Entra ID, anciennement Azure Active Directory, est devenu le plan de contrôle identitaire de millions d'organisations dans le monde. Chaque jour, des milliards d'authentifications transitent par cette plateforme, ce qui en fait une cible de choix pour les attaquants. Pourtant, la majorité des tenants Entra ID fonctionnent avec des configurations par défaut qui laissent des portes ouvertes béantes. Consentement applicatif non restreint, absence de politiques d'accès conditionnel sur les comptes admins, PIM non activé — la liste des failles courantes est longue. Ce guide détaille les configurations avancées à implémenter pour transformer votre tenant Entra ID en forteresse. De la protection des comptes Global Admin à la détection des attaques par Identity Protection, chaque recommandation est accompagnée de la procédure technique et du niveau de priorité. Nous nous appuyons sur les benchmarks CIS Microsoft 365 et les retours d'expérience de dizaines d'audits réalisés sur des tenants de toutes tailles. Vous repartirez avec une checklist actionnable et priorisée pour votre environnement.

  • Identification des vecteurs d'attaque et de la surface d'exposition
  • Stratégies de détection et de réponse aux incidents
  • Recommandations de durcissement et bonnes pratiques opérationnelles
  • Impact sur la conformité réglementaire (NIS2, DORA, RGPD)

Points clés à retenir

  • Réduisez le nombre de Global Admins à 2 comptes break-glass maximum
  • Activez PIM (Privileged Identity Management) pour tous les rôles d'administration
  • Bloquez le consentement applicatif utilisateur et centralisez les approbations
  • Déployez au minimum 5 politiques d'accès conditionnel fondamentales
  • Configurez Identity Protection avec des actions automatiques sur les risques élevés
Sécurisation Entra ID — Couches de défense Couche 1 : Accès Conditionnel + MFA Couche 2 : PIM + Gouvernance des rôles Couche 3 : Identity Protection + Détection Couche 4 : Audit logs + SIEM + Alerting Défense en profondeur — Chaque couche compense les failles potentielles des autres

Durcissement des comptes Global Admin

Le rôle Global Administrator dans Entra ID donne un contrôle total sur le tenant. C'est l'équivalent du compte Domain Admin dans Active Directory, mais avec une surface d'attaque encore plus large puisqu'il couvre aussi Exchange Online, SharePoint, Teams et toutes les applications intégrées. La première action est de réduire le nombre de Global Admins au strict minimum. Deux comptes break-glass (comptes d'urgence) suffisent. Ces comptes doivent être exclus des politiques d'accès conditionnel classiques mais protégés par des alertes de connexion spécifiques.

Les comptes break-glass suivent des règles strictes : mots de passe de 30 caractères stockés dans deux coffres-forts physiques distincts, pas de MFA (pour garantir l'accès en cas de panne de l'IdP), monitoring de chaque connexion via une règle d'alerte dans les journaux d'audit Microsoft 365. Pour l'administration quotidienne, tous les autres rôles passent par PIM avec activation Just-In-Time.

Cinq politiques d'accès conditionnel indispensables

L'accès conditionnel est le moteur de sécurité d'Entra ID. Voici les cinq politiques à déployer en priorité. Première politique : MFA obligatoire pour tous les utilisateurs, toutes les applications, sans exception. Deuxième politique : blocage des connexions depuis les pays où votre organisation n'a pas de présence (named locations). Troisième politique : exigence de terminal conforme (Intune compliant device) pour accéder aux données sensibles SharePoint et Exchange.

Quatrième politique : blocage des protocoles d'authentification legacy (IMAP, POP3, SMTP Auth, ActiveSync avec basic auth) — ces protocoles ne supportent pas le MFA et sont le vecteur n°1 des attaques par password spraying. Cinquième politique : session restreinte pour les connexions à risque moyen (fréquence de reauthentification à 1 heure, pas de persistent browser session). Ces cinq politiques couvrent 90% des vecteurs d'attaque courants sur Entra ID.

PIM : l'administration Just-In-Time

Privileged Identity Management (PIM) transforme les attributions de rôles permanentes en activations temporaires avec approbation. Un administrateur Exchange n'a plus le rôle en permanence : il l'active pour 4 heures quand il en a besoin, avec justification obligatoire et, pour les rôles critiques, approbation par un pair. PIM réduit drastiquement la fenêtre d'exposition en cas de compromission de compte.

La configuration recommandée : activation maximale de 8 heures pour les rôles standards, 4 heures pour Global Admin et Security Admin. Approbation requise pour les 5 rôles les plus sensibles. Notification par email à chaque activation. Revue d'accès trimestrielle automatisée via les Access Reviews d'Entra ID Governance. Les risques liés à Entra Connect renforcent encore la nécessité de contrôler finement les rôles hybrides.

Contrôle du consentement applicatif

Par défaut, les utilisateurs Entra ID peuvent consentir à des applications tierces qui demandent des permissions sur leurs données. C'est un vecteur d'attaque redoutable : un attaquant crée une application malveillante avec un nom légitime, obtient le consentement d'un utilisateur et accède à ses emails, ses fichiers OneDrive, voire son calendrier. L'attaque par illicit consent grant est simple, efficace et souvent indétectable.

La configuration recommandée : désactivez le consentement utilisateur (User consent settings > Do not allow user consent). Mettez en place un workflow d'approbation admin (Admin consent workflow) pour que les demandes légitimes soient évaluées par l'équipe sécurité. Auditez les consentements existants avec le script PowerShell Get-AzureADServicePrincipal et révoquez les permissions excessives. Microsoft documente en détail cette procédure.

Identity Protection et détection automatisée

Entra ID Identity Protection utilise les signaux de Microsoft (analyse de milliards d'authentifications quotidiennes) pour détecter les comportements suspects : connexion depuis un IP anonyme, impossible travel, token anomaly, password spray détecté. Chaque risque est classé en faible, moyen ou élevé. La puissance de l'outil réside dans sa capacité à déclencher des actions automatiques : forcer le changement de mot de passe, bloquer la connexion ou exiger un MFA renforcé.

Configurez trois politiques Identity Protection : user risk policy (risque élevé → changement de mot de passe obligatoire), sign-in risk policy (risque élevé → blocage, risque moyen → MFA), et une intégration vers votre SOC via les alertes Microsoft Sentinel ou un SIEM tiers. Les signaux Identity Protection alimentent aussi les règles de détection d'attaques sur Azure AD, créant une boucle de défense continue.

Sécurisation des applications enregistrées

Les App Registrations dans Entra ID sont un angle mort fréquent. Chaque application enregistrée possède un Service Principal avec des permissions potentiellement élevées (Mail.Read, Directory.ReadWrite.All). Les secrets et certificats associés à ces applications expirent — ou n'expirent pas, ce qui est pire. Un secret d'application avec des permissions Directory.ReadWrite.All qui n'expire jamais, c'est une porte dérobée permanente dans votre tenant.

Actions prioritaires : inventoriez toutes les App Registrations avec Get-MgApplication, identifiez celles avec des permissions élevées, vérifiez les dates d'expiration des secrets et certificats, supprimez les applications orphelines. Mettez en place une politique de rotation des secrets tous les 90 jours et privilégiez les managed identities quand l'architecture le permet. Le monitoring des ajouts de credentials sur les Service Principals est un indicateur avancé de compromission que votre SIEM doit surveiller.

ConfigurationDéfautRecommandationPriorité
Global AdminsIllimité2 break-glass + PIMCritique
Consentement utilisateurAutoriséBloqué + workflow adminCritique
Legacy authAutoriséBloqué par CA policyCritique
MFASecurity defaultsCA policy + FIDO2/PasskeysÉlevée
PIM activationNon configuré4-8h, approbation, justificationÉlevée
App Registration secretsPas de rotationRotation 90j, managed identityMoyenne

Audit et monitoring continu

La sécurisation d'Entra ID n'est pas un exercice ponctuel. Les journaux d'audit et de connexion doivent être exportés vers un SIEM avec une rétention de 365 jours minimum (la rétention native Entra ID est de 30 jours en P1, 30 jours en P2). Les événements critiques à monitorer : ajout d'un Global Admin, modification d'une politique d'accès conditionnel, création d'un secret sur une App Registration, consentement admin accordé, et désactivation du MFA sur un compte.

Créez des alertes temps réel pour ces événements et intégrez-les dans votre processus de réponse à incident. Le guide de journalisation de l'ANSSI fournit un cadre de référence applicable à Entra ID. Un playbook de réponse à incident spécifique aux compromissions Entra ID doit être préparé et testé régulièrement.

Questions fréquentes sur la sécurité Entra ID

Quelle licence Entra ID faut-il pour sécuriser correctement un tenant ?

Les fonctionnalités de sécurité avancées requièrent Entra ID P2 (inclus dans Microsoft 365 E5). Cela couvre PIM, Identity Protection, Access Reviews et Conditional Access avancé. Entra ID P1 (inclus dans M365 E3) offre l'accès conditionnel de base et le MFA. Pour un tenant de production, P2 est le minimum recommandé pour les comptes administrateurs, P1 pour les utilisateurs standards.

Comment détecter les comptes compromis dans Entra ID ?

Trois sources de détection : Identity Protection (signaux automatiques Microsoft), les règles personnalisées dans votre SIEM (connexions impossibles, MFA bypass attempts) et les audits réguliers des permissions (rôles attribués, consentements applicatifs, App Registration secrets). La combinaison de ces trois approches couvre l'essentiel des scénarios de compromission. Un outil comme Microsoft Sentinel avec les connecteurs Entra ID natifs simplifie cette surveillance.

Peut-on sécuriser Entra ID sans licence P2 ?

Oui, mais avec des limitations significatives. Sans P2, vous n'avez pas accès à PIM ni à Identity Protection. Vous pouvez néanmoins déployer l'accès conditionnel de base (P1), bloquer les legacy protocols, restreindre le consentement applicatif et configurer des alertes manuelles via les journaux d'audit. Ces mesures couvrent environ 60% des vecteurs d'attaque. Pour les comptes sensibles, l'investissement P2 est fortement recommandé au regard du risque.

Sources et références : ANSSI · MITRE ATT&CK

Synthèse et plan d'action

La sécurisation d'Entra ID est un chantier continu qui nécessite une approche méthodique. Commencez par les quick wins à fort impact : réduction des Global Admins, activation du MFA universel, blocage des legacy protocols. Enchaînez avec PIM et le contrôle du consentement applicatif. Terminez par le monitoring avancé et l'intégration SIEM. Chaque étape renforce la posture de sécurité de votre tenant et vous rapproche d'une architecture Zero Trust mature. Testez votre configuration avec l'outil Microsoft Secure Score et visez un score supérieur à 80%.

Article suivant recommandé

MFA résistant au phishing : FIDO2, Passkeys et au-delà →

Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.

Les techniques d'attaque sur les systèmes d'identité décrites ici visent à renforcer les défenses. Ne les utilisez que dans un cadre de pentest autorisé ou en environnement de lab.

Ayi NEDJIMI

Reprenez le contrôle de vos identités

Audit IAM, Zero Trust, MFA, PAM — réduction de la surface d'attaque identitaire.

📎 Articles complémentaires

Sécurisation des Applications et Permissions dans Entra ID

L'une des surfaces d'attaque les plus critiques et les moins bien protégées dans les environnements Entra ID concerne les applications enregistrées et leurs permissions. Chaque application enregistrée dans Entra ID (anciennement Azure Active Directory) peut se voir accorder des permissions Microsoft Graph qui lui permettent d'agir sur les ressources de l'annuaire avec des droits potentiellement très étendus. La compromission d'une application avec des permissions Graph excessives peut donner à un attaquant un accès persistant à l'ensemble de l'annuaire sans nécessiter de credentials utilisateur, rendant ce vecteur particulièrement insidieux.

Les permissions Microsoft Graph les plus dangereuses à auditer prioritairement dans Entra ID :

  • Directory.ReadWrite.All : permission d'application permettant de lire et modifier tous les objets de l'annuaire, y compris la création d'utilisateurs, la modification des membres des groupes et l'ajout de credentials aux applications existantes
  • RoleManagement.ReadWrite.Directory : permet d'attribuer et de retirer des rôles Azure AD à n'importe quel principal, équivalent d'un Global Administrator sans apparaître dans la liste des administrateurs
  • Mail.ReadWrite et Mail.Send pour toutes les boîtes mail : permet à l'application de lire et d'envoyer des emails depuis n'importe quelle boîte mail de l'organisation sans interaction utilisateur, vecteur d'espionnage et d'usurpation d'identité massif
  • User.ReadWrite.All : modification de tous les attributs utilisateur y compris les méthodes d'authentification MFA, permettant de désactiver le MFA pour des comptes cibles avant une tentative d'accès

L'audit des permissions applicatives Entra ID s'effectue via PowerShell avec le module Microsoft.Graph :

Connect-MgGraph -Scopes "Application.Read.All", "Directory.Read.All"
Get-MgServicePrincipal -All | ForEach-Object {
  $sp = $_
  Get-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $sp.Id |
  Where-Object {$_.PrincipalType -eq "ServicePrincipal"} |
  Select-Object @{n="App";e={$sp.DisplayName}}, PrincipalDisplayName, @{n="Permission";e={$_.AppRoleId}}
}

Gouvernance des Identités Entra ID : Cycle de Vie et Access Reviews

La gouvernance des identités dans Entra ID couvre l'ensemble du cycle de vie des comptes utilisateurs, de leur création automatisée lors de l'onboarding jusqu'à leur désactivation et suppression lors de l'offboarding. Entra ID Governance (anciennement Azure AD Identity Governance) fournit des fonctionnalités natives de gestion du cycle de vie des identités, d'Access Reviews automatisées et de gestion des accès à droit élevé (Privileged Identity Management).

Les Access Reviews Entra ID permettent d'automatiser les campagnes de recertification des accès : les propriétaires de groupes ou d'applications reçoivent périodiquement des demandes de validation des membres de leurs ressources, avec révocation automatique des accès non validés dans le délai imparti. Cette fonctionnalité est directement requise par les référentiels ISO 27001 (A.9.2.6 Removal of Access Rights) et SOC 2 (CC6.3 Access Revocation).

  • Privileged Identity Management (PIM) : les rôles administrateurs (Global Admin, Exchange Admin, etc.) sont attribués en mode eligible plutôt que permanent ; l'activation nécessite une demande justifiée, une approbation par un manager et une durée limitée configurée (8 heures maximum recommandé)
  • Conditional Access avec conditions de risque : les politiques d'Accès Conditionnel qui intègrent le score de risque utilisateur et de risque de connexion calculés par Entra ID Protection bloquent automatiquement les connexions depuis des localisations ou comportements atypiques sans intervention humaine
  • Entitlement Management : les Access Packages permettent de regrouper les ressources nécessaires à un rôle métier (groupes, applications, sites SharePoint) et de les attribuer via un processus d'approbation avec durée de validité configurable et révision périodique automatique
  • Cross-tenant synchronization : dans les environnements multi-tenant, la synchronisation des identités entre tenants doit être auditée pour prévenir les accès non autorisés par des identités d'un tenant partenaire mal gouvernées

La surveillance continue de la sécurité Entra ID s'effectue via Microsoft Defender for Identity (anciennement Azure ATP) qui analyse les comportements d'authentification et détecte les attaques comme le Pass-the-Hash, le Golden Ticket Kerberos et les énumérations d'annuaire. Les alertes Defender for Identity sont centralisées dans Microsoft Sentinel pour corrélation avec d'autres sources de télémétrie et traitement par les analystes SOC dans un workflow unifié de gestion des incidents de sécurité lié aux identités cloud.

Politiques d'Accès Conditionnel Entra ID : Conception et Bonnes Pratiques

Les politiques d'Accès Conditionnel Entra ID constituent le mécanisme central de contrôle d'accès contextuel dans l'écosystème Microsoft 365 et Azure. Elles permettent d'appliquer des décisions d'accès dynamiques basées sur des conditions multiples : identité de l'utilisateur, appartenance à des groupes, niveau de risque calculé par Entra ID Protection, conformité du dispositif (Compliant ou Joined dans Intune), localisation réseau (IP de confiance ou non), application cible et sensibilité des données accédées. La conception d'une architecture de Conditional Access robuste nécessite une approche structurée qui évite les erreurs de configuration pouvant bloquer les accès légitimes ou laisser des vecteurs d'attaque non couverts.

Les politiques d'Accès Conditionnel prioritaires à déployer dans tout tenant Entra ID d'entreprise :

  • MFA pour tous les utilisateurs non-administrateurs : politique de base exigeant l'authentification multi-facteurs pour tout accès depuis des réseaux non identifiés comme de confiance, avec des exclusions pour les comptes de service et les applications utilisant des flux d'authentification modernes sans interaction utilisateur
  • MFA renforcé pour les administrateurs : politique distincte exigeant une méthode MFA forte (clé FIDO2 ou Microsoft Authenticator avec Passwordless) pour tous les comptes avec des rôles d'administration Entra ID, quelle que soit la localisation réseau
  • Blocage des accès depuis des pays non autorisés : liste blanche des pays depuis lesquels les connexions sont autorisées, avec exceptions documentées pour les voyageurs fréquents via des Named Locations dynamiques
  • Exigence de conformité du dispositif : accès aux ressources sensibles (SharePoint, Exchange, applications métier critiques) conditionné à la conformité Intune du dispositif, bloquant les accès depuis des appareils personnels non gérés
  • Blocage des protocoles d'authentification legacy : les protocoles POP, IMAP, SMTP AUTH, Basic Auth ne supportent pas le MFA modernes et doivent être bloqués globalement, avec des exceptions uniquement pour les systèmes legacy documentés et approuvés

Le mode Report-Only des politiques Conditional Access permet de simuler l'impact d'une nouvelle politique avant son activation en production, affichant les résultats qu'elle aurait produits sans bloquer réellement les accès. Cette fonctionnalité est essentielle pour valider qu'une nouvelle politique ne crée pas de rupture d'accès non anticipée pour des utilisateurs légitimes, notamment les comptes de service et les applications utilisant des flux OAuth2 avec des patterns d'authentification spécifiques. Un run de 7 à 14 jours en mode Report-Only avant activation est la bonne pratique recommandée pour les politiques affectant l'ensemble des utilisateurs.

Monitoring de Sécurité Entra ID et Réponse aux Incidents d'Identité

La surveillance continue de la sécurité Entra ID s'appuie sur les journaux d'audit et de connexion disponibles dans le portail Azure, exportables vers un espace de travail Log Analytics ou directement vers Microsoft Sentinel pour les organisations ayant déployé ce SIEM. Les journaux de connexion Entra ID contiennent des informations précieuses pour la détection des comportements anormaux : adresse IP source, localisation géographique, dispositif utilisé, résultat de l'authentification (succès, échec MFA, risque bloqué) et politique Conditional Access appliquée.

Les requêtes KQL essentielles pour la surveillance Entra ID dans Microsoft Sentinel ou Log Analytics permettent de détecter les patterns d'attaque les plus courants : tentatives de password spray (nombreux échecs d'authentification depuis une même IP sur de nombreux comptes différents), impossible travel (connexions depuis deux pays distants dans un délai impossible à parcourir physiquement), connexions réussies immédiatement suivies d'une modification des méthodes MFA indiquant un attaquant consolidant son accès, et création de nouvelles applications Entra ID avec des permissions étendues par des utilisateurs non autorisés à effectuer ces opérations selon les politiques de gouvernance. La réponse automatisée aux incidents d'identité via des playbooks Microsoft Sentinel (basés sur Azure Logic Apps) permet de révoquer automatiquement les sessions actives, désactiver un compte compromis et notifier le SOC dans les secondes suivant la détection d'un comportement critique.

La sécurisation d'Entra ID est un processus continu qui évolue avec les nouvelles fonctionnalités de la plateforme Microsoft, les nouvelles techniques d'attaque découvertes par les chercheurs en sécurité et les nouvelles exigences de conformité imposées par les régulateurs. La souscription aux bulletins de sécurité Microsoft, la participation aux programmes de preview des nouvelles fonctionnalités de sécurité Entra ID et la formation continue des administrateurs cloud constituent des investissements indispensables pour maintenir une posture de sécurité des identités robuste et adaptée aux menaces actuelles et émergentes dans l'écosystème Microsoft 365.