This document provides an overview of Microsoft threat protection and Azure Active Directory (Azure AD) security features. It discusses Azure AD architecture and features like single sign-on and self-service password reset. It also covers Azure AD conditional access policies for securing access based on conditions like location, device compliance, and multi-factor authentication. Finally, it summarizes features for identity protection, detecting risky users and sign-ins, and enabling smart lockout and password protection.
4. Agenda
Microsoft Threat Protection
• Introduction
• Azure Active Directory
Architecture
• Azure AD Deep Dive
• AAD connect
• Authentification
Conclusion
• Bonnes pratiques
Azure AD et la sécurité
• Azure MFA Conditional Access
• Identity Protection
• Smart Lock & password
protection
• Azure Application Proxy
5. Microsoft
Threat
Protection
◦ Modèle unifié
◦ Plusieurs services
◦ Tous les vecteurs d’un système d’information
6
«Avec un modèle je vais pouvoir
sécuriser mon système
d’information sur tous les plans»
9. Azure AD
Azure Active Directory (Azure AD) est un service dans Azure qui permet de gérer des
annuaires et l’identité, il offre aux utilisateurs une authentification unique à plusieurs
applications et services cloud.
◦ Authentification
◦ Gestion
◦ Contrôle d’accès
◦ Consommation
Exemple:
L’utilisation des services Office 365
10
10. EMS
Intune
Protect your users,
devices, and apps
Azure Active Directory
Microsoft Cloud App Security
Detect threats early
with visibility and
threat analytics
Advanced
Threat Analytics
Azure Information
Protection
Protect your data,
everywhere
11. Features P1
Directory Objects1 No Object Limit
User/Group Management (add/update/delete). User-based provisioning, Device registration Available
Single Sign-On (SSO). Free, basic tiers + self-service app integration templates5 No Limit
B2B Collaboration7 Available
Self-Service Password Change for cloud users Available
Connect (Sync engine that extends on-premises directories to Azure Active Directory) Available
Security/Usage Reports Advanced Reports
Group-based access management/provisioning Available
Self-Service Password Reset for cloud users Available
Company Branding (Logon Pages/Access Panel customization) Available
Application Proxy Available
SLA Available
Premium Features
Advanced group features8 Available
Self-Service Password Reset/Change/Unlock with on-premises writeback Available
Device objects 2-way sync between on-premises directories and Azure AD (Device write-back) Available
Multi-Factor Authentication (Cloud and On-premises (MFA Server)) Available
Microsoft Identity Manager user CAL4 Available
Cloud App Discovery9 Available
Connect Health6 Available
Automatic password rollover for group accounts Available
Conditional Access based on group and location Available
Conditional Access based on device state (Allow access from managed devices) Available
3rd party identity governance partners integration Available
Terms of Use Available
SharePoint Limited Access Available
OneDrive for Business Limited Access Available
3rd party MFA partner integration Preview Available
Microsoft Cloud App Security integration Available
Identity Protection
• Detecting vulnerabilities and risky accounts:
• Providing custom recommendations to improve overall security
posture by highlighting vulnerabilities
• Calculating sign-in risk levels
• Calculating user risk levels
• Investigating risk events:
• Sending notifications for risk events
• Investigating risk events using relevant and contextual information
• Providing basic workflows to track investigations
• Providing easy access to remediation actions such as password
reset
• Risk-based conditional access policies:
• Policy to mitigate risky sign-ins by blocking sign-ins or requiring
multi-factor authentication challenges
• Policy to block or secure risky user accounts
• Policy to require users to register for multi-factor authentication
Advanced Identity Governance
• Privileged Identity Management (PIM)
• Access Reviews
Only in Azure AD P2
What is the difference between
Azure AD P1 & P2?
18. Étendre mon AD vers Azure AD
Identités hybrides : Extension de votre AD Local vers Azure AD
• Pourquoi ? ➔ équation : Plusieurs applications pour une seule et unique identité
Comment aller vers de l’identité hybride ?
✓ Connaitre les besoins
✓ Pour quels usages ?
✓ La stratégie et la roadmap
✓ L’existant :
✓ Méthode d’authentification utilisée
✓ Définir si y a services cloud
✓ Définir si y a de la fédération et identifier les raisons
✓ Kerberos based (SSO)
✓ Authentification des users hors de l’entreprise avec SAML
✓ Etc
22. Microsoft
Secure Score
◦ Here you have a list of items
◦ And some text
◦ But remember not to overload your
slides with content
Your audience will listen to you or read
the content, but won’t do both.
23
28. Corporate
Network
Geo-location
Microsoft
Cloud App SecurityMacOS
Android
iOS
Windows
Windows
Defender ATP
Client apps
Browser apps
Google ID
MSA
Azure AD
ADFS
Require
MFA
Allow/block
access
Block legacy
authentication
Force
password
reset
******
Limited
access
Controls
Employee & Partner
Users and Roles
Trusted &
Compliant Devices
Physical &
Virtual Location
Client apps &
Auth Method
Conditions
Machin
e
learnin
g
Policies
Real time
Evaluation
Engine
Session
Risk
3
40TB
Effective
policy
29. 30
Conditional Access
RETOUR D’EXPERIENCE
PAS DE CONNEXION POUR TOUS LES DEVICES QUI NE SONT PAS DANS
AZURE AD ET DANS INTUNE
SCOPE : TOUS LES UTILISATEURS
◦ À VOTRE AVIS, IL SE PASSERA QUOI ?
30. 31
Conditional Access
EXEMPLE:
• EXIGER LE MFA
• REFUSER L’ACCÈS EN LECTURE POUR LES UTILISATEURS STANDARD
• REFUSER L’ACCÈS SI DEVICE NON MANAGÉ – NON CONFORME
• EXIGER LE MFA SI L’UTILISATEUR EST DANS UN PAYS RISQUÉ
• BLOQUER TOUTES LES CONNEXIONS DEPUIS UN NAVIGATEUR
◦ VERIFIEZ AVEC LE WHAT IF AVANT LE PASSAGE EN PRODUCTION !
31. 32
Conditional Access
BONNES PRATIQUES:
• UTILISEZ LE !
• TRUSTEZ LES LOCATIONS
• TRUSTEZ LES RANGE IP
• WHAT IF – ATTENTION AVANT PRODUCTION
• PENSEZ AUX EXCLUSIONS ( IMPORTANT)
32. 33
Conditional Access
LES NOUVEAUTÉS DEPUIS LES IGNITE 2018
• BLOCK LEGACY AUTH
• BLOCK LEGACY PROTOCOL ( POP ET IMAP)
• RBAC – GRANULAIRE
• LIMITÉ LES ACCÈS AU NIVEAU DES DATA CLASSIFICATION
• LIMITÉ LES ACCÈS POUR OWA
34. 35
Azure Identity Protection
6 EVENTS À RISQUE :
- UTILISATEURS SUSPECT : HORS LIGNE
- CONNEXION DEPUIS DES IP NON CONNUS – ANONYMES : TEMPS RÉEL
- CONNEXION DEPUIS DES EMPLACEMENTS INCONNUS: TEMPS RÉEL
- CONNEXION DEPUIS UN APPAREIL INFECTÉ: HORS LIGNE
- CONNEXION DEPUIS UN EMPLACEMENT INHABITUEL: HORS LIGNE
- CONNEXION DEPUIS UNE IP QUI CONTIENT UNE ACTIVITÉ SUSPECTE :HORS LIGNE
35. 36
Azure Identity Protection
TYPE DE DÉTECTION :
NIVEAU DE RISQUE : ELEVÉ – MOYEN – FAIBLE
Temps réel
5 à 10 minutes
Hors ligne
2 à 24 heurs
42. CONCLUSION
43
SUIVRE LE MICROSOFT SECURE SCORE
ACTIVEZ LE PTA :
• ACTIVEZ LE SEAMLESS SSO
AZURE MFA
• TRUST DES IP ET LOCATIONS
• CONDITIONAL ACCESS
IDENTITY PROTECTION:
• POLICY DE REMÉDIATION
• ACTIVEZ LE MFA POUR TOUT LE MONDE EN FONCTION DES LOCATION
• REPORTING
• DEVICE
• RISQUE USER – CONNEXION – LOCATION – IP
• PASSWORD:
• ACTIVEZ LE SELF PASSWORD - SMART LOCKOUT – PASSWORD PROTECTION
• AZURE APPLICATION PROXY