🔐 Sécuriser les administrateurs Microsoft 365 avec PIM

Dans un environnement Microsoft 365, les comptes administrateurs sont souvent les comptes les plus sensibles du tenant.

Et pourtant, dans beaucoup d’entreprises, certains utilisateurs disposent encore de rôles permanents comme Global Administrator, Exchange Administrator ou encore Intune Administrator.

Le problème ?
Si l’un de ces comptes est compromis, l’attaquant récupère directement des droits élevés sur l’environnement.

C’est précisément là que Microsoft Entra Privileged Identity Management, aussi appelé PIM, devient indispensable.

🚨 Pourquoi les rôles administrateurs permanents sont dangereux ?

Un compte administrateur permanent représente une cible de choix.

En cas de compromission, il peut permettre à un attaquant de :

Créer ou modifier des comptes utilisateurs
Modifier les stratégies d’accès conditionnel
Désactiver certaines protections de sécurité
Accéder à Exchange, SharePoint, Intune ou Azure
Créer de nouvelles portes d’entrée dans le tenant

Le vrai risque, ce n’est donc pas uniquement le compte administrateur lui-même, mais tout ce qu’il permet de modifier.

Dans une logique Zero Trust, un administrateur ne devrait pas avoir des droits élevés en permanence.

🧠 C’est quoi Microsoft Entra PIM ?

Microsoft Entra Privileged Identity Management est une fonctionnalité permettant de gérer, contrôler et surveiller les accès privilégiés dans Microsoft Entra ID, Azure, Microsoft 365 et certains services comme Microsoft Intune.

L’objectif est simple :
donner les droits administrateurs uniquement lorsque c’est nécessaire, pendant une durée limitée.

Au lieu d’être administrateur en permanence, l’utilisateur devient éligible à un rôle.

Lorsqu’il en a besoin, il doit l’activer temporairement.

💸 Quelles licences sont nécessaires ?

L’utilisation de Microsoft Entra PIM nécessite des licences adaptées, notamment autour de Microsoft Entra ID Governance ou Microsoft Entra ID P2 selon le scénario.

Avant de le déployer, il est donc important de vérifier les licences disponibles sur votre tenant.

⚙️ Comment fonctionne PIM ?

Avec PIM, un administrateur peut être configuré comme éligible à un rôle.

Lorsqu’il souhaite effectuer une action d’administration, il doit :

Se connecter au centre d’administration Microsoft Entra
Accéder à Identity Governance puis Privileged Identity Management
Sélectionner le rôle à activer
Renseigner une justification
Valider une authentification multifacteur si elle est demandée
Attendre une approbation si le rôle le nécessite

Une fois le rôle activé, l’accès est accordé temporairement.

À la fin de la durée définie, les droits sont automatiquement retirés.

✅ Ce que PIM permet de mettre en place

Microsoft Entra PIM permet notamment de :

Fournir des accès administrateurs en Just-in-Time
Limiter la durée d’activation des rôles
Demander une justification lors de l’activation
Exiger une authentification multifacteur
Mettre en place un workflow d’approbation
Recevoir des notifications lors des activations
Auditer les activations de rôles
Effectuer des revues d’accès régulières

C’est une fonctionnalité très puissante pour réduire les risques liés aux privilèges permanents.

🎯 Les rôles à protéger en priorité

Tous les rôles ne présentent pas le même niveau de risque.

Pour commencer, il est fortement recommandé de protéger en priorité les rôles suivants :

Global Administrator
Privileged Role Administrator
Conditional Access Administrator
Security Administrator
Exchange Administrator
SharePoint Administrator
Intune Administrator
Application Administrator

Ces rôles permettent d’agir sur des briques critiques du tenant Microsoft 365.

Ils ne devraient donc pas être attribués de manière permanente, sauf cas très spécifique. (ex : compte brise glace).

🛡️ Bonnes pratiques à appliquer

Voici quelques bonnes pratiques simples à mettre en place avec PIM :

Limiter au maximum les administrateurs permanents
Passer les rôles critiques en mode éligible
Exiger le MFA pour l’activation des rôles sensibles
Demander une justification à chaque activation
Ajouter une approbation pour les rôles les plus critiques
Configurer des durées d’activation courtes
Surveiller les notifications d’activation
Réaliser des revues d’accès régulièrement

L’objectif n’est pas de bloquer les administrateurs, mais de réduire la fenêtre d’exposition.

📌 Exemple concret

Prenons un administrateur qui doit modifier une stratégie d’accès conditionnel.

Sans PIM, il peut être Conditional Access Administrator en permanence.

Avec PIM, il est simplement éligible à ce rôle.

Lorsqu’il doit intervenir, il active le rôle pour une durée limitée, par exemple une heure.

Une fois l’intervention terminée, le rôle expire automatiquement.

Résultat :

Moins de privilèges permanents
Une meilleure traçabilité
Une réduction du risque en cas de compromission

🛠️ Mise en place de Microsoft Entra PIM

Maintenant que nous avons vu l’intérêt de PIM, passons à la configuration.

Dans cet exemple, nous allons voir comment rendre un administrateur éligible à un rôle afin qu’il puisse l’activer uniquement lorsque c’est nécessaire.

📍 Accéder à Privileged Identity Management

Depuis le portail Microsoft Entra :

Accédez à Identity Governance
Cliquez sur Privileged Identity Management

👤 Sélectionner les rôles Microsoft Entra

Dans le menu PIM :

Cliquez sur Microsoft Entra roles
Accédez à Roles
Sélectionnez le rôle que vous souhaitez sécuriser

Dans mon exemple, je vais utiliser le rôle :
Intune Administrator

➕ Ajouter un administrateur éligible

Une fois dans le rôle :

Cliquez sur Add assignments
Sélectionnez l’utilisateur concerné
Choisissez le type d’attribution :
- Eligible → recommandé
- Active → accès permanent
Définissez éventuellement une date d’expiration
Cliquer ensuite sur « Assign » en bas de l’écran

L’objectif est ici d’éviter les accès administrateurs permanents.

⏱️ Configurer les paramètres d’activation

PIM permet ensuite de configurer plusieurs paramètres de sécurité :

Durée maximale d’activation
Obligation du MFA
Justification obligatoire
Workflow d’approbation
Notifications par email

Ces paramètres sont accessibles depuis :
Role settings

Nous pouvons configurer ce rôle de cette manière :

8h d’activation maximum ( environ une journée de travail)
MFA obligatoire
Justification obligatoire

🔐 Activation du rôle par l’administrateur

Une fois configuré comme Eligible, l’administrateur devra activer son rôle lorsqu’il en aura besoin.

Pour cela :

Accéder à My roles
Sélectionner le rôle concerné
Cliquer sur Activate
Renseigner une justification
Valider le MFA si demandé

Le rôle sera alors activé temporairement selon la durée définie.

📊 Vérifier les activations et l’audit

Toutes les activations PIM sont journalisées.

Depuis le portail, vous pouvez :

Consulter les activations récentes
Voir qui a activé un rôle
Identifier les demandes refusées (si l’approbation est requise)
Analyser les historiques d’activation

Cela permet d’améliorer considérablement la traçabilité des accès administrateurs.

💬 Mon avis

Pour moi, PIM fait partie des fonctionnalités de sécurité à mettre en place en priorité sur un tenant Microsoft 365 professionnel.

Laisser des rôles comme Global Administrator actifs en permanence n’est plus une bonne pratique.

Avec Microsoft Entra PIM, les administrateurs gardent la possibilité d’intervenir rapidement, mais les droits élevés ne sont plus exposés inutilement.

C’est exactement l’approche attendue dans une stratégie Zero Trust moderne.

✅ Conclusion

Microsoft Entra Privileged Identity Management permet de mieux contrôler les accès administrateurs dans Microsoft 365.

Grâce aux activations temporaires, aux justifications, au MFA, aux approbations et à l’audit, PIM réduit fortement les risques liés aux comptes à privilèges.

Si vous administrez un environnement Microsoft 365, une question simple mérite d’être posée :

Avez-vous encore des Global Admin permanents sur votre tenant ?

Si la réponse est oui, il est probablement temps de regarder sérieusement du côté de PIM.