Rechercher
  • Hicham Gondouin

Comment maîtriser et limiter les postes des prestataires avec Azure AD et l’accès conditionnel - REX

Dernière mise à jour : 30 mai

Retour d’expérience d’un projet réalisé pour un grand compte basé en région Occitanie, nommée par la suite l’Organisation.


Contexte

A l’instar de nombreuses entreprises, l’Organisation en question ne fournit plus de postes de travail aux prestataires intervenant sur son SI (infogérant, prestataires ponctuels, prestataires métiers…). Chaque prestataire utilise un poste de travail multi-clients contrôlé par sa propre société, ne permettant donc pas le déploiement du master de l’Organisation sur ces postes.


De plus, l’Organisation, dans une démarche de bascule vers le cloud, publie au travers d’Azure AD les applications et services utilisés par les prestataires. Elle ne souhaite plus utiliser de solutions VPN pour contrôler l’accès à ces ressources.


Dans un premier temps, l’Organisation a utilisé l’accès conditionnel d’Azure combiné à du MFA pour protéger l’accès aux ressources. Mais très rapidement, il est apparu que les prestataires utilisaient aussi bien leurs ordinateurs personnels, professionnels ou leurs smartphones pour y accéder.



Contraintes

L’Organisation souhaitait trouver une solution forçant les prestataires à utiliser un unique poste de travail professionnel, sans surcoût et sans surcharge de travail pour les équipes internes en termes d’exploitation.



Difficultés

La principale difficulté de ce projet réside dans l’hétérogénéité des postes de travail des différents prestataires. Certains postes sont dans un domaine AD, d’autres sont enrôlés dans un MDM ou d’autres encore sont en Azure AD join ou hybrid Azure AD join.



Solutions étudiées

Plusieurs solutions ont été étudiées, sans pour autant avoir été retenues :

  • Le contrôle des accès aux applications au travers de MCAS (CASB de Microsoft) couplé avec un certificat utilisateur. Les contraintes d’exploitation ont représenté un frein.

  • Le management des terminaux avec l’Intune de l’Organisation. La solution n’est pas fonctionnelle pour les postes déjà managés par un MDM.

  • L’utilisation d’Azure Virtual Desktop, qui est la solution qui répond le mieux à ce besoin d’un point de vue sécurité et fonctionnel. Cependant, la solution nécessite un vrai projet d’intégration et représente un coût à l’usage.



Solution mise en œuvre : Azure AD Registered + accès conditionnel

La solution proposée par Deepdef et sélectionnée par l’Organisation, « Azure AD Registered + Conditional Access », consiste à faire enregistrer les postes de travail des prestataires sur l’Azure AD de l’Organisation et à réaliser un contrôle d’accès en se basant sur la notion d’« Azure AD Registered ».


Ce scenario se base sur une fonctionnalité encore en preview du Conditional Access, Device state. Cette solution a été choisie car elle répond aux deux prérequis de l’Organisation, à savoir qu’elle n’entraine aucun coût de licences supplémentaire, ni d’efforts d’exploitation de l’équipe interne, et se révèle simple à mettre en œuvre.


Mise en œuvre

La règle d’accès conditionnel s’appuie sur le filtrage des devices enregistrés, en conséquence tout accès aux applications est refusé sauf pour les devices enregistrés dans Azure AD :


Une limite du nombre de devices enregistrés par utilisateur est imposée, ici un device :


L’enregistrement du poste de travail est réalisé par l’utilisateur lui-même. La manipulation est simple et ne nécessite pas de privilèges élevés.


Cette solution a l’avantage de fonctionner avec un grand nombre de modes de gestion des postes de travail des organisations prestataires :

  • Depuis un poste de travail inscrit dans un domaine AD :



  • Depuis un poste de travail déjà enrôlé dans un Intune :


  • Depuis un poste de travail Azure AD join :


Lorsque l’utilisateur tente d’accéder à une ressource depuis un poste non enregistré, l’accès est bloqué :


Afin de s’assurer que l’utilisateur enregistre et utilise bien un poste de travail de sa société, il est possible de compléter la règle d’accès conditionnel avec l’identité du device :


L’alimentation de la liste de device ID peut être scriptée et se baser sur un fichier qui sera renseigné par la société prestataire elle-même et ainsi n’entrainer aucune charge de travail supplémentaire pour l’Organisation.

31 vues0 commentaire