Microsoft Defender for Identity (anciennement Azure ATP) est une solution de cybersécurité qui détecte, examine et bloque les attaques visant les identités, sur les environnements locaux, cloud et hybrides.

À partir de capteurs installés sur les contrôleurs de domaine et les serveurs d’identité, elle surveille les signaux d’Active Directory et de Microsoft Entra ID, et repère par analyse comportementale les comportements suspects, du repérage initial à la prise de contrôle du domaine. Elle fait partie de la suite Microsoft Defender XDR. 

Ce guide explique ce qu’est Defender for Identity, pourquoi la protection des identités est devenue prioritaire, son fonctionnement, les menaces qu’il détecte, la gestion de la posture, son intégration à Defender XDR, les licences et le déploiement. 

Qu’est-ce que Microsoft Defender for Identity ? 

Defender for Identity aide les organisations à détecter, examiner et répondre aux attaques fondées sur l’identité.

Les attaquants ciblent fréquemment les comptes utilisateurs, les applications et les comptes de service pour obtenir un accès, élever leurs privilèges et maintenir leur présence dans le système d’information.

La solution surveille les signaux d’identité issus d’Active Directory local, de Microsoft Entra ID et d’autres solutions de gestion des identités comme Okta. 

Son moteur combine analyse comportementale, renseignement sur les menaces et modèles d’attaque connus pour repérer les activités suspectes tout au long du cycle de vie d’une attaque d’identité.

Anciennement nommée Azure Advanced Threat Protection (Azure ATP), elle s’inscrit dans la catégorie ITDR (détection et réponse aux menaces d’identité) et succède à l’ancienne solution Advanced Threat Analytics (ATA), dont le support étendu s’est achevé en janvier 2026. 

Pourquoi protéger les identités est-il devenu prioritaire ? 

L’identité est devenue le nouveau périmètre de sécurité. Avec le cloud et le travail hybride, les défenses réseau traditionnelles ne suffisent plus : un attaquant qui détient des identifiants valides entre par la porte, sans déclencher d’alerte de périmètre. La compromission d’identifiants, par hameçonnage, force brute ou vol, est aujourd’hui l’un des premiers vecteurs d’intrusion. 

Active Directory occupe une place centrale dans ce risque. Cœur de l’authentification de la plupart des organisations, il est aussi la cible privilégiée des attaques, notamment des rançongiciels, qui cherchent à s’en emparer pour se propager et tout chiffrer.

Détecter au plus tôt une reconnaissance, un mouvement latéral ou une tentative d’élévation de privilèges dans l’annuaire est donc déterminant pour stopper une attaque avant qu’elle n’atteigne la domination du domaine. 

CTA_Tendances Infra 2026

Comment fonctionne Defender for Identity ? 

Defender for Identity repose sur des capteurs installés sur l’infrastructure d’identité locale.

On les déploie sur tous les contrôleurs de domaine, y compris les contrôleurs en lecture seule (RODC), ainsi que sur les serveurs AD FS, AD CS et, depuis la version 3.x du capteur, sur les serveurs exécutant Microsoft Entra Connect.

Ces capteurs collectent les signaux pertinents (trafic réseau, journaux d’événements Windows, suivi d’événements ETW) et les transmettent au service cloud pour analyse. 

Le capteur de dernière génération est fourni comme composant de Microsoft Defender for Endpoint et se met à jour automatiquement, sans intervention manuelle.

La solution prend en charge les environnements multi-forêts et, dans ses versions récentes, jusqu’à 1 000 capteurs par espace de travail.

Pour fonctionner pleinement, elle requiert l’activation de certains audits Windows et d’un audit RPC étendu, qui débloquent des détections supplémentaires. Un script de vérification, Test-MdiReadiness.ps1, contrôle que l’environnement remplit les prérequis. 

# Vérifier que l'environnement remplit les prérequis 

Test-MdiReadiness.ps1 

Quelles menaces Defender for Identity détecte-t-il ? 

La solution couvre les différentes phases d’une attaque d’identité, du repérage initial à la prise de contrôle complète de l’annuaire. Le tableau ci-dessous en donne des exemples représentatifs. 

Phase de l’attaque Exemples de menaces détectées
Reconnaissance Énumération des comptes et des groupes, reconnaissance via SAMR, requêtes LDAP suspectes 
Compromission d’identifiants Force brute, pulvérisation de mots de passe (password spraying), Pass-the-Hash 
Mouvement latéral Pass-the-Ticket, Overpass-the-Hash, déplacement à haut risque entre machines 
Domination du domaine Golden Ticket, DCSync, DCShadow, manipulation des contrôleurs de domaine 
Faiblesses exploitables Délégation Kerberos sans contrainte, Kerberoasting, comptes à privilèges exposés 

L’intérêt de cette approche est de raisonner en chaîne d’attaque plutôt qu’en alertes isolées. En reliant une reconnaissance, un mouvement latéral et une tentative de domination, Defender for Identity reconstitue le scénario d’un attaquant et permet d’intervenir avant l’étape fatale.

Il signale aussi des faiblesses de configuration facilement exploitables, comme la délégation Kerberos sans contrainte, pour correction par l’équipe de sécurité. 

La gestion de la posture des identités (ISPM) 

Au-delà de la détection, Defender for Identity évalue la posture de sécurité des identités, une approche appelée ISPM (Identity Security Posture Management).

Intégrées au degré de sécurité Microsoft (Secure Score), ces évaluations identifient les erreurs de configuration courantes et les composants exploitables, puis proposent des chemins de correction hiérarchisés pour réduire la surface d’attaque. 

La logique est complémentaire de la détection : plutôt que d’attendre l’attaque, on corrige en amont les faiblesses qui la rendraient possible.

Délégations dangereuses, comptes à privilèges mal protégés, protocoles hérités : autant de points que la posture met en lumière. Les versions récentes étendent ces recommandations aux rôles d’identité supplémentaires comme AD FS, AD CS et Entra Connect. 

Defender for Identity dans la suite Defender XDR 

Defender for Identity n’agit pas en silo. Ses signaux alimentent Microsoft Defender XDR, la plateforme de détection et de réponse étendue qui unifie les protections des points de terminaison, des identités, de la messagerie Microsoft 365 et des charges cloud.

Les alertes d’identité sont ainsi corrélées avec celles des autres domaines pour reconstituer des incidents complets : une compromission de messagerie suivie d’un mouvement latéral dans l’annuaire apparaît comme un seul incident, et non comme des alertes éparses. 

Cette intégration ouvre la chasse aux menaces avancée (Advanced Hunting) en langage de requête KQL, sur des tables comme IdentityLogonEvents, et permet des réponses automatisées, par exemple la désactivation d’un compte compromis.

Pour un centre opérationnel de sécurité (SOC), la valeur tient à cette vision unifiée plutôt qu’à une console de plus. 

DÉMARRER VOTRE PROJET

Quelles licences pour Defender for Identity ? 

Le déploiement de Defender for Identity nécessite l’une des licences Microsoft 365 éligibles : Microsoft 365 E5, E5 Security, Enterprise Mobility + Security E5 (EMS E5), ou une licence Defender for Identity autonome, avec des variantes F5 pour les profils de première ligne.

La création de l’espace de travail suppose un locataire Microsoft Entra ID, et le déploiement requiert le rôle d’administrateur de la sécurité ou des autorisations équivalentes. 

Le coût n’est pas négligeable : la licence E5, qui inclut Defender for Identity parmi de nombreux services, se situe autour de 57 € par utilisateur et par mois, ce qui peut peser pour les PME.

L’arbitrage consiste à rapprocher ce coût de la valeur d’une suite de sécurité complète et du risque réel pesant sur l’annuaire, sachant qu’une compromission d’Active Directory peut paralyser toute l’organisation. 

Comment déployer Defender for Identity ? 

Le déploiement de Microsoft Defender for Identity repose sur une approche méthodique, combinant préparation de l’environnement, installation des capteurs et configuration des mécanismes d’audit nécessaires à la détection des menaces.

Au-delà de la simple activation du service, l’objectif est d’assurer une visibilité complète sur les identités Active Directory et hybrides, tout en évitant les zones non supervisées susceptibles d’être exploitées par des attaquants.

Les principales étapes à suivre sont les suivantes :

Quelles sont les bonnes pratiques pour déployer Defender for Identity ?

Le déploiement de Defender for Identity ne constitue qu’une première étape : la qualité de la protection dépend ensuite de la couverture réelle de l’environnement, de la configuration des mécanismes de détection et de la capacité à intégrer les signaux de sécurité dans une démarche globale de gestion des identités.

Certaines bonnes pratiques permettent de réduire les angles morts, d’améliorer la pertinence des alertes et d’exploiter pleinement les capacités de Microsoft Defender XDR :

FAQ : Defender for Identity 

Quelle est la différence entre Defender for Identity et Defender for Endpoint ? 

Defender for Identity protège la couche identité (Active Directory, Entra ID) en détectant les attaques sur les comptes et l’annuaire. Defender for Endpoint protège les postes et serveurs (antivirus de nouvelle génération, EDR). Les deux sont complémentaires et se corrèlent au sein de Defender XDR. 

Defender for Identity remplace-t-il Azure ATP et ATA ? 

Oui. Azure ATP a été renommé Microsoft Defender for Identity. Advanced Threat Analytics (ATA), la solution sur site plus ancienne, est en fin de vie : son support étendu s’achève en janvier 2026, et Defender for Identity en est le successeur cloud. 

Quelles menaces détecte-t-il concrètement ? 

Les attaques d’identité sur tout leur cycle : reconnaissance, compromission d’identifiants (force brute, Pass-the-Hash), mouvement latéral (Pass-the-Ticket), domination du domaine (Golden Ticket, DCSync), ainsi que des faiblesses exploitables comme la délégation Kerberos sans contrainte ou le Kerberoasting. 

Faut-il l’installer sur tous les contrôleurs de domaine ? 

Oui. Les capteurs se déploient sur l’ensemble des contrôleurs de domaine, y compris en lecture seule (RODC), et sur les serveurs AD FS, AD CS et Entra Connect. Un contrôleur sans capteur constitue un angle mort pour la détection. 

Quelle licence faut-il ? 

Une licence éligible : Microsoft 365 E5, E5 Security, Enterprise Mobility + Security E5, ou Defender for Identity autonome. Un locataire Microsoft Entra ID et le rôle d’administrateur de la sécurité sont également requis pour le déploiement. 

DISCUTONS