Partager via


Conseils sur la protection des contrôles d’accès

Microsoft Entra ID répond aux exigences de pratiques liées à l’identité pour l’implémentation des protections HIPAA (Health Insurance Portability and Accountability Act) de 1996. Pour être conforme HIPAA, implémentez les protections à l’aide de ces conseils. Vous devrez peut-être modifier d’autres configurations ou processus.

Pour comprendre la protection de l’identification de l’utilisateur, nous vous recommandons de rechercher et de définir des objectifs qui vous permettent :

  • De vérifier que les ID sont propres à tous ceux qui doivent se connecter au domaine.

  • D’établir un processus Joiner, Mover et Leaver (JML).

  • D’activer l’audit pour le suivi des identités.

Pour la protection des contrôles d’accès autorisé, définissez des objectifs de sorte que :

  • L’accès au système est limité aux utilisateurs autorisés.

  • Les utilisateurs autorisés sont identifiés.

  • L’accès aux données personnelles est limité aux utilisateurs autorisés.

Pour la protection de la procédure d’accès d’urgence :

  • Garantir la haute disponibilité des services de base.

  • Éliminer les points de défaillance uniques.

  • Définir un plan de reprise d’activité après sinistre.

  • Garantir les sauvegardes des données à haut risque.

  • Établir et gérer des comptes d’accès d’urgence.

Pour la protection de déconnexion automatique :

  • Établir une procédure qui met fin à une session électronique après un temps d’inactivité prédéterminé.

  • Configurer et implémenter une stratégie de déconnexion automatique.

Identification de l’utilisateur unique

Le tableau suivant présente des protections de contrôle d’accès à partir des conseils HIPAA pour l’identification d’utilisateur unique. Recherchez les recommandations Microsoft pour répondre aux exigences d’implémentation de la protection.

Protection HIPAA – Identification unique de l’utilisateur

Assign a unique name and/or number for identifying and tracking user identity.

Recommandation Action
Configurer un système hybride pour utiliser Microsoft Entra ID Microsoft Entra Connect intègre des répertoires sur site avec Microsoft Entra ID, prenant en charge l’utilisation d’identités uniques pour accéder aux applications sur site et aux services cloud tels que Microsoft 365. Il orchestre la synchronisation entre Active Directory (AD) et Microsoft Entra ID. Pour démarrer avec Microsoft Entra Connect, passez en revue les conditions préalables, en prenant note des exigences du serveur et comment préparer votre locataire Microsoft Entra pour la gestion. La
synchronisation Microsoft Entra Connect est un agent d’approvisionnement géré sur le cloud. L’agent d’approvisionnement prend en charge la synchronisation avec Microsoft Entra ID à partir d’un environnement AD déconnecté à plusieurs forêts. Des agents légers sont installés et peuvent être utilisés avec Microsoft Entra Connect.
Nous vous recommandons d’utiliser Password Hash Sync pour réduire le nombre de mots de passe et vous protéger contre la détection de fuites d’informations d’identification.
Approvisionner des comptes d’utilisateur Microsoft Entra ID est un service cloud de gestion des identités et des accès qui fournit une authentification unique, une authentification multifacteur et un accès conditionnel pour se prémunir contre les attaques de sécurité. Pour créer un compte utilisateur, connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur utilisateur et créez un nouveau compte en accédant à Tous les utilisateurs dans le menu.
Microsoft Entra ID prend en charge l’approvisionnement automatisé des utilisateurs pour les systèmes et les applications. Les fonctionnalités incluent la création, la mise à jour et la suppression d’un compte d’utilisateur. L’approvisionnement automatisé crée de nouveaux comptes dans les systèmes appropriés pour les nouvelles personnes lorsqu’elles rejoignent une équipe dans un organisation, et le déprovisionnement automatisé désactive les comptes lorsque des personnes quittent l’équipe. Configurez l’approvisionnement en accédant au centre d’administration Microsoft Entra et en sélectionnant les applications d’entreprise pour ajouter et gérer les paramètres de l’application.
Approvisionnement axé sur les RH L’intégration de l’approvisionnement de comptes Microsoft Entra dans un système de ressources humaines (RH) réduit le risque d’accès excessif et d’accès devenu inutile. Le système RH devient le début de l’autorité pour les comptes nouvellement créés, en étendant les fonctionnalités au déprovisionnement des comptes. L’automation gère le cycle de vie des identités et réduit le risque de surprovisionnement. Cette approche suit la meilleure pratique en matière de sécurité qui consiste à fournir un droit d’accès minimal.
Créer des workflows de cycle de vie Les workflows de cycle de vie fournissent une gouvernance des identités pour automatiser le cycle de vie du joiner/mover/leaver (JML). Les workflows de cycle de vie centralisent le processus de workflow en utilisant les modèles intégrés ou en créant vos propres workflows personnalisés. Cette pratique permet de réduire ou potentiellement de supprimer des tâches manuelles pour les exigences de stratégie JML de l’organisation. Dans le portail Azure, accédez à Identity Governance dans le menu Microsoft Entra pour examiner ou configurer les tâches qui correspondent aux exigences de votre organisation.
Gérer les identités privilégiées Microsoft Entra Privileged Identity Management (PIM) permet la gestion, le contrôle et la surveillance des accès. Vous fournissez l’accès quand cela est nécessaire, sur une activation de rôle basée sur le temps et sur l’approbation. Cette approche limite le risque d’autorisations d’accès excessives, inutiles ou incorrectes.
Surveillance et alerte Microsoft Entra ID Protection offre une vue consolidée des événements à risque et des vulnérabilités potentielles qui affectent les identités de votre organisation. L’activation de la protection applique les capacités de détection des anomalies Microsoft Entra existantes et introduit des types d’événements à risque qui détectent les anomalies en temps réel. Grâce au centre d’administration Microsoft Entra, vous pouvez vous connecter, auditer et consulter les journaux de d’approvisionnement.
Les journaux peuvent être téléchargés, archivés et diffusés en continu vers votre outil de gestion des informations et des événements de sécurité (SIEM). Les journaux Microsoft Entra peuvent être localisés dans la section de surveillance du menu Microsoft Entra. Les journaux peuvent également être envoyés à Azure Monitor à l’aide d’un espace de travail d’analyse des journaux Azure dans lequel vous pouvez configurer des alertes sur les données connectées.
Microsoft Entra ID identifie de manière unique les utilisateurs via la propriété d’ID sur l’objet de répertoire respectif. Cette approche vous permet de filtrer des identités spécifiques dans les fichiers journaux.

Contrôle d’accès autorisé

Le tableau suivant contient des conseils HIPAA pour la protection de contrôle d’accès pour le contrôle d’accès autorisé. Recherchez les recommandations Microsoft pour répondre aux exigences d’implémentation de la protection.

Protection HIPAA – Contrôle d’accès autorisé

Person or entity authentication, implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.

Recommandation Action
Activer l’authentification multifacteur (MFA) L’authentification multifacteur dans Microsoft Entra ID protège les identités en ajoutant une autre couche de sécurité. L’authentification de couche supplémentaire permet d’empêcher tout accès non autorisé. L’utilisation d’une approche MFA vous permet d’exiger davantage de validation des informations d’identification de connexion pendant le processus d’authentification. Par exemple, la configuration de l’application Authenticator pour la vérification en un clic ou l’activation de l’authentification sans mot de passe.
Activer des stratégies d’accès conditionnel Les stratégies d’accès conditionnel permettent aux organisations de restreindre l’accès aux applications approuvées. Microsoft Entra analyse les signaux provenant de l’utilisateur, de l’appareil ou de l’emplacement pour automatiser les décisions et appliquer des stratégies organisationnelles pour l’accès aux ressources et aux données.
Activer le contrôle d’accès en fonction du rôle (RBAC) RBAC assure la sécurité au niveau de l’entreprise, avec la séparation des tâches. RBAC permet d’ajuster et d’examiner les autorisations pour protéger la confidentialité et la gestion des accès aux ressources et aux données sensibles, avec les systèmes.
Microsoft Entra ID prend en charge les rôles intégrés, qui sont un ensemble fixe d’autorisations qui ne peuvent pas être modifiées. Vous pouvez également créer vos propres rôles personnalisés dans lesquels vous pouvez ajouter une liste prédéfinie.
Activer le contrôle d’accès en fonction des attributs (ABAC) ABAC définit l’accès en fonction des attributs associés aux principaux de sécurité, aux ressources et à l’environnement. Il fournit un contrôle d’accès affiné et réduit le nombre d’attributions de rôles. L’utilisation d’ABAC peut être limitée au contenu dans le stockage Azure dédié.
Configurer l’accès aux groupes d’utilisateurs dans SharePoint Les groupes SharePoint sont une collection d’utilisateurs. Les autorisations sont limitées au niveau de la collection de sites pour l’accès au contenu. L’application de cette contrainte peut être étendue aux comptes de service qui nécessitent un accès au flux de données entre les applications.

Procédure d’accès d’urgence

Le tableau suivant contient des protections de contrôle d’accès HIPAA pour les procédures d’accès d’urgence. Recherchez les recommandations Microsoft pour répondre aux exigences d’implémentation de la protection.

Protection HIPAA – Procédure d’accès d’urgence

Establish (and implement as needed) procedures and policies for obtaining necessary electronic protected health information during an emergency or occurrence.

Recommandation Action
Utiliser les services Azure Recovery Les sauvegardes Azure fournissent la prise en charge requise pour sauvegarder des données vitales et sensibles. La couverture inclut le stockage/les bases de données et l’infrastructure cloud, ainsi que les appareils Windows sur site vers le cloud. Établissez des stratégies de sauvegarde pour gérer les risques liés au processus de sauvegarde et de récupération. Vérifiez que les données sont stockées en toute sécurité et qu’elles peuvent être récupérées avec un temps d’arrêt minimal.
Azure Site Recovery fournit une réplication des données quasi constante pour garantir la synchronisation des copies. Les étapes initiales avant la configuration du service sont de déterminer l’objectif de point de récupération (RPO) et l’objectif de délai de récupération (RTO) pour prendre en charge les exigences de votre organisation.
Garantir la résilience La résilience permet de maintenir les niveaux de service en cas d’interruption des opérations métier et des services informatiques de base. La fonctionnalité couvre les services, les données, Microsoft Entra ID et les considérations Active Directory. Déterminer un plan de résilience stratégique pour inclure les systèmes et les données qui dépendent de Microsoft Entra et des environnements hybrides. Résilience de Microsoft 365 couvrant les services de base, notamment Exchange, SharePoint et OneDrive pour se protéger contre l’altération des données et appliquer des points de données de résilience pour protéger le contenu ePHI.
Créer des comptes de secours L’établissement d’un compte d’urgence ou de secours garantit que le système et les services sont toujours accessibles dans des circonstances imprévues, telles que des défaillances réseau ou d’autres raisons de perte d’accès administratif. Nous vous recommandons de ne pas associer ce compte à un utilisateur ou à un compte individuel.

Sécurité des stations de travail – Déconnexion automatique

Le tableau suivant contient des conseils HIPAA sur la protection de la déconnexion automatique. Recherchez les recommandations Microsoft pour répondre aux exigences d’implémentation de la protection.

Protection HIPAA – Déconnexion automatique

Implement electronic procedures that terminate an electronic session after a predetermined time of inactivity.| Create a policy and procedure to determine the length of time that a user is allowed to stay logged on, after a predetermined period of inactivity.

Recommandation Action
Créer une stratégie de groupe La prise en charge des appareils non migrés vers Microsoft Entra ID et gérés par Intune, la stratégie de groupe (GPO) peut appliquer la déconnexion ou verrouiller le temps d’écran pour les appareils sur AD ou dans des environnements hybrides.
Évaluer les exigences de gestion des appareils Microsoft Intune fournit une solution GPM (gestion des périphériques mobiles) et une solution GAM (gestion des applications mobiles). Il permet de contrôler les appareils de l’entreprise et personnels. Vous pouvez gérer l’utilisation des appareils et appliquer des stratégies pour contrôler les applications mobiles.
Stratégie d’accès conditionnel aux appareils Implémentez le verrouillage des appareils en utilisant une stratégie d’accès conditionnel pour restreindre l’accès aux appareils conformes ou hybrides joints Microsoft Entra. Configurer les paramètres de stratégie.
Pour les appareils non gérés, configurez le paramètre de fréquence de connexion pour forcer les utilisateurs à s’authentifier à nouveau.
Configurer le délai d’expiration de session pour Microsoft 365 Passez en revue les délais d’expiration de session pour les applications et services Microsoft 365, afin de modifier les délais d’expiration prolongés.
Configurer le délai d’expiration de session pour le portail Azure Passez en revue les délais d’expiration de session pour le portail Azure, en implémentant un délai d’expiration en raison de l’inactivité, ce qui permet de protéger les ressources contre tout accès non autorisé.
Passer en revue les sessions d’accès aux applications Les stratégies d’évaluation continue de l’accès peuvent refuser ou accorder l’accès aux applications. Si la connexion réussit, l’utilisateur reçoit un jeton d’accès valide pendant une (1) heure. Une fois le jeton d’accès expiré, le client est redirigé vers Microsoft Entra ID, les conditions sont réévaluées et le jeton est actualisé pendant une autre heure.

En savoir plus

Étapes suivantes