This document provides an overview of Microsoft threat protection and Azure Active Directory (Azure AD) security features. It discusses Azure AD architecture and features like single sign-on and self-service password reset. It also covers Azure AD conditional access policies for securing access based on conditions like location, device compliance, and multi-factor authentication. Finally, it summarizes features for identity protection, detecting risky users and sign-ins, and enabling smart lockout and password protection.

1. 1
aOS Strasbourg
4/06/2019
Sécuriser son digital
Workplace
Seyfallah Tagrerout
Votre
photo

2. ◦ MERCI A NOS SPONSORS
2

3. HELLO!
3
Blog
https://seyfallah-it.blogspot.com
AiM Services Architect Team Lead

4. Agenda
Microsoft Threat Protection
• Introduction
• Azure Active Directory
Architecture
• Azure AD Deep Dive
• AAD connect
• Authentification
Conclusion
• Bonnes pratiques
Azure AD et la sécurité
• Azure MFA Conditional Access
• Identity Protection
• Smart Lock & password
protection
• Azure Application Proxy

5. Microsoft
Threat
Protection
◦ Modèle unifié
◦ Plusieurs services
◦ Tous les vecteurs d’un système d’information
6
«Avec un modèle je vais pouvoir
sécuriser mon système
d’information sur tous les plans»

6. 7

7. Microsoft Threat Protection
◦ Sans oublier:
◦ AIP
◦ Azure Sentinel
◦ Cloud app Security
◦ Intune
◦ Microsoft ATA et AATP

8. 9
Azure Active Directory

9. Azure AD
Azure Active Directory (Azure AD) est un service dans Azure qui permet de gérer des
annuaires et l’identité, il offre aux utilisateurs une authentification unique à plusieurs
applications et services cloud.
◦ Authentification
◦ Gestion
◦ Contrôle d’accès
◦ Consommation
Exemple:
L’utilisation des services Office 365
10

10. EMS
Intune
Protect your users,
devices, and apps
Azure Active Directory
Microsoft Cloud App Security
Detect threats early
with visibility and
threat analytics
Advanced
Threat Analytics
Azure Information
Protection
Protect your data,
everywhere

11. Features P1
Directory Objects1 No Object Limit
User/Group Management (add/update/delete). User-based provisioning, Device registration Available
Single Sign-On (SSO). Free, basic tiers + self-service app integration templates5 No Limit
B2B Collaboration7 Available
Self-Service Password Change for cloud users Available
Connect (Sync engine that extends on-premises directories to Azure Active Directory) Available
Security/Usage Reports Advanced Reports
Group-based access management/provisioning Available
Self-Service Password Reset for cloud users Available
Company Branding (Logon Pages/Access Panel customization) Available
Application Proxy Available
SLA Available
Premium Features
Advanced group features8 Available
Self-Service Password Reset/Change/Unlock with on-premises writeback Available
Device objects 2-way sync between on-premises directories and Azure AD (Device write-back) Available
Multi-Factor Authentication (Cloud and On-premises (MFA Server)) Available
Microsoft Identity Manager user CAL4 Available
Cloud App Discovery9 Available
Connect Health6 Available
Automatic password rollover for group accounts Available
Conditional Access based on group and location Available
Conditional Access based on device state (Allow access from managed devices) Available
3rd party identity governance partners integration Available
Terms of Use Available
SharePoint Limited Access Available
OneDrive for Business Limited Access Available
3rd party MFA partner integration Preview Available
Microsoft Cloud App Security integration Available
Identity Protection
• Detecting vulnerabilities and risky accounts:
• Providing custom recommendations to improve overall security
posture by highlighting vulnerabilities
• Calculating sign-in risk levels
• Calculating user risk levels
• Investigating risk events:
• Sending notifications for risk events
• Investigating risk events using relevant and contextual information
• Providing basic workflows to track investigations
• Providing easy access to remediation actions such as password
reset
• Risk-based conditional access policies:
• Policy to mitigate risky sign-ins by blocking sign-ins or requiring
multi-factor authentication challenges
• Policy to block or secure risky user accounts
• Policy to require users to register for multi-factor authentication
Advanced Identity Governance
• Privileged Identity Management (PIM)
• Access Reviews
Only in Azure AD P2
What is the difference between
Azure AD P1 & P2?

12. Azure Active Directory

13. 8B 90%
653K1.1B17.5M
90K
Quelques chiffres

14. Walmart – Exemple
565K2,252K2.5M
880K
SSPR

15. Azure Active
Directory
Windows
MacOS
iOS
Android

16. 17
Archi

17. Réplication
18
✓ Tolérance de panne
✓ Durabilité et protection des
données
✓ Cohérence
✓ Sauvegarde

18. Étendre mon AD vers Azure AD
Identités hybrides : Extension de votre AD Local vers Azure AD
• Pourquoi ? ➔ équation : Plusieurs applications pour une seule et unique identité
Comment aller vers de l’identité hybride ?
✓ Connaitre les besoins
✓ Pour quels usages ?
✓ La stratégie et la roadmap
✓ L’existant :
✓ Méthode d’authentification utilisée
✓ Définir si y a services cloud
✓ Définir si y a de la fédération et identifier les raisons
✓ Kerberos based (SSO)
✓ Authentification des users hors de l’entreprise avec SAML
✓ Etc

19. Authentification

20. Authentification

21. 22
Azure AD et la
securité

22. Microsoft
Secure Score
◦ Here you have a list of items
◦ And some text
◦ But remember not to overload your
slides with content
Your audience will listen to you or read
the content, but won’t do both.
23

23. Azure MFA
◦ Sécurité
◦ Fiabilité
◦ Facilité
◦ Evolution
◦ Termes :
Double facteur
Authentification forte
24

24. Azure MFA -
Options
• SMS
• CODE APPLICATION AVEC
AZURE AUTHENTICATOR
• APPEL TÉLÉPHONIQUE
• JETON OATH
• NOTIFICATION SUR
L’APPLICATION
ATTENTION À PLUSIEURS POINTS
AVANT DE L’ACTIVER
25

25. Password Less
26

26. 27
Conditional Access
AUTORISER OU NON L’ACCÈS AUX RESSOURCES CLOUD DE L’ENTREPRISE

27. 28
Conditional Access
Actions
Bloquer
Autoriser
Autoriser

28. Corporate
Network
Geo-location
Microsoft
Cloud App SecurityMacOS
Android
iOS
Windows
Windows
Defender ATP
Client apps
Browser apps
Google ID
MSA
Azure AD
ADFS
Require
MFA
Allow/block
access
Block legacy
authentication
Force
password
reset
******
Limited
access
Controls
Employee & Partner
Users and Roles
Trusted &
Compliant Devices
Physical &
Virtual Location
Client apps &
Auth Method
Conditions
Machin
e
learnin
g
Policies
Real time
Evaluation
Engine
Session
Risk
3
40TB
Effective
policy

29. 30
Conditional Access
RETOUR D’EXPERIENCE
PAS DE CONNEXION POUR TOUS LES DEVICES QUI NE SONT PAS DANS
AZURE AD ET DANS INTUNE
SCOPE : TOUS LES UTILISATEURS
◦ À VOTRE AVIS, IL SE PASSERA QUOI ?

30. 31
Conditional Access
EXEMPLE:
• EXIGER LE MFA
• REFUSER L’ACCÈS EN LECTURE POUR LES UTILISATEURS STANDARD
• REFUSER L’ACCÈS SI DEVICE NON MANAGÉ – NON CONFORME
• EXIGER LE MFA SI L’UTILISATEUR EST DANS UN PAYS RISQUÉ
• BLOQUER TOUTES LES CONNEXIONS DEPUIS UN NAVIGATEUR
◦ VERIFIEZ AVEC LE WHAT IF AVANT LE PASSAGE EN PRODUCTION !

31. 32
Conditional Access
BONNES PRATIQUES:
• UTILISEZ LE !
• TRUSTEZ LES LOCATIONS
• TRUSTEZ LES RANGE IP
• WHAT IF – ATTENTION AVANT PRODUCTION
• PENSEZ AUX EXCLUSIONS ( IMPORTANT)

32. 33
Conditional Access
LES NOUVEAUTÉS DEPUIS LES IGNITE 2018
• BLOCK LEGACY AUTH
• BLOCK LEGACY PROTOCOL ( POP ET IMAP)
• RBAC – GRANULAIRE
• LIMITÉ LES ACCÈS AU NIVEAU DES DATA CLASSIFICATION
• LIMITÉ LES ACCÈS POUR OWA

33. 34
Azure Identity Protection
DÉTECTION DES VULNÉRABILITÉ
REMÉDIATIONS
ACTION AUTOMATIQUE EN FONCTION DES ACTIVITÉS SUSPECTES DÉTECTÉES

34. 35
Azure Identity Protection
6 EVENTS À RISQUE :
- UTILISATEURS SUSPECT : HORS LIGNE
- CONNEXION DEPUIS DES IP NON CONNUS – ANONYMES : TEMPS RÉEL
- CONNEXION DEPUIS DES EMPLACEMENTS INCONNUS: TEMPS RÉEL
- CONNEXION DEPUIS UN APPAREIL INFECTÉ: HORS LIGNE
- CONNEXION DEPUIS UN EMPLACEMENT INHABITUEL: HORS LIGNE
- CONNEXION DEPUIS UNE IP QUI CONTIENT UNE ACTIVITÉ SUSPECTE :HORS LIGNE

35. 36
Azure Identity Protection
TYPE DE DÉTECTION :
NIVEAU DE RISQUE : ELEVÉ – MOYEN – FAIBLE
Temps réel
5 à 10 minutes
Hors ligne
2 à 24 heurs

36. 37
Azure Identity Protection
Setting Value
Users xxx
Conditions Sign-in risk, Medium
Controls Access Block – Ou MFA
REMEDIATION

37. 38
Azure Identity Protection
LES NOUVEAUTÉS:
• END USER ACTIVITY REPORTING – RAPPORT DÉTAILLÉ
• MACHINE LEARNING
• AZURE ATP INTÉGRATION SECOPS

38. 39
Smart Lockout et password Protetion

39. 40
Smart Lockout et password Protection

40. 41
Azure Application Proxy
VPN ET DMZ : ON PEUT OUBLIER ?

41. 42
CONCLUSION

42. CONCLUSION
43
SUIVRE LE MICROSOFT SECURE SCORE
ACTIVEZ LE PTA :
• ACTIVEZ LE SEAMLESS SSO
AZURE MFA
• TRUST DES IP ET LOCATIONS
• CONDITIONAL ACCESS
IDENTITY PROTECTION:
• POLICY DE REMÉDIATION
• ACTIVEZ LE MFA POUR TOUT LE MONDE EN FONCTION DES LOCATION
• REPORTING
• DEVICE
• RISQUE USER – CONNEXION – LOCATION – IP
• PASSWORD:
• ACTIVEZ LE SELF PASSWORD - SMART LOCKOUT – PASSWORD PROTECTION
• AZURE APPLICATION PROXY

43. CONCLUSION
44

44. 45
MERCI DE VOTRE ATTENTION !