ROE Microsoft et scope tenant
Règles Microsoft, inventaire du tenant, rôles, applications, authentification, journaux et validation sans vol de token.
Cadre
Les tests sur Microsoft Cloud doivent respecter les règles Microsoft et les conditions du service. Le client ne peut autoriser que les ressources et identités qu’il contrôle.
Scope
- Tenant ID et domaines vérifiés ;
- comptes de test ;
- rôles attribués ;
- applications et subscriptions ;
- endpoints ;
- techniques permises ;
- durée et IP sources ;
- interdiction de cibler d’autres tenants ou utilisateurs.
Interdictions fréquentes
Phishing d’utilisateurs tiers, DoS, accès à des données d’un autre client, tests contre l’infrastructure Microsoft et utilisation abusive de services cloud comme source d’attaque.
Comptes
Crée des comptes de test dédiés avec MFA et licences nécessaires. Ne demande pas les mots de passe des administrateurs réels.
Preuve
Utilise les journaux, métadonnées et objets synthétiques. Pour un contrôle d’autorisation, un groupe ou fichier canari suffit.
Un test de tenant ne donne pas le droit de tester Microsoft lui-même ni d’accéder à d’autres organisations. Vérifie les ROE officielles avant chaque mission.