Microsoft 365 et Entra ID
Authentification, logs et contrôles
Règles Microsoft, inventaire du tenant, rôles, applications, authentification, journaux et validation sans vol de token.
Contrôles
- MFA et méthodes résistantes au phishing ;
- Conditional Access ;
- comptes break-glass ;
- rôles PIM/JIT ;
- applications et consentements ;
- legacy authentication ;
- appareils conformes ;
- partage externe ;
- journaux et rétention.
Journaux
Get-MgAuditLogDirectoryAudit -Top 20
Get-MgAuditLogSignIn -Top 20
L’accès aux sign-ins dépend des licences et permissions.
Validation
Utilise des comptes de test : connexion depuis une IP attendue, tentative sans condition requise, élévation PIM et accès à un fichier canari. Ne tente pas de contourner MFA ou voler un token réel.
Signaux
- échec/succès de Conditional Access ;
- application cliente ;
- device ID ;
- risque utilisateur/session ;
- géolocalisation ;
- consentements ;
- modifications de rôle.