux Microsoft Entra vers un Event Hub Azure
AC-2 (5) L’organisation exige que les utilisateurs se déconnectent lorsque [Affectation FedRAMP : l’inactivité prévue dépasse quinze (15) minutes]. AC-2 (5) Exigences et conseils supplémentaires relatifs à FedRAMP : Conseil : Utiliser un délai plus court que AC-12	Implémentez la déconnexion de l’appareil après une période d’inactivité de 15 minutes. Implémentez le verrouillage des appareils à l'aide d'une stratégie d'accès conditionnel limitant l'accès aux appareils conformes. Configurez les paramètres de stratégie sur l’appareil pour appliquer le verrouillage de l’appareil au niveau du système d’exploitation avec des solutions de gestion des appareils mobiles comme Intune. Endpoint Manager ou des objets de stratégie de groupe peuvent également être envisagés dans les déploiements hybrides. Pour les appareils non managés, configurez le paramètre de fréquence de connexion pour forcer les utilisateurs à s’authentifier à nouveau. Accès conditionnel Exiger que l’appareil soit marqué comme conforme Fréquence de connexion de l’utilisateur Stratégie GPM Configurez les appareils pour un nombre maximal de minutes d’inactivité avant le verrouillage de l’écran et exigez un mot de passe pour le déverrouillage (Android, iOS, Windows 10).
AC-2(7) L’organisation : (a.) Établit et administre des comptes utilisateurs privilégiés conformément à un système d’accès basé sur des rôles qui organise l’accès et les privilèges autorisés du système d’information en fonction des rôles. (b) Surveille les attributions de rôles privilégiés. (c) Décide de [Affectation FedRAMP : désactiver/révoquer l’accès dans un délai spécifié par l’organisation] lorsque les attributions de rôles privilégiés ne sont plus appropriées.	Gérer et surveiller les attributions de rôles privilégiées en suivant un schéma d’accès en fonction du rôle pour les comptes contrôlés par le client. Désactiver ou révoquer l’accès avec privilège pour des comptes quand il n’est plus approprié. Implémentez la gestion des identités privilégiées de Microsoft Entra avec des examens d'accès pour les rôles privilégiés dans Microsoft Entra ID afin de surveiller les attributions de rôles et de supprimer les attributions de rôles lorsqu'elles ne sont plus appropriées. Vous pouvez diffuser en continu les journaux d’audit directement dans Microsoft Sentinel ou Event Hubs pour faciliter la notification. Administrer Qu’est-ce que Microsoft Entra Privileged Identity Management ? Durée maximum d’activation Superviser Créer une révision d'accès des rôles Microsoft Entra dans Privileged Identity Management Afficher l'historique d'audit pour les rôles Microsoft Entra dans Privileged Identity Management Auditer les rapports d’activité dans le Centre d’administration Microsoft Entra Présentation de Microsoft Sentinel Connecter les données de Microsoft Entra ID Tutoriel : diffuser les journaux Microsoft Entra vers un Event Hub Azure
AC-2 (11) Le système d’information applique les [Affectation : circonstances et/ou conditions d’utilisation définies par l’organisation] aux [Affectation : comptes du système d’information définis par l’organisation].	Appliquez l’utilisation des comptes contrôlés par le client pour répondre aux conditions ou aux circonstances définies par le client. Créez des stratégies d’accès conditionnel pour appliquer des décisions de contrôle d’accès sur les utilisateurs et les appareils. Accès conditionnel Créer une stratégie d’accès conditionnel Qu’est-ce que l’accès conditionnel ?
AC-2 (12) L’organisation : (a) Surveille les comptes du système d’information concernant l’[Affectation : utilisation atypique définie par l’organisation]. (b) Signale l’utilisation atypique des comptes de système d’information [Affectation FedRAMP : au minimum à l’ISSO et/ou à un rôle similaire au sein de l’organisation]. AC-2 (12) (a) et AC-2 (12) (b) Exigences et conseils supplémentaires relatifs à FedRAMP : Requis pour les comptes privilégiés.	Surveillez et signalez les comptes contrôlés par le client avec un accès privilégié qui présentent une utilisation atypique. Pour faciliter la supervision en cas d’utilisation atypique, vous pouvez diffuser en continu les journaux Microsoft Entra ID Protection (qui montrent les utilisateurs à risque, les connexions à risque et les détections de risques) et les journaux d’audit, avec l’aide de la corrélation avec l’attribution des privilèges, directement dans une solution SIEM comme Microsoft Sentinel. Vous pouvez également utiliser Event Hubs pour intégrer les journaux à des solutions SIEM tierces. ID Protection Qu’est-ce que Microsoft Entra ID Protection ? Examiner les risques Notifications de protection de l'identifiant Microsoft Entra Superviser les comptes Présentation de Microsoft Sentinel Auditer les rapports d’activité dans le Centre d’administration Microsoft Entra Connecter les données Microsoft Entra à Microsoft Sentinel Tutoriel : Diffuser des journaux en continu sur un Event Hub Azure
AC-2 (13) L’organisation désactive les comptes des utilisateurs présentant un risque élevé dans un délai d’[Affectation FedRAMP : une (1) heure] suivant la détection du risque.	Désactivez les comptes d’utilisateurs contrôlés par le client présentant un risque significatif dans un délai d’une heure. Dans Microsoft Entra ID Protection, configurez et activez une stratégie de risque utilisateur avec le seuil défini sur Élevé. Créez des stratégies d’accès conditionnel pour bloquer l’accès aux utilisateurs à risque et aux connexions à risque. Configurez les stratégies de risque pour permettre aux utilisateurs de corriger eux-mêmes et de débloquer les tentatives de connexion ultérieures. ID Protection Qu’est-ce que Microsoft Entra ID Protection ? Accès conditionnel Qu’est-ce que l’accès conditionnel ? Créer une stratégie d’accès conditionnel Accès conditionnel : Accès conditionnel basé sur les risques d’utilisateur Accès conditionnel : Accès conditionnel basé sur les risques de connexion Correction automatique avec une stratégie de gestion des risques
AC-6 (7) L’organisation : (a.) Passe en revue [Affectation FedRAMP : au moins une fois par an] les privilèges attribués à [Affectation FedRAMP : l’ensemble des utilisateurs disposant de privilèges], et ce afin de vérifier qu’ils en ont besoin. (b.) Réattribue ou supprime des privilèges, le cas échéant, pour refléter correctement la mission ou les besoins organisationnels.	Examiner et valider tous les utilisateurs disposant d’un accès privilégié chaque année. Vérifier que les privilèges sont réattribués (ou supprimés si nécessaire) pour s’aligner sur les besoins liés à l’activité et à la mission de l’organisation. Utilisez la gestion des droits Microsoft Entra avec des examens d'accès pour les utilisateurs privilégiés afin de vérifier si un accès privilégié est requis. Révisions d’accès Qu’est-ce que la gestion des droits d’utilisation Microsoft Entra ? Créer une révision d'accès des rôles Microsoft Entra dans Privileged Identity Management Révision d’accès pour un package d’accès dans la gestion des droits d’utilisation Microsoft Entra
AC-7 Tentatives de connexion infructueuses L’organisation : (a.) Applique une limite de [Affectation FedRAMP : trois (3)] tentatives d’ouverture de session non valides consécutives par un utilisateur toutes les [Affectation FedRAMP : quinze (15) minutes]. (b.) [Sélection : Verrouille automatiquement le compte/nœud pour une [Affectation FedRAMP : durée minimale de trois (3) heures ou jusqu’à son déverrouillage par un administrateur]; retarde l’invite de connexion suivante en fonction de l’[Affectation : algorithme de délai défini par l’organisation]] lorsque le nombre maximal de tentatives infructueuses est dépassé.	Appliquer une limite de trois tentatives de connexion consécutives ayant échoué sur les ressources déployées par le client au cours d’une période de 15 minutes. Verrouiller le compte pendant au minimum trois heures ou jusqu’à ce qu’il soit déverrouillé par un administrateur. Activez les paramètres de verrouillage intelligent personnalisés. Configurez le seuil de verrouillage et la durée de verrouillage en secondes pour implémenter ces exigences. Verrouillage intelligent Protégez les comptes d'utilisateurs contre les attaques avec le verrouillage intelligent Microsoft Entra Gérer les valeurs de verrouillage intelligent de Microsoft Entra
AC-8 Notification d’utilisation du système Le système d’information : (a.) Affiche une [Affectation : notification ou bannière concernant d’utilisation du système définie par l’organisation (Affectation FedRAMP : voir la section sur les exigences et conseils supplémentaires)] à l’attention des utilisateurs avant de leur accorder l’accès au système d’envoi d’avis de confidentialité et de sécurité, conformément aux lois fédérales applicables, aux décrets exécutifs, aux directives, aux stratégies, aux règlements, aux normes et aux conseils, et fournit les indications suivantes : (1.) Les utilisateurs accèdent à un système d’information des États-Unis. (2.) L’utilisation du système d’information peut être surveillée, enregistrée et soumise à un audit. (3.) L’utilisation non autorisée du système d’information est interdite et passible de sanctions pénales et administratives. (4.) L’utilisation du système d’information est soumise au consentement à la surveillance et à l’enregistrement. (b.) Continue d’afficher la notification ou la bannière à l’écran jusqu’à ce que les utilisateurs acceptent les conditions d’utilisation et prennent des mesures explicites pour se connecter ou accéder au système d’information. (c.) Pour les systèmes accessibles publiquement : (1.) Affiche des informations sur l’utilisation du système [Affectation : selon les conditions définies par l’organisation (Affectation FedRAMP : voir exigences et conseils supplémentaires)], avant d’accorder d’autres accès. (2.) Fait référence, le cas échéant, à des activités de surveillance, d’enregistrement ou d’audit cohérentes par rapport aux exigences de confidentialité des systèmes, qui interdisent généralement ces activités. (3.) Inclut une description des utilisations autorisées du système. AC-8 Exigences et conseils supplémentaires relatifs à FedRAMP : Exigence : Le fournisseur de services doit déterminer quels éléments de l’environnement cloud nécessitent le contrôle de la notification d’utilisation du système. Le JAB/AO approuve et accepte les éléments de l’environnement cloud pour lesquels une notification d’utilisation du système est requise. Exigence : Le fournisseur de services doit définir une méthode de validation de la notification d’utilisation du système et renseigner un délai de validation approprié. Le JAB/AO approuve et accepte la validation et la périodicité de la notification d’utilisation du système. Conseils : Si cette procédure est effectuée dans le cadre d’une vérification de la base de référence de configuration, le taux d’éléments nécessitant un paramètre qui sont vérifiés et jugés valides (ou non valides) peuvent être fournis. Exigence : Si cette procédure n’est pas effectuée dans le cadre d’une vérification de la base de configuration, un accord documenté doit être établi concernant la production des résultats de la validation et la périodicité exigée de la validation par le fournisseur de services. Le JAB/AO approuve et accepte l’accord documenté sur la méthode de production de la validation des résultats.	Affichez et exigez un accusé de réception pour les remarques sur la confidentialité et la sécurité de l’utilisateur avant d’octroyer l’accès aux systèmes d’information. Avec Microsoft Entra ID, vous pouvez envoyer des notifications ou des bannières pour toutes les applications qui nécessitent et enregistrent un accusé de réception avant d'accorder l'accès. Vous pouvez cibler de manière granulaire ces conditions d’utilisation pour des utilisateurs spécifiques (membre ou invité). Il vous est également possible de les personnaliser par application via des stratégies d’accès conditionnel. Conditions d’utilisation Conditions d'utilisation de Microsoft Entra Afficher le rapport des utilisateurs ayant accepté et refusé les conditions d’utilisation
AC-10 Contrôle des sessions simultanées Le système d’information limite le nombre de sessions simultanées pour chaque [Affectation : compte défini par l’organisation et/ou type de compte] à [Affectation FedRAMP : trois (3) sessions pour l’accès privilégié et deux (2) sessions pour l’accès non privilégié].	Limitez les sessions simultanées à trois sessions pour un accès privilégié et à deux sessions pour un accès non privilégié. Aujourd'hui, les utilisateurs se connectent à partir de plusieurs appareils, parfois simultanément. Limiter les sessions simultanées provoque une dégradation de l’expérience utilisateur et a peu de valeur en termes de sécurité. Une meilleure approche pour traiter l’intention derrière ce contrôle consiste à adopter une position de sécurité Confiance Zéro. Les conditions sont validées explicitement avant qu’une session ne soit créée et validées en continu pendant toute la durée d’une session. En outre, utilisez les contrôles de compensation suivants. Utilisez les stratégies d’accès conditionnel pour restreindre l’accès aux appareils conformes. Configurez les paramètres de stratégie sur l’appareil pour appliquer les restrictions d’inscription d’utilisateur au niveau du système d’exploitation avec des solutions de gestion des appareils mobiles comme Intune. Endpoint Manager ou des objets de stratégie de groupe peuvent également être envisagés dans les déploiements hybrides. Utilisez Privileged Identity Management pour restreindre et contrôler davantage les comptes privilégiés. Configurez le verrouillage de compte intelligent pour les tentatives de connexion non valides. Conseils d’implémentation Confiance Zéro Sécurisation des identités avec la Confiance Zéro Évaluation continue de l’accès dans Microsoft Entra ID Accès conditionnel Qu’est-ce que l’accès conditionnel dans Microsoft Entra ID ? Exiger que l’appareil soit marqué comme conforme Fréquence de connexion de l’utilisateur Stratégies d’appareils Autres paramètres de stratégie de groupe de carte à puce et clés de registre Présentation de Microsoft Endpoint Manager Ressources Qu’est-ce que Microsoft Entra Privileged Identity Management ? Protégez les comptes d'utilisateurs contre les attaques avec le verrouillage intelligent Microsoft Entra Consultez la section AC-12 pour plus de conseils sur la réévaluation des sessions et l’atténuation des risques.
AC-11 Verrouillage de session Le système d’information : (a.) Empêche l’accès au système en lançant le verrouillage de session après [Affectation FedRAMP : quinze (15) minutes] d’inactivité ou à réception d’une demande d’un utilisateur. (b.) Maintient le verrouillage de session jusqu’à ce que l’utilisateur rétablisse l’accès en suivant les procédures d’identification et d’authentification établies. AC-11(1) Le système d’information dissimule, via le verrouillage de session, les informations précédemment affichées à l’écran avec une image visible publiquement.	Implémentez un verrou de session après une période d’inactivité de 15 minutes ou lors de la réception d’une demande d’un utilisateur. Conserver le verrou de session jusqu’à ce que l’utilisateur se réauthentifie. Masquer les informations précédemment visibles lors du lancement d’un verrou de session. Implémentez le verrouillage de l’appareil à l’aide d’une stratégie d’accès conditionnel limitant l’accès aux appareils conformes. Configurez les paramètres de stratégie sur l’appareil pour appliquer le verrouillage de l’appareil au niveau du système d’exploitation avec des solutions de gestion des appareils mobiles comme Intune. Endpoint Manager ou des objets de stratégie de groupe peuvent également être envisagés dans les déploiements hybrides. Pour les appareils non managés, configurez le paramètre de fréquence de connexion pour forcer les utilisateurs à s’authentifier à nouveau. Accès conditionnel Exiger que l’appareil soit marqué comme conforme Fréquence de connexion de l’utilisateur Stratégie GPM Configurez les appareils pour un nombre maximal de minutes d’inactivité avant le verrouillage de l’écran (Android, iOS, Windows 10).
AC-12 Arrêt de session Le système d’information arrête automatiquement une session utilisateur après [Affectation : conditions ou événements déclenchant la déconnexion de la session définis par l’organisation].	Arrêtez automatiquement les sessions utilisateur quand des conditions définies par l’organisation ou des événements déclencheurs se produisent. Implémentez la réévaluation automatique des sessions utilisateur avec les fonctionnalités de Microsoft Entra telles que l'accès conditionnel basé sur les risques et l'évaluation continue des accès. Vous pouvez implémenter les conditions d’inactivité au niveau de l’appareil, comme décrit à la section AC-11. Ressources Connexion à l’accès conditionnel basé sur les risques Accès conditionnel basé sur les risques d’utilisateur Évaluation continue de l’accès
AC-12(1) Le système d’information : (a.) Fournit une fonctionnalité de déconnexion des sessions de communications initiées par l’utilisateur lorsque l’authentification est utilisée pour accéder aux [Affectation : ressources d’informations définies par l’organisation]. (b.) Affiche un message de déconnexion explicite aux utilisateurs indiquant l’arrêt fiable des sessions de communications authentifiées. AC-8 Exigences et conseils supplémentaires relatifs à FedRAMP : Orientation : Test de la fonctionnalité de déconnexion (OTG-SESS-006) Test de la fonctionnalité de déconnexion	Fournissez une capacité de déconnexion pour toutes les sessions et affichez un message de déconnexion explicite. Toutes les interfaces Web Microsoft Entra ID offrent une fonctionnalité de déconnexion pour les sessions de communication initiées par l'utilisateur. Lorsque les applications SAML sont intégrées à Microsoft Entra ID, implémentez la déconnexion unique. Capacité de déconnexion Lorsque l'utilisateur sélectionne Se déconnecter partout, tous les jetons émis en cours sont révoqués. Afficher un message Microsoft Entra ID affiche automatiquement un message après la déconnexion initiée par l'utilisateur. Ressources Afficher et rechercher votre activité de connexion récente à partir de la page Mes connexions Protocole SAML de déconnexion unique
AC-20 Utilisation des systèmes d’information externes Conformément à toute relation d’approbation établie avec d’autres organisations qui possèdent, exploitent ou assurent la maintenance de systèmes d’information externes, l’organisation établit les conditions générales qui permettent aux personnes autorisées d’accéder au système d’information à partir de systèmes d’information externes. (a.) Accède au système d’information à partir de systèmes d’information externes. (b.) Traite, stocke ou transmet des informations contrôlées par l’organisation à l’aide de systèmes d’information externes. AC-20(1) L’organisation permet aux personnes autorisées d’utiliser un système d’information externe pour accéder au système d’information ou pour traiter, stocker ou transmettre des informations contrôlées par l’organisation uniquement lorsque l’organisation : (a.) Vérifie la mise en œuvre des contrôles de sécurité requis sur le système externe conformément à la stratégie de sécurité de l’information et au plan de sécurité de l’organisation. (b.) Conserve les contrats approuvés de traitement ou de connexion au système d’information avec l’entité organisationnelle qui héberge le système d’information externe.	Établissez des conditions générales permettant aux personnes autorisées d’accéder aux ressources déployées par le client à partir de systèmes d’information externes tels que des appareils non managés et des réseaux externes. Exigez l’acceptation des conditions d’utilisation pour les utilisateurs autorisés accédant aux ressources à partir de systèmes externes. Implémentez des stratégies d’accès conditionnel pour restreindre l’accès à partir de systèmes externes. Les stratégies d’accès conditionnel peuvent également être intégrées aux applications Microsoft Defender pour le Cloud afin de contrôler les applications Cloud et sur site à partir de systèmes externes. La gestion des applications mobiles dans Intune peut protéger les données de l’organisation au niveau de l’application, notamment les applications personnalisées et les applications du Store, des appareils managés qui interagissent avec les systèmes externes. Par exemple lors de l’accès à des services cloud. Vous pouvez utiliser la gestion des applications sur des appareils personnels et des appareils appartenant à l’organisation. Conditions générales Conditions d'utilisation : ID Microsoft Entra Accès conditionnel Exiger que l’appareil soit marqué comme conforme Conditions applicables à la stratégie d’accès conditionnel : état de l’appareil (préversion) Protégez-vous avec le contrôle d’application par accès conditionnel Microsoft Defender for Cloud Apps Condition de localisation dans l'accès conditionnel Microsoft Entra GESTION DES APPAREILS MOBILES Qu’est-ce que Microsoft Intune ? Qu’est-ce que Defender for Cloud Apps ? Qu’est-ce que la gestion des applications dans Microsoft Intune ? Ressource Intégrer des applications locales à Defender for Cloud Apps

ID et description du contrôle FedRAMP

Aide et recommandations relatives à Microsoft Entra

GESTION DES COMPTES AC-2

L’organisation :
(a.) Identifie et sélectionne les types de comptes de système d’information suivants pour appuyer les missions et les fonctions organisationnelles : [Affectation : types de comptes du système d’information définis par l’organisation].

(b.) Affecte des gestionnaires de comptes aux comptes du système d’information.

(c.) Établit les conditions d’appartenance au groupe et au rôle.

(d.) Spécifie les utilisateurs autorisés du système d’information, l’appartenance aux groupes et aux rôles, ainsi que les autorisations d’accès (par ex., les privilèges) et, si nécessaire, d’autres attributs pour chaque compte.

(e.) Exige l’approbation [Affectation : du personnel ou des rôles définis par l’organisation] pour les requêtes de création de compte du système d’information.

(f.) Crée, active, modifie, désactive et supprime les comptes du système d’information conformément aux [Affectation : procédures ou conditions définies par l’organisation].

(g.) Surveille l’utilisation des comptes du système d’information.

(h.) Avertit les gestionnaires de comptes :
(1.) Lorsque les comptes ne sont plus requis
(2.) Lors de la suppression ou du transfert des utilisateurs
(3.) Lorsque l’utilisation d’un système d’information individuel ou les besoins en matière de connaissances évoluent

(i.) Autorise l’accès au système d’information en fonction des éléments suivants :
(1.) Autorisation d'accès valide
(2.) Utilisation prévue du système
(3.) Autres attributs requis par l’organisation ou les missions/fonctions métier associées

(j.) Vérifie la conformité des comptes aux exigences de gestion des comptes [Affectation FedRAMP : mensuellement pour l’accès privilégié, tous les six (6) mois pour l’accès non privilégié]

(k.) Établit un processus de réémission des informations d’identification pour les comptes partagés ou de groupe (si déployés) lorsque des personnes sont retirées du groupe.

Implémenter la gestion du cycle de vie des comptes pour les comptes contrôlés par le client. Surveiller l’utilisation des comptes et notifier les gestionnaires de comptes des événements de cycle de vie des comptes. Examiner les comptes en lien avec la conformité aux exigences de gestion de compte chaque mois pour l’accès privilégié et tous les six mois pour l’accès sans privilège.

Utilisez Microsoft Entra ID pour provisionner des comptes à partir de systèmes RH externes, d'Active Directory sur site ou directement dans le cloud. Toutes les opérations du cycle de vie du compte sont auditées dans les journaux d'audit Microsoft Entra. Vous pouvez collecter et analyser les journaux en utilisant une solution SIEM (Security Information and Event Management) comme Microsoft Sentinel. Vous pouvez également utiliser Azure Event Hubs pour intégrer des journaux dans des solutions SIEM tierces afin d’activer la supervision et la notification. Utilisez la gestion des droits Microsoft Entra avec des examens d’accès pour garantir l’état de conformité des comptes.

Provisionner des comptes

Planifier l'application RH cloud pour le provisionnement des utilisateurs Microsoft Entra

Microsoft Entra Connect Sync : comprendre et personnaliser la synchronisation

Ajouter ou supprimer des utilisateurs à l'aide de Microsoft Entra ID

Superviser les comptes

Auditer les rapports d’activité dans le Centre d’administration Microsoft Entra

Connecter les données Microsoft Entra à Microsoft Sentinel

Tutoriel : Diffuser des journaux en continu sur un Event Hub Azure

Passer en revue les comptes

Qu’est-ce que la gestion des droits d’utilisation Microsoft Entra ?

Créer une révision d’accès pour un package d’accès dans la gestion des droits d’utilisation Microsoft Entra

Révision d’accès pour un package d’accès dans la gestion des droits d’utilisation Microsoft Entra

Ressources

Autorisations du rôle d'administrateur dans Microsoft Entra ID

Groupes dynamiques dans Microsoft Entra ID

AC-2 (1)
L’organisation utilise des mécanismes automatisés pour gérer les comptes du système d’information.

Utilisez des mécanismes automatisés pour prendre en charge la gestion des comptes contrôlés par le client.

Configurez le provisionnement automatisé des comptes contrôlés par le client à partir de systèmes RH externes ou d’Active Directory local. Pour les applications qui prennent en charge le provisionnement d'applications, configurez Microsoft Entra ID pour créer automatiquement des identités et des rôles d'utilisateur dans les applications Cloud Software as a Solution (SaaS) auxquelles les utilisateurs doivent accéder. En plus de créer des identités utilisateur, l’approvisionnement automatique comprend la maintenance et la suppression d’identités utilisateur en cas de modification de l’état ou des rôles. Pour faciliter la surveillance de l'utilisation du compte, vous pouvez diffuser les journaux Microsoft Entra ID Protection, qui affichent les utilisateurs à risque, les connexions à risque et les détections de risques, ainsi que les journaux d'audit directement dans Microsoft Sentinel ou Event Hubs.

Approvisionner

Planifier l'application RH cloud pour le provisionnement des utilisateurs Microsoft Entra

Microsoft Entra Connect Sync : comprendre et personnaliser la synchronisation

Qu’est-ce que le provisionnement automatisé des utilisateurs d’applications SaaS dans Microsoft Entra ID ?

Tutoriels d'intégration d'applications SaaS à utiliser avec Microsoft Entra ID

Contrôle et audit

Examiner les risques

Auditer les rapports d’activité dans le Centre d’administration Microsoft Entra

Présentation de Microsoft Sentinel

Microsoft Sentinel : connecter les données de Microsoft Entra ID

Tutoriel : diffuser les journaux Microsoft Entra vers un Event Hub Azure

AC-2 (2)
Le système d’information [Sélection FedRAMP : désactive] automatiquement les comptes temporaires et d’urgence [Affectation FedRAMP : 24 heures après la dernière utilisation].

AC-02(3)
Le système d’information désactive automatiquement les comptes inactifs au bout de [Affectation FedRAMP : trente-cinq (35) jours pour les comptes d’utilisateurs].

AC-2 (3) Exigences et conseils supplémentaires pour FedRAMP :
Exigence : le fournisseur de services définit les délais pour les comptes non associés à des utilisateurs (par exemple, les comptes associés à des appareils). Le JAB/AO approuve et accepte les délais. Lorsque la gestion des utilisateurs dépend du service, les rapports d’activité des utilisateurs consommateurs doivent être mis à disposition.

Utilisez des mécanismes automatisés pour prendre en charge la suppression ou la désactivation automatique des comptes temporaires et d’urgence dans un délai de 24 heures à partir de la dernière utilisation et de tous les comptes contrôlés par le client après 35 jours d’inactivité.

Implémentez l’automatisation de la gestion des comptes avec Microsoft Graph et Microsoft Graph PowerShell. Microsoft Graph permet de superviser l’activité de connexion et Azure AD PowerShell de prendre des mesures sur les comptes dans le délai imparti.

Déterminer l’inactivité

Gérer les comptes d’utilisateur inactifs dans Microsoft Entra ID

Gérer les appareils obsolètes dans Microsoft Entra ID

Supprimer ou désactiver des comptes

Utilisation des utilisateurs dans Microsoft Graph

Obtenir un utilisateur

Mettre à jour un utilisateur

Suppression d’un utilisateur

Utiliser des appareils dans Microsoft Graph

Obtenir un appareil

Mettre à jour un appareil

Supprimer un appareil

Consultez la documentation PowerShell Microsoft Graph

AC-2 (4)
Le système d’information vérifie automatiquement les actions de création, de modification, d’activation, de désactivation et de suppression des comptes et en informe [Affectation FedRAMP : le propriétaire du système du fournisseur de services et/ou l’organisation].

Implémentez un système d’audit et de notification automatisé pour le cycle de vie de gestion des comptes contrôlés par le client.

Toutes les opérations de cycle de vie des comptes (opérations de création, de modification, d’activation, de désactivation et de suppression des comptes) sont auditées dans les journaux d’audit Azure. Vous pouvez diffuser en continu les journaux directement dans Microsoft Sentinel ou Event Hubs pour faciliter la notification.

Audit

Auditer les rapports d’activité dans le Centre d’administration Microsoft Entra

Microsoft Sentinel : connecter les données de Microsoft Entra ID

Notification

Présentation de Microsoft Sentinel

Tutoriel : diffuser les journaux Microsoft Entra vers un Event Hub Azure

AC-2 (5)
L’organisation exige que les utilisateurs se déconnectent lorsque [Affectation FedRAMP : l’inactivité prévue dépasse quinze (15) minutes].

AC-2 (5) Exigences et conseils supplémentaires relatifs à FedRAMP :
Conseil : Utiliser un délai plus court que AC-12

Implémentez la déconnexion de l’appareil après une période d’inactivité de 15 minutes.

Implémentez le verrouillage des appareils à l'aide d'une stratégie d'accès conditionnel limitant l'accès aux appareils conformes. Configurez les paramètres de stratégie sur l’appareil pour appliquer le verrouillage de l’appareil au niveau du système d’exploitation avec des solutions de gestion des appareils mobiles comme Intune. Endpoint Manager ou des objets de stratégie de groupe peuvent également être envisagés dans les déploiements hybrides. Pour les appareils non managés, configurez le paramètre de fréquence de connexion pour forcer les utilisateurs à s’authentifier à nouveau.

Accès conditionnel

Exiger que l’appareil soit marqué comme conforme

Fréquence de connexion de l’utilisateur

Stratégie GPM

Configurez les appareils pour un nombre maximal de minutes d’inactivité avant le verrouillage de l’écran et exigez un mot de passe pour le déverrouillage (Android, iOS, Windows 10).

AC-2(7)

L’organisation :
(a.) Établit et administre des comptes utilisateurs privilégiés conformément à un système d’accès basé sur des rôles qui organise l’accès et les privilèges autorisés du système d’information en fonction des rôles.
(b) Surveille les attributions de rôles privilégiés.
(c) Décide de [Affectation FedRAMP : désactiver/révoquer l’accès dans un délai spécifié par l’organisation] lorsque les attributions de rôles privilégiés ne sont plus appropriées.

Gérer et surveiller les attributions de rôles privilégiées en suivant un schéma d’accès en fonction du rôle pour les comptes contrôlés par le client. Désactiver ou révoquer l’accès avec privilège pour des comptes quand il n’est plus approprié.

Implémentez la gestion des identités privilégiées de Microsoft Entra avec des examens d'accès pour les rôles privilégiés dans Microsoft Entra ID afin de surveiller les attributions de rôles et de supprimer les attributions de rôles lorsqu'elles ne sont plus appropriées. Vous pouvez diffuser en continu les journaux d’audit directement dans Microsoft Sentinel ou Event Hubs pour faciliter la notification.

Administrer

Qu’est-ce que Microsoft Entra Privileged Identity Management ?

Durée maximum d’activation

Superviser

Créer une révision d'accès des rôles Microsoft Entra dans Privileged Identity Management

Afficher l'historique d'audit pour les rôles Microsoft Entra dans Privileged Identity Management

Auditer les rapports d’activité dans le Centre d’administration Microsoft Entra

Présentation de Microsoft Sentinel

Connecter les données de Microsoft Entra ID

Tutoriel : diffuser les journaux Microsoft Entra vers un Event Hub Azure

AC-2 (11)
Le système d’information applique les [Affectation : circonstances et/ou conditions d’utilisation définies par l’organisation] aux [Affectation : comptes du système d’information définis par l’organisation].

Appliquez l’utilisation des comptes contrôlés par le client pour répondre aux conditions ou aux circonstances définies par le client.

Créez des stratégies d’accès conditionnel pour appliquer des décisions de contrôle d’accès sur les utilisateurs et les appareils.

Accès conditionnel

Créer une stratégie d’accès conditionnel

Qu’est-ce que l’accès conditionnel ?

AC-2 (12)

L’organisation :
(a) Surveille les comptes du système d’information concernant l’[Affectation : utilisation atypique définie par l’organisation].
(b) Signale l’utilisation atypique des comptes de système d’information [Affectation FedRAMP : au minimum à l’ISSO et/ou à un rôle similaire au sein de l’organisation].

AC-2 (12) (a) et AC-2 (12) (b) Exigences et conseils supplémentaires relatifs à FedRAMP :
Requis pour les comptes privilégiés.

Surveillez et signalez les comptes contrôlés par le client avec un accès privilégié qui présentent une utilisation atypique.

Pour faciliter la supervision en cas d’utilisation atypique, vous pouvez diffuser en continu les journaux Microsoft Entra ID Protection (qui montrent les utilisateurs à risque, les connexions à risque et les détections de risques) et les journaux d’audit, avec l’aide de la corrélation avec l’attribution des privilèges, directement dans une solution SIEM comme Microsoft Sentinel. Vous pouvez également utiliser Event Hubs pour intégrer les journaux à des solutions SIEM tierces.

ID Protection

Qu’est-ce que Microsoft Entra ID Protection ?

Examiner les risques

Notifications de protection de l'identifiant Microsoft Entra

Superviser les comptes

Présentation de Microsoft Sentinel

Auditer les rapports d’activité dans le Centre d’administration Microsoft Entra

Connecter les données Microsoft Entra à Microsoft Sentinel

Tutoriel : Diffuser des journaux en continu sur un Event Hub Azure

AC-2 (13)
L’organisation désactive les comptes des utilisateurs présentant un risque élevé dans un délai d’[Affectation FedRAMP : une (1) heure] suivant la détection du risque.

Désactivez les comptes d’utilisateurs contrôlés par le client présentant un risque significatif dans un délai d’une heure.

Dans Microsoft Entra ID Protection, configurez et activez une stratégie de risque utilisateur avec le seuil défini sur Élevé. Créez des stratégies d’accès conditionnel pour bloquer l’accès aux utilisateurs à risque et aux connexions à risque. Configurez les stratégies de risque pour permettre aux utilisateurs de corriger eux-mêmes et de débloquer les tentatives de connexion ultérieures.

ID Protection

Qu’est-ce que Microsoft Entra ID Protection ?

Accès conditionnel

Qu’est-ce que l’accès conditionnel ?

Créer une stratégie d’accès conditionnel

Accès conditionnel : Accès conditionnel basé sur les risques d’utilisateur

Accès conditionnel : Accès conditionnel basé sur les risques de connexion

Correction automatique avec une stratégie de gestion des risques

AC-6 (7)

L’organisation :
(a.) Passe en revue [Affectation FedRAMP : au moins une fois par an] les privilèges attribués à [Affectation FedRAMP : l’ensemble des utilisateurs disposant de privilèges], et ce afin de vérifier qu’ils en ont besoin.
(b.) Réattribue ou supprime des privilèges, le cas échéant, pour refléter correctement la mission ou les besoins organisationnels.

Examiner et valider tous les utilisateurs disposant d’un accès privilégié chaque année. Vérifier que les privilèges sont réattribués (ou supprimés si nécessaire) pour s’aligner sur les besoins liés à l’activité et à la mission de l’organisation.

Utilisez la gestion des droits Microsoft Entra avec des examens d'accès pour les utilisateurs privilégiés afin de vérifier si un accès privilégié est requis.

Révisions d’accès

Qu’est-ce que la gestion des droits d’utilisation Microsoft Entra ?

Créer une révision d'accès des rôles Microsoft Entra dans Privileged Identity Management

Révision d’accès pour un package d’accès dans la gestion des droits d’utilisation Microsoft Entra

AC-7 Tentatives de connexion infructueuses

L’organisation :
(a.) Applique une limite de [Affectation FedRAMP : trois (3)] tentatives d’ouverture de session non valides consécutives par un utilisateur toutes les [Affectation FedRAMP : quinze (15) minutes].
(b.) [Sélection : Verrouille automatiquement le compte/nœud pour une [Affectation FedRAMP : durée minimale de trois (3) heures ou jusqu’à son déverrouillage par un administrateur]; retarde l’invite de connexion suivante en fonction de l’[Affectation : algorithme de délai défini par l’organisation]] lorsque le nombre maximal de tentatives infructueuses est dépassé.

Appliquer une limite de trois tentatives de connexion consécutives ayant échoué sur les ressources déployées par le client au cours d’une période de 15 minutes. Verrouiller le compte pendant au minimum trois heures ou jusqu’à ce qu’il soit déverrouillé par un administrateur.

Activez les paramètres de verrouillage intelligent personnalisés. Configurez le seuil de verrouillage et la durée de verrouillage en secondes pour implémenter ces exigences.

Verrouillage intelligent

Protégez les comptes d'utilisateurs contre les attaques avec le verrouillage intelligent Microsoft Entra

Gérer les valeurs de verrouillage intelligent de Microsoft Entra

AC-8 Notification d’utilisation du système

Le système d’information :
(a.) Affiche une [Affectation : notification ou bannière concernant d’utilisation du système définie par l’organisation (Affectation FedRAMP : voir la section sur les exigences et conseils supplémentaires)] à l’attention des utilisateurs avant de leur accorder l’accès au système d’envoi d’avis de confidentialité et de sécurité, conformément aux lois fédérales applicables, aux décrets exécutifs, aux directives, aux stratégies, aux règlements, aux normes et aux conseils, et fournit les indications suivantes :
(1.) Les utilisateurs accèdent à un système d’information des États-Unis.
(2.) L’utilisation du système d’information peut être surveillée, enregistrée et soumise à un audit.
(3.) L’utilisation non autorisée du système d’information est interdite et passible de sanctions pénales et administratives.
(4.) L’utilisation du système d’information est soumise au consentement à la surveillance et à l’enregistrement.

(b.) Continue d’afficher la notification ou la bannière à l’écran jusqu’à ce que les utilisateurs acceptent les conditions d’utilisation et prennent des mesures explicites pour se connecter ou accéder au système d’information.

(c.) Pour les systèmes accessibles publiquement :
(1.) Affiche des informations sur l’utilisation du système [Affectation : selon les conditions définies par l’organisation (Affectation FedRAMP : voir exigences et conseils supplémentaires)], avant d’accorder d’autres accès.
(2.) Fait référence, le cas échéant, à des activités de surveillance, d’enregistrement ou d’audit cohérentes par rapport aux exigences de confidentialité des systèmes, qui interdisent généralement ces activités.
(3.) Inclut une description des utilisations autorisées du système.

AC-8 Exigences et conseils supplémentaires relatifs à FedRAMP :
Exigence : Le fournisseur de services doit déterminer quels éléments de l’environnement cloud nécessitent le contrôle de la notification d’utilisation du système. Le JAB/AO approuve et accepte les éléments de l’environnement cloud pour lesquels une notification d’utilisation du système est requise.
Exigence : Le fournisseur de services doit définir une méthode de validation de la notification d’utilisation du système et renseigner un délai de validation approprié. Le JAB/AO approuve et accepte la validation et la périodicité de la notification d’utilisation du système.
Conseils : Si cette procédure est effectuée dans le cadre d’une vérification de la base de référence de configuration, le taux d’éléments nécessitant un paramètre qui sont vérifiés et jugés valides (ou non valides) peuvent être fournis.
Exigence : Si cette procédure n’est pas effectuée dans le cadre d’une vérification de la base de configuration, un accord documenté doit être établi concernant la production des résultats de la validation et la périodicité exigée de la validation par le fournisseur de services. Le JAB/AO approuve et accepte l’accord documenté sur la méthode de production de la validation des résultats.

Affichez et exigez un accusé de réception pour les remarques sur la confidentialité et la sécurité de l’utilisateur avant d’octroyer l’accès aux systèmes d’information.

Avec Microsoft Entra ID, vous pouvez envoyer des notifications ou des bannières pour toutes les applications qui nécessitent et enregistrent un accusé de réception avant d'accorder l'accès. Vous pouvez cibler de manière granulaire ces conditions d’utilisation pour des utilisateurs spécifiques (membre ou invité). Il vous est également possible de les personnaliser par application via des stratégies d’accès conditionnel.

Conditions d’utilisation

Conditions d'utilisation de Microsoft Entra

Afficher le rapport des utilisateurs ayant accepté et refusé les conditions d’utilisation

AC-10 Contrôle des sessions simultanées
Le système d’information limite le nombre de sessions simultanées pour chaque [Affectation : compte défini par l’organisation et/ou type de compte] à [Affectation FedRAMP : trois (3) sessions pour l’accès privilégié et deux (2) sessions pour l’accès non privilégié].

Limitez les sessions simultanées à trois sessions pour un accès privilégié et à deux sessions pour un accès non privilégié.

Aujourd'hui, les utilisateurs se connectent à partir de plusieurs appareils, parfois simultanément. Limiter les sessions simultanées provoque une dégradation de l’expérience utilisateur et a peu de valeur en termes de sécurité. Une meilleure approche pour traiter l’intention derrière ce contrôle consiste à adopter une position de sécurité Confiance Zéro. Les conditions sont validées explicitement avant qu’une session ne soit créée et validées en continu pendant toute la durée d’une session.

En outre, utilisez les contrôles de compensation suivants.

Utilisez les stratégies d’accès conditionnel pour restreindre l’accès aux appareils conformes. Configurez les paramètres de stratégie sur l’appareil pour appliquer les restrictions d’inscription d’utilisateur au niveau du système d’exploitation avec des solutions de gestion des appareils mobiles comme Intune. Endpoint Manager ou des objets de stratégie de groupe peuvent également être envisagés dans les déploiements hybrides.

Utilisez Privileged Identity Management pour restreindre et contrôler davantage les comptes privilégiés.

Configurez le verrouillage de compte intelligent pour les tentatives de connexion non valides.

Conseils d’implémentation

Confiance Zéro

Sécurisation des identités avec la Confiance Zéro

Évaluation continue de l’accès dans Microsoft Entra ID

Accès conditionnel

Qu’est-ce que l’accès conditionnel dans Microsoft Entra ID ?

Exiger que l’appareil soit marqué comme conforme

Fréquence de connexion de l’utilisateur

Stratégies d’appareils

Autres paramètres de stratégie de groupe de carte à puce et clés de registre

Présentation de Microsoft Endpoint Manager

Ressources

Qu’est-ce que Microsoft Entra Privileged Identity Management ?

Protégez les comptes d'utilisateurs contre les attaques avec le verrouillage intelligent Microsoft Entra

Consultez la section AC-12 pour plus de conseils sur la réévaluation des sessions et l’atténuation des risques.

AC-11 Verrouillage de session
Le système d’information :
(a.) Empêche l’accès au système en lançant le verrouillage de session après [Affectation FedRAMP : quinze (15) minutes] d’inactivité ou à réception d’une demande d’un utilisateur.
(b.) Maintient le verrouillage de session jusqu’à ce que l’utilisateur rétablisse l’accès en suivant les procédures d’identification et d’authentification établies.

AC-11(1)
Le système d’information dissimule, via le verrouillage de session, les informations précédemment affichées à l’écran avec une image visible publiquement.

Implémentez un verrou de session après une période d’inactivité de 15 minutes ou lors de la réception d’une demande d’un utilisateur. Conserver le verrou de session jusqu’à ce que l’utilisateur se réauthentifie. Masquer les informations précédemment visibles lors du lancement d’un verrou de session.

Implémentez le verrouillage de l’appareil à l’aide d’une stratégie d’accès conditionnel limitant l’accès aux appareils conformes. Configurez les paramètres de stratégie sur l’appareil pour appliquer le verrouillage de l’appareil au niveau du système d’exploitation avec des solutions de gestion des appareils mobiles comme Intune. Endpoint Manager ou des objets de stratégie de groupe peuvent également être envisagés dans les déploiements hybrides. Pour les appareils non managés, configurez le paramètre de fréquence de connexion pour forcer les utilisateurs à s’authentifier à nouveau.

Accès conditionnel

Exiger que l’appareil soit marqué comme conforme

Fréquence de connexion de l’utilisateur

Stratégie GPM

Configurez les appareils pour un nombre maximal de minutes d’inactivité avant le verrouillage de l’écran (Android, iOS, Windows 10).

AC-12 Arrêt de session
Le système d’information arrête automatiquement une session utilisateur après [Affectation : conditions ou événements déclenchant la déconnexion de la session définis par l’organisation].

Arrêtez automatiquement les sessions utilisateur quand des conditions définies par l’organisation ou des événements déclencheurs se produisent.

Implémentez la réévaluation automatique des sessions utilisateur avec les fonctionnalités de Microsoft Entra telles que l'accès conditionnel basé sur les risques et l'évaluation continue des accès. Vous pouvez implémenter les conditions d’inactivité au niveau de l’appareil, comme décrit à la section AC-11.

Ressources

Connexion à l’accès conditionnel basé sur les risques

Accès conditionnel basé sur les risques d’utilisateur

Évaluation continue de l’accès

AC-12(1)
Le système d’information :
(a.) Fournit une fonctionnalité de déconnexion des sessions de communications initiées par l’utilisateur lorsque l’authentification est utilisée pour accéder aux [Affectation : ressources d’informations définies par l’organisation].
(b.) Affiche un message de déconnexion explicite aux utilisateurs indiquant l’arrêt fiable des sessions de communications authentifiées.

AC-8 Exigences et conseils supplémentaires relatifs à FedRAMP :
Orientation : Test de la fonctionnalité de déconnexion (OTG-SESS-006) Test de la fonctionnalité de déconnexion

Fournissez une capacité de déconnexion pour toutes les sessions et affichez un message de déconnexion explicite.

Toutes les interfaces Web Microsoft Entra ID offrent une fonctionnalité de déconnexion pour les sessions de communication initiées par l'utilisateur. Lorsque les applications SAML sont intégrées à Microsoft Entra ID, implémentez la déconnexion unique.

Capacité de déconnexion

Lorsque l'utilisateur sélectionne Se déconnecter partout, tous les jetons émis en cours sont révoqués.

Afficher un message
Microsoft Entra ID affiche automatiquement un message après la déconnexion initiée par l'utilisateur.

Capture d’écran montrant un message de contrôle d’accès.

Ressources

Afficher et rechercher votre activité de connexion récente à partir de la page Mes connexions

Protocole SAML de déconnexion unique

AC-20 Utilisation des systèmes d’information externes
Conformément à toute relation d’approbation établie avec d’autres organisations qui possèdent, exploitent ou assurent la maintenance de systèmes d’information externes, l’organisation établit les conditions générales qui permettent aux personnes autorisées d’accéder au système d’information à partir de systèmes d’information externes.
(a.) Accède au système d’information à partir de systèmes d’information externes.
(b.) Traite, stocke ou transmet des informations contrôlées par l’organisation à l’aide de systèmes d’information externes.

AC-20(1)
L’organisation permet aux personnes autorisées d’utiliser un système d’information externe pour accéder au système d’information ou pour traiter, stocker ou transmettre des informations contrôlées par l’organisation uniquement lorsque l’organisation :
(a.) Vérifie la mise en œuvre des contrôles de sécurité requis sur le système externe conformément à la stratégie de sécurité de l’information et au plan de sécurité de l’organisation.
(b.) Conserve les contrats approuvés de traitement ou de connexion au système d’information avec l’entité organisationnelle qui héberge le système d’information externe.

Établissez des conditions générales permettant aux personnes autorisées d’accéder aux ressources déployées par le client à partir de systèmes d’information externes tels que des appareils non managés et des réseaux externes.

Exigez l’acceptation des conditions d’utilisation pour les utilisateurs autorisés accédant aux ressources à partir de systèmes externes. Implémentez des stratégies d’accès conditionnel pour restreindre l’accès à partir de systèmes externes. Les stratégies d’accès conditionnel peuvent également être intégrées aux applications Microsoft Defender pour le Cloud afin de contrôler les applications Cloud et sur site à partir de systèmes externes. La gestion des applications mobiles dans Intune peut protéger les données de l’organisation au niveau de l’application, notamment les applications personnalisées et les applications du Store, des appareils managés qui interagissent avec les systèmes externes. Par exemple lors de l’accès à des services cloud. Vous pouvez utiliser la gestion des applications sur des appareils personnels et des appareils appartenant à l’organisation.

Conditions générales

Conditions d'utilisation : ID Microsoft Entra

Accès conditionnel

Exiger que l’appareil soit marqué comme conforme

Conditions applicables à la stratégie d’accès conditionnel : état de l’appareil (préversion)

Protégez-vous avec le contrôle d’application par accès conditionnel Microsoft Defender for Cloud Apps

Condition de localisation dans l'accès conditionnel Microsoft Entra

GESTION DES APPAREILS MOBILES

Qu’est-ce que Microsoft Intune ?

Qu’est-ce que Defender for Cloud Apps ?

Qu’est-ce que la gestion des applications dans Microsoft Intune ?

Ressource