Tutoriel
20
mn
Sécuriser un compte administrateur Microsoft
Sécuriser un compte administrateur Microsoft
Pourquoi ce tutoriel ?
Un compte administrateur Microsoft (Azure AD, Microsoft 365, Windows Server) offre des accès critiques. S’il est compromis, l’attaquant peut contrôler toute l’infrastructure. Le sécuriser est donc une priorité absolue pour protéger les données et éviter les interruptions de service.
1. Activer l’authentification multifacteur (MFA)
Utiliser Microsoft Authenticator ou un autre outil MFA compatible.
Éviter le SMS seul (plus vulnérable), préférer les notifications ou codes générés par application.
Activer le MFA pour tous les comptes admin, pas seulement le principal.
2. Créer un compte admin dédié
Ne pas utiliser le compte admin pour les tâches quotidiennes.
Créer un compte utilisateur standard pour les opérations courantes.
Limiter le nombre de comptes disposant des droits admin.
3. Utiliser des mots de passe robustes
Longueur minimale 16 caractères (mélange lettres, chiffres, symboles).
Utiliser un gestionnaire de mots de passe pour éviter la réutilisation.
Changer immédiatement le mot de passe si une suspicion de fuite existe.
4. Activer les alertes de connexion
Configurer Microsoft 365/Azure AD pour recevoir des alertes de connexion suspectes.
Surveiller toute tentative depuis un pays inhabituel ou à des horaires anormaux.
5. Mettre en place la stratégie de moindre privilège
Attribuer uniquement les rôles nécessaires (ex. “Administrateur Exchange” plutôt que “Administrateur global”).
Retirer les droits admin temporaires après usage (PIM — Privileged Identity Management).
6. Activer la journalisation et les audits
Vérifier que l’audit des connexions et des modifications est activé.
Archiver les logs pour analyse en cas d’incident.
7. Cas pratique
Avant : Un seul compte admin utilisé pour tout, avec mot de passe simple et aucune MFA.
Après : Comptes séparés, MFA activé, droits limités au strict nécessaire, alertes de connexion en place.
8. Bonnes pratiques
Réaliser un audit de sécurité tous les 6 mois.
Sensibiliser les autres administrateurs aux risques de phishing.
Documenter toutes les modifications et interventions effectuées avec le compte admin.
Ressources utiles
Guide Microsoft — Sécuriser les comptes d’administration : https://learn.microsoft.com/fr-fr/azure/active-directory/roles/security-planning
Microsoft Authenticator : https://www.microsoft.com/fr-fr/security/mobile-authenticator-app
PIM dans Azure AD : https://learn.microsoft.com/fr-fr/azure/active-directory/privileged-identity-management/pim-configure