Je suis sûr que certains d’entre vous ont déjà créé plusieurs dizaines de tenants Microsoft Entra, possiblement plus 💪. Mais certains d’autres n’ont peut-être jamais osé franchir le pas ! Rassurez-vous, rien de bien compliqué. En cette année 2024, je vous propose de repartir sur les basiques et de créer ensemble un nouveau tenant afin de comprendre les premiers paramètres appliqués par Microsoft.
Avant de commencer le petit exercice, reparcourons ensemble quelques notions essentielles.
Qu’est-ce qu’un tenant Microsoft Entra ?
C’est probablement une des premières questions à laquelle on tente de répondre quand on commence à s’intéresser au cloud de Microsoft. Inutile d’aller bien loin, Microsoft explique assez bien le concept :
Le locataire (tenant) Microsoft Entra est une limite de sécurité d’identité qui est sous le contrôle du service informatique de votre organization. Dans cette limite de sécurité, l’administration des objets (tels que les objets utilisateur) et la configuration des paramètres à l’échelle du locataire sont contrôlées par vos administrateurs informatiques.
Microsoft Learn
A l’intérieur d’un tenant Microsoft Entra, on y retrouvera donc principalement :
- un annuaire ou répertoire (= directory) contenant des identités humaines, machines ou applicatives
- Des applications Microsoft comme la suite office 365
- Des ressources comme des machines virtuelles sur Azure
- Des applications tierces
- Des configurations comme des droits, des polices ou mesures de sécurité
Cette vidéo est assez ancienne, mais elle explique assez bien le concept d’Azure Active Directory (Entra ID) et de ses différences avec Windows Server Active Directory :
Combien coûte un tenant Microsoft ?
Un tenant Microsoft en lui-même ne coûte rien, mais les services comme Office 365, les licences pour renforcer la sécurité de votre tenant, ou encore les ressource Azure déployées vont pour la plupart être payantes.
Quelle est la différence entre Microsoft Entra et Microsoft Entra ID ?
Microsoft Entra est une famille de plusieurs produits comprenant également Microsoft Entra ID. Le tableau suivant et disponible sur cette page montre certaines fonctionnalités disponible sur Microsoft Entra :
Ce portail complet est disponible à cette adresse :
Combien coûte Microsoft Entra ID ?
Le tableau ci-dessous et également disponible sur cette page Microsoft nous explique bien les différentes versions de Microsoft Entra ID :
- La première colonne de gauche nous montre qu’il existe une version gratuite de Microsoft Entra ID comprenant des bases de sécurité suffisantes.
- D’autres versions avec plus de fonctionnalités et des mesures de sécurité personnalisées sont disponibles sous forme de licences par utilisateur.
Afin de rentrer plus en détail dans le fonctionnement de Microsoft Entra, je vous propose de regarder l’excellente vidéo de Seyfallah Tagrerout :
Plusieurs méthodes de création d’un tenant Microsoft existent. Il est généralement possible de créer son propre nouveau tenant en partant d’une identité Cloud existante sans en perturber le fonctionnement.
Afin de vous faire une meilleure idée, je vous propose un petit exercice à ce sujet, et de voir certains éléments liés à votre création :
- Etape 0 – Rappel des prérequis
- Etape I – Création du nouveau tenant
- Etape II – Création d’un nouvel utilisateur
- Etape III – Création d’autres utilisateurs
- Etape IV – Paramètres de sécurité par défaut
- Etape V – Test des paramètres de sécurité par défaut
Commençons par un bref rappel des prérequis.
Etape 0 – Rappel des prérequis :
Pour réaliser mon exercice sur la création d’un nouveau tenant Microsoft, il vous faudra disposer de :
- Un tenant Microsoft 🤣
La suite se passera directement par la création du nouveau tenant.
Etape I – Création du nouveau tenant :
Pour cela, rendez-vous sur la page de Microsoft Entra ID par ce lien, puis cliquez-ici pour lister les tenants vous étant accessibles :
Cliquez sur Créer pour démarrer la procédure :
Deux types de tenants sont possibles : B2C ou B2B (plus d’informations ici)
Choisissez le tenant B2B, puis cliquez sur Continuer :
Renseignez les 3 champs suivants puis cliquez sur Créer :
Réussissez le CAPTCHA, puis cliquez sur Soumettre :
La création de votre nouveau tenant Microsoft a commencé, attendez environ 5 minutes :
Environ 5 minutes plus tard, votre nouveau tenant Microsoft est maintenant prêt, cliquez-ici pour basculer sur celui-ci :
La bascule vers le nouveau tenant est également possible depuis le bouton de paramètre suivant :
Le nouveau tenant s’ouvre directement sur le portail Azure. Constatez la présence de ces 2 valeurs uniques qui définissent votre nouveau tenant :
Consultez les utilisateurs présents sur votre nouveau tenant par cette page.
A ce stade, le compte utilisateur du tenant initial devrait être le seul présent, cliquez sur son nom :
Prenez soin de vérifier l’origine de cette identité externe à votre nouveau tenant, puis cliquez-ici pour consulter ses rôles Entra ID :
Constatez la présence logique du rôle d’Administrateur Général, naturellement attribué au créateur du tenant :
Votre tenant fonctionne bien, mais est pour l’instant assez vide. Je vous propose donc de continuer en créant un premier utilisateur dans Entra ID.
Etape II – Création d’un nouvel utilisateur :
Créez votre premier utilisateur rattaché à votre nouveau tenant par le menu suivant :
Remplissez les champs obligatoires, puis cliquez sur Suivant :
Remplissez les champs que vous souhaitez, puis cliquez sur Suivant :
Cliquez ici pour lui un ajouter un rôle Entra ID :
Recherchez le rôle d’Administrateur général, puis cliquez sur Sélectionnez :
Lancez la validation de votre création :
Une fois la validation terminée, sauvegardez le mot de passe provisoire, puis lancez la création :
La notification suivante devrait apparaître :
Rafraichissez la page des utilisateurs Entra ID afin de voir votre création :
Ouvrez un navigateur privé, lancez la page web d’Entra ID, puis renseignez les identifiants de votre nouvel utilisateur :
A l’issue de cette première connexion, définissez un nouveau mot de passe à cet utilisateur :
Dans le but de supprimer l’utilisateur créateur du nouveau tenant dans ce dernier, retournez sur la page des utilisateurs, puis cliquez-ici :
Confirmez votre choix en cliquant sur OK :
Rafraichissez la page des utilisateurs Entra ID afin de voir uniquement votre nouveau compte :
Etape III – Création d’autres utilisateurs :
Vous pourriez créer ou inviter d’autres utilisateurs comme le montre les exemples d’identités visibles sur l’image ci-dessous :
Microsoft nous liste certaines identités sur cette page :
Voici un exemple de connexion d’un compte invité de type mail essayant de se connecter à un site SharePoint dont l’accès se fera via un code envoyé par email :
Intéressons-nous enfin à la sécurité de base d’un tenant Microsoft.
Etape IV – Paramètres de sécurité par défaut :
Depuis octobre 2019, les nouveaux tenants ont la sécurité par défaut d’activé. Microsoft le justifie par l’argument suivant :
Selon nos connaissances, plus de 99,9% de ces attaques liées à l’identité sont stoppées en utilisant l’authentification multifacteur et en bloquant l’authentification héritée. Notre but est de nous assurer que toutes les organisations ont activé au moins un niveau de sécurité de base, sans coût supplémentaire.
Microsoft Learn
La sécurité par défaut est entièrement gérée par Microsoft. Elle fait sens dans le cadre de tenants dépourvus de licences Microsoft Entra ID payantes et agira sur les points suivants :
- Mise en place de l’authentification multifacteur pour tous
- Obligation de l’authentification multifacteur pour les administrateurs
- Obligation de l’authentification multifacteur selon les cas
- Désactivation des protocoles d’authentification non modernes
- Protection de ressources critiques
L’activation ou la désactivation de la sécurité par défaut est possible depuis l’écran suivant d’Entra ID :
Terminons cet exercice par un test de la sécurité par défaut d’activé d’Entra ID.
Etape V – Test des paramètres de sécurité par défaut :
Pour cela, connectez-vous avec un compte administrateur sur le portail Microsoft Entra ID depuis un navigateur privé :
Dans cet exemple, notre compte utilisateur est un administrateur et essaye d’accès à un ressource sensible.
Comme la MFA n’est pas encore configuré sur ce compte, nous sommes invités à y remédier en cliquant sur Suivant :
Afin de configurer Microsoft Authenticator, téléchargez l’application sur votre Smartphone, puis cliquez sur Suivant :
Cliquez sur Suivant :
Scannez le QR code depuis l’application installé sur votre Smartphone, puis cliquez sur suivant :
Saisissez sur votre Smartphone le nombre affiché à l’écran :
Une fois le nombre correctement saisi, cliquez sur Suivant :
Cliquez sur Terminer :
Cliquez sur Non :
Le portail de Microsoft Entra ID s’ouvre bien :
Refermer votre navigateur privé, puis réouvrez-le à nouveau.
Connectez-vous à nouveau avec le même compte administrateur sur le portail Microsoft Entra ID :
La MFA étant déjà configuré sur ce compte, saisissez à nouveau sur votre Smartphone le nombre affiché à l’écran :
Cliquez sur Non :
Le portail de Microsoft Entra ID s’ouvre bien une nouvelle fois :
Conclusion
Cet exercice nous montre qu’il n’y a vraiment rien de sorcier dans la création d’un nouveau tenant Microsoft Entra dans sa configuration de base, même si beaucoup d’autres paramétrages non montrés ici seront à configurer selon les cas. Enfin, d’autres mesures de sécurité très intéressantes à mettre en place devraient bientôt suivre dans de prochains articles 😎.
