Qu'est-ce que la Gestion des Accès Privilégiés Azure ?
Dans Azure Entra ID, les rôles privilégiés — Administrateur Global, Administrateur de Rôle Privilégié, Administrateur de Sécurité — accordent la capacité de gérer l'ensemble du tenant, d'assigner des rôles, de réinitialiser des mots de passe et d'accéder à toutes les données. Ces rôles sont l'équivalent de Domain Admin dans les environnements cloud.
Les erreurs de configuration d'accès privilégié sont parmi les risques les plus critiques dans tout environnement Azure. Trop d'Admins Globaux, des assignations permanentes sans limite de temps, et des admins sans MFA créent une surface d'attaque que les attaquants ciblent directement.
Privileged Identity Management (PIM) est la solution de Microsoft : il remplace les assignations permanentes par un accès juste-à-temps (JIT), nécessitant une activation explicite avec MFA et une justification métier. Sans PIM, chaque compte privilégié est une cible permanente.
Comment ca Fonctionne
Dans un tenant mal configuré, les rôles privilégiés sont assignés de façon permanente et large. Un attaquant qui compromet n'importe quel compte Admin Global peut :
- Lire et exfiltrer toutes les données du tenant
- Assigner des rôles à qui il veut
- Créer des comptes backdoor avec des droits Admin Global permanents
- Désactiver les contrôles de sécurité (Accès Conditionnel, politiques MFA, journalisation)
- Accéder à tous les abonnements Azure liés au tenant
La Chaine d'Attaque
Etape 1 - Identifier les Comptes Privilégiés
Connect-MgGraph -Scopes "Directory.Read.All"
Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole -Filter "displayName eq 'Global Administrator'").Id |
Select-Object Id, DisplayName, UserPrincipalName
Etape 2 - Cibler les Comptes Sans MFA
Les comptes privilégiés sans MFA sont les cibles prioritaires. Un email de phishing ou un spray de mots de passe suffit.
Etape 3 - Compromettre et Escalader
Une fois un compte Admin Global compromis, l'attaquant crée un backdoor :
New-MgUser -DisplayName "Support Technique" -UserPrincipalName "[email protected]" `
-PasswordProfile @{Password="BackdoorP@ss!"} -AccountEnabled $true
New-MgDirectoryRoleMemberByRef -DirectoryRoleId $globalAdminRoleId `
-OdataId "https://graph.microsoft.com/v1.0/directoryObjects/$newUserId"
Etape 4 - Prise de Contrôle Totale du Tenant
Avec un backdoor Admin Global persistant, l'attaquant désactive les journaux d'audit et exfiltre les données.
Détection
Logs d'Audit Microsoft Entra
| Evénement | Ce qu'il faut surveiller |
|---|---|
| Ajouter un membre à un rôle | Assignation Admin Global — surtout pour des comptes nouveaux ou inconnus |
| Mettre à jour l'utilisateur | Changements sur les comptes privilégiés |
| Connexion | Connexions Admin Global depuis de nouvelles IPs ou appareils |
Requete SIEM (Elastic KQL)
azure.auditlogs.operation_name: "Add member to role" AND
azure.auditlogs.properties.target_resources.modified_properties.new_value: "*Global Administrator*"
💡 Conseil : Alertez sur chaque assignation de rôle Admin Global en temps réel. Il n'y a aucune raison légitime pour que des opérations routinières nécessitent ce rôle.
Remédiation
⚠️ Critique : Aucun compte ne devrait avoir une assignation permanente d'Admin Global. Tous les accès privilégiés doivent passer par PIM avec activation MFA requise.
1. Réduire le Nombre d'Admins Globaux
# Microsoft recommande 2-5 Admins Globaux maximum
Get-MgDirectoryRoleMember -DirectoryRoleId $globalAdminRoleId |
Select-Object DisplayName, UserPrincipalName
# Remplacer par des rôles à moindre privilège où possible
2. Activer et Imposer PIM
Dans Entra ID > Privileged Identity Management :
1. Découvrir les rôles privilégiés et convertir les assignations permanentes en éligibles
2. Pour Administrateur Global :
- Durée d'activation maximale : 4-8 heures
- Exiger MFA à l'activation
- Exiger une justification
- Activer le workflow d'approbation
3. Imposer le MFA sur Tous les Comptes Privilégiés
Politique d'Accès Conditionnel :
Nom : Exiger MFA — Rôles Privilégiés
Utilisateurs : Rôle de répertoire = Administrateur Global, etc.
Contrôles : Exiger MFA + Appareil conforme
4. Configurer des Comptes d'Accès d'Urgence
# Créer deux comptes break-glass exclus de toutes les politiques CA
# Stocker les credentials dans un coffre physique, hors ligne
# Alerter immédiatement sur toute utilisation
Comment EtcSec Détecte Cela
PA_TOO_MANY_GLOBAL_ADMINS identifie les tenants avec plus de 5 assignations permanentes d'Administrateur Global.
PA_PERMANENT_ADMIN_ASSIGNMENTS signale toutes les assignations permanentes de rôles privilégiés dans votre tenant.
PA_PIM_NOT_ENABLED détecte les tenants où PIM n'est pas configuré.
PA_GLOBAL_ADMIN_NOT_MFA identifie les comptes Admin Global sans méthodes MFA enregistrées.
ℹ️ Note : EtcSec audite la configuration des accès privilégiés Azure automatiquement. Lancez un audit gratuit pour voir votre exposition.
