Tutoriel
20
mn
SĂ©curiser un compte administrateur Microsoft
SĂ©curiser un compte administrateur Microsoft
Pourquoi ce tutoriel ?
Un compte administrateur Microsoft (Azure AD, Microsoft 365, Windows Server) offre des accĂšs critiques. Sâil est compromis, lâattaquant peut contrĂŽler toute lâinfrastructure. Le sĂ©curiser est donc une prioritĂ© absolue pour protĂ©ger les donnĂ©es et Ă©viter les interruptions de service.
1. Activer lâauthentification multifacteur (MFA)
Utiliser Microsoft Authenticator ou un autre outil MFA compatible.
Ăviter le SMS seul (plus vulnĂ©rable), prĂ©fĂ©rer les notifications ou codes gĂ©nĂ©rĂ©s par application.
Activer le MFA pour tous les comptes admin, pas seulement le principal.
2. Créer un compte admin dédié
Ne pas utiliser le compte admin pour les tĂąches quotidiennes.
Créer un compte utilisateur standard pour les opérations courantes.
Limiter le nombre de comptes disposant des droits admin.
3. Utiliser des mots de passe robustes
Longueur minimale 16 caractÚres (mélange lettres, chiffres, symboles).
Utiliser un gestionnaire de mots de passe pour éviter la réutilisation.
Changer immédiatement le mot de passe si une suspicion de fuite existe.
4. Activer les alertes de connexion
Configurer Microsoft 365/Azure AD pour recevoir des alertes de connexion suspectes.
Surveiller toute tentative depuis un pays inhabituel ou Ă des horaires anormaux.
5. Mettre en place la stratégie de moindre privilÚge
Attribuer uniquement les rĂŽles nĂ©cessaires (ex. âAdministrateur Exchangeâ plutĂŽt que âAdministrateur globalâ).
Retirer les droits admin temporaires aprĂšs usage (PIM â Privileged Identity Management).
6. Activer la journalisation et les audits
VĂ©rifier que lâaudit des connexions et des modifications est activĂ©.
Archiver les logs pour analyse en cas dâincident.
7. Cas pratique
Avant : Un seul compte admin utilisé pour tout, avec mot de passe simple et aucune MFA.
AprÚs : Comptes séparés, MFA activé, droits limités au strict nécessaire, alertes de connexion en place.
8. Bonnes pratiques
Réaliser un audit de sécurité tous les 6 mois.
Sensibiliser les autres administrateurs aux risques de phishing.
Documenter toutes les modifications et interventions effectuées avec le compte admin.
Ressources utiles
Guide Microsoft â SĂ©curiser les comptes dâadministration : https://learn.microsoft.com/fr-fr/azure/active-directory/roles/security-planning
Microsoft Authenticator : https://www.microsoft.com/fr-fr/security/mobile-authenticator-app
PIM dans Azure AD : https://learn.microsoft.com/fr-fr/azure/active-directory/privileged-identity-management/pim-configure