Azure Active Directory vous permet de vous assurer que vos utilisateurs accèdent à vos ressources à partir d’appareils qui répondent à vos normes de conformité et de sécurité.

Azure Active Directory pour répondre à vos normes de conformité et de sécurité.

Avec les stratégies d’accès conditionnel basé sur les appareils, vous pouvez faire en sorte que l’accès aux ressources de votre environnement soit possible seulement avec des appareils managés. Le portail Azure AD centralise les opérations de gestion des identités de vos appareils. 

Comment gérer les identités des appareils ?

Pour commencer il faut obtenir des appareils dans Azure AD et vous avez plusieurs options.

L’ajout d’appareils à Azure AD est possible en libre-service ou par un processus d’approvisionnement contrôlé par des administrateurs.

  • Appareils inscrits sur Azure AD (Windows 10, iOS, Android, MacOS)
    • Les appareils qui sont inscrits auprès d’Azure AD sont généralement des appareils personnels ou mobiles connectés à un compte personnel Microsoft ou à un autre compte local.
    • Les appareils utilisent un compte géré par l’utilisateur final, ce compte est soit un compte Microsoft ou un autre compte géré localement sécurisé avec un ou plusieurs des éléments suivants: Mot de passe, PIN, Windows Hello
  • Appareil joints à Azure AD (Windows 10, Windows server Server 2019 sauf Server Core)
    • Les appareils joints à Azure AD appartiennent à une organisation et sont connectés avec un compte Azure AD appartenant à cette organisation. Ils existent uniquement dans le cloud.
    • Les appareils utilisent un compte professionnel dans Azure AD sécurisé avec un ou plusieurs des éléments suivants: Mot de passe, Windows Hello Entreprise.
  • joints à Azure AD hybrides (Windows 7, 8.1, 10, Server 2008 ou version ultérieure)
    • Les appareils joints à une version hybride d’Azure AD appartiennent à une organisation et sont connectés avec un compte Azure AD appartenant à cette organisation. Ils existent dans le cloud et en local.
    • Les appareils utilisent un compte professionnel dans Azure AD sécurisé avec un ou plusieurs des éléments suivants: Mot de passe, Windows Hello Entreprise.

Windows 10 s’authentifie automatiquement avec Azure Active Directory et votre annuaire local, en fournissant une authentification unique sans qu’il soit nécessaire d’utiliser AD FS.

Pour visualiser tous les appareils

  1. Connectez-vous au portail Azure. (https://portal.azure.com/)
  2. Accédez à Azure Active Directory > Appareils.

La page Appareils vous permet :

  • Configurer les paramètres de vos appareils
  • Examiner les journaux d’audit liés à l’appareil
  1. Cliquez sur Paramètres de l’appareil pour configurer les appareils

Les utilisateurs peuvent joindre des appareils à Azure AD : ce paramètre vous permet de sélectionner les utilisateurs qui peuvent inscrire leurs appareils en tant qu’appareils joints à Azure AD. La valeur par défaut est Tous.

Le paramètre Les utilisateurs peuvent joindre des appareils à Azure AD s’applique uniquement à Azure AD Join sous Windows 10.

Administrateurs locaux supplémentaires sur les appareils joints à Azure AD : vous pouvez sélectionner les utilisateurs qui peuvent disposer de droits d’administrateur local sur un appareil. Les utilisateurs ajoutés ici sont ajoutés au rôle Administrateurs d’appareils dans Azure AD. Les administrateurs généraux Azure AD et les propriétaires d’appareils bénéficient de droits d’administrateur local par défaut. Cette option est une fonctionnalité de l’édition Premium disponible dans les produits comme Azure AD Premium ou EMS (Enterprise Mobility Suite) ou encore Microsoft 365 Business Premium et Entreprise.

Les utilisateurs peuvent inscrire leurs appareils sur Azure AD : vous devez configurer ce paramètre pour permettre l’inscription des appareils Windows 10 Personnel, iOS, Android, et macOS dans Azure AD. Si vous sélectionnez Aucun, les appareils ne peuvent pas être inscrits dans Azure AD. L’inscription auprès de Microsoft Intune ou de la Gestion des appareils mobiles (MDM) pour Office 365 nécessite l’enregistrement de l’appareil. Si vous avez configuré l’un de ces services, l’option TOUS est sélectionnée et l’option AUCUN est désactivée.

Exiger Multi-factor Auth pour joindre des appareils : vous pouvez déterminer si les utilisateurs doivent fournir un facteur d’authentification supplémentaire lorsqu’ils veulent joindre leurs appareils à Azure AD. La valeur par défaut est NON. Il est recommandé d’exiger une authentification multifacteur au moment de l’inscription d’un appareil. Avant d’activer l’authentification multifacteur pour ce service, vous devez vérifier que l’authentification multifacteur est configurée pour les utilisateurs qui inscrivent leurs appareils. Et cela se passe toujours dans le même portail en sélectionnant « Utilisateurs »

Le paramètre Exiger Multi-factor Auth pour joindre des appareils s’applique aux appareils joints à Azure AD ou inscrits à Azure AD. Ce paramètre ne s’applique pas aux appareils hybrides joints à Azure AD

Nombre maximal d’appareils par utilisateur : ce paramètre vous permet de sélectionner le nombre maximal d’appareils joints à Azure AD ou inscrits à Azure AD et qu’un utilisateur peut avoir dans Azure AD. Si un utilisateur atteint ce quota, il ne pourra pas ajouter d’autres appareils tant qu’un ou plusieurs appareils existants n’auront pas été supprimés. De 5 à Illimité,  la valeur par défaut est de 20 appareils.

Le paramètre Nombre maximal d’appareils par utilisateur s’applique aux appareils joints à Azure AD ou inscrits à Azure AD. Ce paramètre ne s’applique pas aux appareils hybrides joints à Azure AD.

  1. Cliquez sur Entreprise State Roaming pour la synchronisation sur différents appareils

Les utilisateurs peuvent synchroniser les paramètres et les données d’application sur différents appareils : par défaut, ce paramètre est défini sur AUCUN. La sélection de certains utilisateurs ou groupes, ou de TOUS, permet aux paramètres et aux données d’application de l’utilisateur d’être synchronisés sur ses appareils Windows 10. Cette option est une fonctionnalité de l’édition Premium disponible dans les produits comme Azure AD Premium ou EMS (Enterprise Mobility Suite) ou encore Microsoft 365 Business Premium et Entreprise.

Pour examiner les journaux d’audit liés à l’appareil

Les Journaux d’audit dans la section Activité de la page Appareils constituent le point d’entrée des données d’audit.

Des activités de l’appareil sont disponibles dans les journaux d’activité. Ces journaux comprennent les activités déclenchées par le service d’inscription des appareils et par les utilisateurs :

  • Création d’un appareil et ajout de propriétaires/d’utilisateurs sur l’appareil
  • Modification des paramètres de l’appareil
  • Opérations concernant les appareils, telles que la suppression ou la mise à jour d’un appareil

Un journal d’audit inclut une vue Liste par défaut, qui indique les informations suivantes :

  • La date et l’heure de l’occurrence
  • Les cibles
  • L’initiateur/intervenant d’une activité (qui)
  • L’activité (quoi)

Cette liste peut être personnalisée en filtrant les entrées, mais également rechercher des entrées spécifiques.

Conditions de licence:

L’utilisation de cette fonctionnalité nécessite une licence Azure AD Premium P1. Pour trouver la licence adaptée à vos besoins, consultez https://azure.microsoft.com/fr-fr/pricing/details/active-directory/

NEXT STEP

Pour aller plus loin notamment pour effectuer les tâches de gestion des appareils nécessitera une application complémentaire pour la gestion, de device (MDM) et d’applications (MAM), à l’instar de Microsoft Intune que nous aborderons dans un prochain article. Comme Azure AD, Intune est disponible dans les produits EMS (Enterprise Mobility Suite) ou encore Microsoft 365 Business Premium et Entreprise.

Tech Entrepreneur / Senior Security & Cloud Architect / Microsoft Technologies Azure Architect / Sophos Certified Architect /Palo Alto Networks Accredited Systems Engineer (PSE)/ Microsoft P-Seller, anciennement Virtual Technology Specialist (VTSP) / Intervient sur les problématiques d’Architecture des Systèmes d’Information depuis plus de 20 ans.

Laisser un commentaire