☁️Azure Entra IDConfigComplianceIdentity

Durcissement du Tenant Azure : Corriger les Paramètres Non Sécurisés Livrés par Défaut

Les nouveaux tenants Azure sont livrés avec des paramètres non sécurisés. Security Defaults désactivés, auth legacy activée et accès invités ouverts créent une surface d'attaque immédiate. Apprenez à durcir votre baseline.

ES
EtcSec Security Team
3 min read
Durcissement du Tenant Azure : Corriger les Paramètres Non Sécurisés Livrés par Défaut

Qu'est-ce que le Durcissement du Tenant Azure ?

Quand un nouveau tenant Microsoft 365 ou Azure est créé, il est livré avec des configurations par défaut conçues pour la facilité d'utilisation — pas pour la sécurité. L'authentification legacy est activée, les Security Defaults peuvent être désactivés, l'accès des invités est non restreint, et aucune politique d'Accès Conditionnel n'est configurée.

Le durcissement du tenant est le processus de révision et de correction systématique de ces paramètres par défaut. C'est la base sur laquelle tous les autres contrôles de sécurité Azure reposent.

Comment ca Fonctionne

La configuration du tenant Azure est gérée dans plusieurs emplacements :

  • Entra ID > Propriétés — paramètres à l'échelle du tenant, y compris les Security Defaults
  • Entra ID > Identités Externes — paramètres de collaboration invité et B2B
  • Entra ID > Méthodes d'Authentification — quelles méthodes MFA sont autorisées
  • Centre d'Administration Exchange Online — paramètres d'auth legacy pour les protocoles email
  • Centre d'Administration Microsoft 365 — paramètres de sécurité au niveau des services

Liste de Contrôle d'Audit de Configuration

1. Status des Security Defaults

Connect-MgGraph -Scopes "Policy.Read.All"
Get-MgPolicyIdentitySecurityDefaultEnforcementPolicy | Select-Object IsEnabled
# Doit être True (si pas de politiques CA en place)

2. Status de l'Authentification Legacy

Connect-ExchangeOnline
Get-AuthenticationPolicy | Select-Object Name, AllowBasicAuth*
# Toutes les valeurs AllowBasicAuth* doivent être False

3. Paramètres d'Invitation des Invités

Get-MgPolicyAuthorizationPolicy | Select-Object AllowInvitesFrom
# Doit être : adminsAndGuestInviters ou adminsOnly

4. Politique des Méthodes d'Authentification

Get-MgPolicyAuthenticationMethodPolicy | Select-Object -ExpandProperty AuthenticationMethodConfigurations |
    Where-Object {$_.State -eq "enabled"} | Select-Object Id, State
# Vérifier que SMS n'est pas la seule méthode MFA — préférer Authenticator App ou FIDO2

5. Paramètres d'Accès Inter-Tenant

Get-MgPolicyCrossTenantAccessPolicyDefault | Select-Object -ExpandProperty B2BCollaborationInbound
# InboundTrust ne doit pas être "AllExternalOrganizations" sans restrictions

Détection

Score Sécurisé Microsoft 365

Le Score Sécurisé Microsoft 365 fournit une évaluation automatisée de la configuration de votre tenant. Consultez-le sur security.microsoft.com > Score Sécurisé.

# Détecter la désactivation des Security Defaults
azure.auditlogs.operation_name: "Update security defaults" AND
azure.auditlogs.properties.target_resources.modified_properties.new_value: "false"

💡 Conseil : Surveillez votre Score Sécurisé Microsoft hebdomadairement. Une chute significative est souvent le premier indicateur qu'un changement de configuration a introduit une nouvelle lacune de sécurité.

Remédiation

💡 Action Rapide : Exécutez la liste de contrôle ci-dessus et corrigez tout paramètre où l'auth legacy est activée ou les Security Defaults sont désactivés sans remplacement CA.

Activer les Security Defaults (Si Pas d'Accès Conditionnel)

Entra ID > Propriétés > Gérer les Security Defaults > Activé = Oui

Désactiver l'Authentification Legacy Globalement

New-AuthenticationPolicy -Name "Bloquer Basic Auth"
Set-AuthenticationPolicy -Identity "Bloquer Basic Auth" `
    -AllowBasicAuthImap $false -AllowBasicAuthPop $false `
    -AllowBasicAuthSmtp $false -AllowBasicAuthWebServices $false

Get-User -ResultSize Unlimited | Set-User -AuthenticationPolicy "Bloquer Basic Auth"

Restreindre les Invitations d'Invités

Entra ID > Identités Externes > Paramètres de collaboration externe :
Paramètres d'invitation d'invités = "Seuls les utilisateurs ayant des rôles admin spécifiques peuvent inviter"

Activer les Méthodes MFA Résistantes au Phishing

Entra ID > Méthodes d'authentification > Clés de sécurité FIDO2 = Activé
Entra ID > Méthodes d'authentification > Microsoft Authenticator = Activé
Entra ID > Méthodes d'authentification > SMS = Désactivé (remplacer par Authenticator)

Comment EtcSec Détecte Cela

AZ_SECURITY_DEFAULTS_DISABLED identifie les tenants où les Security Defaults sont désactivés sans couverture équivalente d'Accès Conditionnel.

CA_NO_LEGACY_AUTH_BLOCK signale l'absence d'une politique d'Accès Conditionnel bloquant les protocoles d'authentification legacy.

B2B_CROSS_TENANT_OPEN détecte les paramètres d'accès inter-tenant trop permissifs permettant une collaboration externe non restreinte.

ℹ️ Note : EtcSec audite la configuration du tenant Azure automatiquement. Lancez un audit gratuit pour valider votre posture de durcissement.

Articles connexes : Failles d'Accès Conditionnel Azure | Sécurité Identités Azure

☁️ AzureConfigComplianceIdentity
EtcSec

© 2026 EtcSec. All rights reserved.

Durcissement Tenant Azure : Security Defaults et Config | EtcSec — EtcSec Blog | EtcSec