# Configuration de l'ITP de CrowdStrike avec Entra ID
{% hint style="info" %}
Avant de commencer l’intégration, assurez-vous que :
* Vous disposez d’une licence Entra ID payante ([Microsoft Entra ID](https://entra.microsoft.com) La version gratuite n’est pas prise en charge).
* Le compte utilisé dispose des droits d’administrateur global sur votre compte Entra ID.
{% endhint %}
## Objectif d’ITP
L’option ITP (Identity Threat Protection) surveille en continu les activités liées au compte et Active Directory afin de détecter les comportements anormaux.
#### Analyse comportementale centrée sur l’identité
* Authentifications suspectes
* Schémas d’accès inhabituels
* Tentatives de connexion non autorisées
* Anomalies des comptes utilisateur
Exemples d’événements détectés : connexions suspectes de poste de travail à serveur, analyses réseau, tentatives par force brute ou extraction d’identifiants. Lorsqu’un événement critique est identifié, le module peut **le bloquer automatiquement**.
#### Évaluation de votre posture de sécurité Active Directory
Le module fournit une vue d’ensemble en temps réel de la sécurité de votre Active Directory, similaire au scan Stoïk Protect AD mais avec des options plus avancées :
* Identification des problèmes de configuration
* Détection des comptes dont les mots de passe ont été compromis
* Gestion et contrôle des privilèges utilisateurs
#### Surveillance des menaces cloud (facultatif)
Lorsqu’il est configuré avec votre service d’identité (par ex. Entra ID), ITP peut détecter des menaces dans vos environnements cloud :
* Connexions depuis des adresses IP suspectes
* Tentatives d'accès anormales aux comptes utilisateur
## Intégration
L’intégration nécessite les étapes suivantes pour **chaque tenant Azure**.
{% stepper %}
{% step %}
### Créer et configurer une application dans Entra ID
1. Dans le portail Azure, ouvrez le menu de gauche et cliquez sur `Microsoft Entra ID`.
2. Depuis le `Ajouter` menu, sélectionnez `App registrations`.
3. Sur la `Enregistrer une application` page :
* Sous `Nom`, entrez un nom correspondant à vos conventions internes, ou utilisez `stoik-connector-itp`.
* Sous `Types de comptes pris en charge`, sélectionnez `Comptes dans ce seul annuaire d’organisation`.
* Sous `URI de redirection`, sélectionnez `Web` et saisissez `https://localhost`.
* Cliquez sur `Enregistrer`.
4. Dans le menu de gauche de l’application, cliquez sur `Autorisations API`.
5. Cliquez sur `Ajouter une autorisation`.
6. Dans la `Panneau Demander des autorisations d’API` du panneau, cliquez sur `Microsoft Graph`, puis sélectionnez `Autorisations d’application`.
7. Dans `Sélectionner des autorisations`:
* Type `annuaire`, développez `Annuaire`, et sélectionnez `Directory.Read.All`.
* Type `audit`, développez `AuditLog`, et sélectionnez `AuditLog.Read.All`.
8. Cliquez sur `Ajouter les autorisations`, puis cliquez sur `Accorder le consentement de l’administrateur` et confirmez.
{% endstep %}
{% step %}
### Récupérer le domaine du tenant
1. Dans le portail Azure, accédez à `Microsoft Entra ID`.
2. Dans le menu de gauche, cliquez sur `Vue d'ensemble`.
3. Notez la valeur du `domaine principal` (par ex. `example.onmicrosoft.com`).
{% endstep %}
{% step %}
### Récupérer l’ID et le secret de l’application
1. Dans Microsoft Entra ID, accédez à `App registrations` et sélectionnez votre application.
2. Dans `Vue d'ensemble`, notez le `ID d’application (client)`.
3. Dans `Certificats et secrets`, créez un nouveau secret client : fournissez une description et une durée d’expiration.
4. Enregistrez immédiatement la valeur générée. Elle ne sera plus visible.
{% endstep %}
{% step %}
### Créer un rôle personnalisé pour l’accès RBAC
Pour afficher les informations d’attribution de rôles Azure RBAC dans Identity Protection, l’application doit recevoir l’autorisation de lire les définitions et les attributions RBAC.
#### Créer le rôle personnalisé
1. Dans le portail Azure, accédez à `Groupes de gestion`.
2. Cliquez sur `Groupe racine du tenant`.
3. Sélectionner `Contrôle d’accès (IAM)`, puis cliquez sur `Rôles`.
4. Cliquez sur `Ajouter`, puis sélectionnez `Ajouter un rôle personnalisé`.
5. Dans la `Notions de base` onglet, saisissez un nom explicite (par ex. `Identity Protection RBAC Reader`).
6. Dans la `Autorisations` onglet, ajoutez les autorisations suivantes :
```
Microsoft.Authorization/roleDefinitions/read
```
```
Microsoft.Authorization/roleAssignments/read
```
7. Cliquez sur `Révision + création`, puis `Créer`.
#### Attribuer le rôle personnalisé
1. Dans le portail Azure, accédez à `Groupes de gestion`.
2. Cliquez sur `Groupe racine du tenant`.
3. Sélectionner `Contrôle d’accès (IAM)`, puis cliquez sur `Attributions de rôles`.
4. Cliquez sur `Ajouter`, puis sélectionnez `Ajouter une attribution de rôle`.
5. Dans la `Rôle` onglet, sélectionnez le rôle personnalisé que vous venez de créer.
6. Dans la `Membres` onglet, cliquez sur `Sélectionner des membres`, recherchez l’application créée précédemment (par ex. `stoik-connector-itp`), sélectionnez-la et cliquez sur `Sélectionner`.
7. Cliquez sur `Vérifier + attribuer`, puis `Vérifier + attribuer` à nouveau pour confirmer.
{% endstep %}
{% step %}
### Transmettre les informations à Stoïk
{% hint style="info" %}
Si vous avez un accès direct à votre plateforme Falcon ITP, ignorez cette étape et passez à la suivante.
{% endhint %}
Envoyez les informations suivantes à :
* Nom de domaine principal du tenant (se terminant par `onmicrosoft.com`)
* ID d’application
* Secret d’application
{% endstep %}
{% step %}
### Configurer le connecteur dans Identity Protection
1. Dans la console Falcon, allez à `Identity Protection` > `Configurer` > `Connecteurs`.
2. Sélectionner `Entra` sous la `IDAAS` catégorie.
3. Configurez le connecteur avec le nom de domaine principal du tenant, l’ID d’application et le secret d’application.
4. Activez l’option de collecte des données de connexion.
5. Enregistrez la configuration.
L’indicateur d’état devient vert en moins d’une minute, confirmant que la connexion a bien été établie.
{% hint style="info" %}
Le nom de domaine principal du tenant à utiliser est celui généré par Microsoft lors de la création de votre tenant Azure. Il se termine toujours par `onmicrosoft.com`.
{% endhint %}
{% endstep %}
{% step %}
### Accorder à Stoïk l’accès à la remédiation
En cas de compromission de compte pendant la nuit ou le week-end, vos équipes peuvent ne pas être disponibles pour effectuer la remédiation. Nous recommandons d’accorder l’accès afin de permettre la désactivation des comptes impactés en cas de compromission confirmée.
Cliquez sur le [lien fourni](https://login.microsoftonline.com/organizations/adminconsent?client_id=72f25200-dfe6-4c66-959d-103731ae6215\&redirect_uri=https://login.microsoftonline.com/common/oauth2/nativeclient), examinez les autorisations demandées, puis cliquez sur `Accepter`. Vous serez redirigé vers une page blanche que vous pouvez fermer.
L’application ne dispose que des autorisations nécessaires pour activer ou désactiver des comptes existants, sans possibilité de créer des comptes ni de modifier d’autres attributs. Chaque action est authentifiée via MFA, consignée et horodatée. Un journal d’audit complet peut être fourni sur demande.
{% endstep %}
{% endstepper %}
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.stoik.io/help/help-center-fr/stoik-mdr/edr-setup-crowdstrike/edr-options/setup-crowdstrikes-itp-with-entra-id.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
