⚠️ Attention aux droits accordés aux #CSP (Cloud Service Providers ☁️) en environnement #Microsoft ! Un client vient de s'en rendre compte et l'expérience n'est pas agréable... [Thread 1/5] 
1️⃣ Un partenaire #CSP peut faire une demande de droits 🔄 (Global Admin ou Helpdesk Admin... soit tout ou rien)
2️⃣ Les droits peuvent être validés par un Billing Admin, dont ce n'est pas le job 👤. Autrement dit, souvent peu de vérification... [2/5]
2️⃣ Les droits peuvent être validés par un Billing Admin, dont ce n'est pas le job 👤. Autrement dit, souvent peu de vérification... [2/5]
3️⃣ Ce n'est pas une blague : les droits n’apparaissent pas dans #AzureAD 🚨 (les auditeurs les moins chevronnés passeront à travers). Pire que ça : le #CSP a la possibilité de se connecter au tenant client sans mesure de sécurité particulière 🔐 [3/5]
4️⃣ Les collaborateurs du #CSP peuvent désormais créer des comptes « Global Admin » dans le tenant du client sans passer par les processus IAM du client. Soit quelques beaux scénarios d’attaque par #SupplyChain envisageables ! [4/5]
Les bonnes pratiques :
🔘 Mettre en place des alertes sur les groupes qui vont recueillir les admin partenaires
🔘 Utiliser Azure AD Entitlement Mgmt pour gérer les rôles partenaires
🔘 Créer des services principals dédiés au partenaire, avec les mesures qui vont bien ! [5/5]
🔘 Mettre en place des alertes sur les groupes qui vont recueillir les admin partenaires
🔘 Utiliser Azure AD Entitlement Mgmt pour gérer les rôles partenaires
🔘 Créer des services principals dédiés au partenaire, avec les mesures qui vont bien ! [5/5]
• • •
Missing some Tweet in this thread? You can try to
force a refresh
