La synchronisation de l'annuaire avec les meilleures pratiques en matière de sécurité
Avec Azure AD Connect, la synchronisation des données d'annuaire d'Active Directory sur site vers Azure AD est à la fois facile et efficace. Mais est-il possible d'avoir trop d'une bonne chose ?
Les meilleures pratiques en matière de sécurité limitent le partage au strict besoin d'en connaître. Cependant, Azure AD Connect synchronise 151 attributs par défaut. Vous avez bien lu : 151 attributs.
Ainsi, si vous effectuez l'installation "Express Settings" d'Azure AD Connect, Azure AD inclura un total de 151 attributs (à l'exclusion des attributs nuls ou absents) pour chaque objet synchronisé depuis votre Active Directory sur site vers Azure AD.
Et selon l'endroit où Azure AD est hébergé (par exemple, en dehors des États-Unis), certains de ces attributs - dont cinq attributs liés à l'utilisateur - peuvent être répliqués vers des centres de données situés aux États-Unis.
Il est important de noter que la version actuelle d'Azure AD Connect ne pardonne pas : une fois qu'un attribut a été synchronisé, vous pouvez désactiver les mises à jour, mais l'attribut reste (dans un état obsolète) dans Azure AD. Il est donc extrêmement important d'utiliser Azure AD Connect correctement dès la première fois.
Limitez votre exposition
Les paramètres par défaut et les configurations express peuvent être les meilleurs amis d'un administrateur informatique débordé, et je les recommande souvent. Après tout, ces paramètres et configurations incarnent généralement les recommandations du fournisseur et les meilleures pratiques du produit.
Cependant, pour de nombreuses organisations (voire la plupart), le niveau de synchronisation par défaut dans Azure AD Connect n'est pas nécessaire d'un point de vue opérationnel, ni souhaitable du point de vue de la sécurité.
N'oubliez pas qu'Azure AD n'est pas une simple extension de votre Active Directory sur site, mais qu'il s'agit plutôt d'un magasin d'identité à part entière, avec son propre lot de vulnérabilités. Et lorsqu'il s'agit de stocker des données sensibles dans le nuage, le mieux est d'en faire le moins possible.
Par conséquent, je vous encourage à envisager de personnaliser votre installation d'Azure AD Connect avec la fonctionnalité de filtrage d'applications et d'attributs intégrée et facile à utiliser.
Prendre le contrôle
Le filtrage des applications et des attributs, ainsi que le filtrage des domaines et des OU, vous permettent de contrôler considérablement ce qui est synchronisé entre votre Active Directory sur site et Azure AD. Bien que les règles de synchronisation offrent des possibilités supplémentaires, le filtrage est suffisant dans la plupart des cas et constitue en tout état de cause le meilleur point de départ.
Pour vous aider à démarrer, Semperis a publié un livre blanc que vous pouvez télécharger ici.
Je vous encourage vivement à télécharger le livre blanc : la synchronisation inutile des données nuit à la sécurité et est difficile à annuler. Le livre blanc fournit de plus amples explications, des limitations supplémentaires et des conseils d'utilisation précieux.
Trouver un équilibre
Si la synchronisation de 151 attributs "au cas où" peut s'avérer excessive, la synchronisation minimale des seuls attributs requis peut s'avérer inutilement chiche et causer des problèmes opérationnels. Comme pour beaucoup de choses dans la vie, il est important de trouver un équilibre. Étant donné qu'il est plus facile d'ajouter des attributs à la synchronisation que d'en supprimer, je vous recommande de commencer prudemment avec un ensemble limité d'attributs, de surveiller activement et d'ajouter des attributs si nécessaire.