Stratégie d’accès conditionnel commune : Sécurisation de l’inscription des informations de sécurité

  • Article

La sécurisation de l’inscription des utilisateurs à l’authentification multifacteur Microsoft Entra et à la réinitialisation de mot de passe en libre-service est possible avec les actions de l’utilisateur dans une stratégie d’accès conditionnel. Cette fonctionnalité est accessible aux organisations qui ont activé l’inscription combinée. Cette fonctionnalité permet aux organisations de traiter le processus d’inscription comme n’importe quelle application dans une stratégie d’accès conditionnel et d’utiliser toute la puissance de l’accès conditionnel pour sécuriser l’expérience. Les utilisateurs qui se connectent à l’application Microsoft Authenticator ou qui activent la connexion par téléphone sans mot de passe sont soumis à cette stratégie.

Certaines organisations du passé peuvent avoir utilisé l’emplacement réseau approuvé ou la conformité des appareils comme un moyen de sécuriser l’inscription. Avec l’ajout du Passe d’accès temporaire dans Microsoft Entra ID, les administrateurs peuvent fournir des informations d’identification limitées dans le temps à leurs utilisateurs, ce qui leur permet de s’inscrire à partir de n’importe quel appareil ou emplacement. Les informations d’identification du passe d’accès temporaire répondent aux exigences d’accès conditionnel pour l’authentification multifacteur.

Déploiement de modèle

Les organisations peuvent choisir de déployer cette stratégie en suivant les étapes décrites ci-dessous ou en utilisant les modèles d'accès conditionnel.

Créer une stratégie pour sécuriser l’inscription

La stratégie suivante s’applique aux utilisateurs sélectionnés, qui tente de s’inscrire au moyen de l’inscription combinée. La stratégie exige que les utilisateurs se trouvent dans un emplacement réseau approuvé, qu’ils effectuent une authentification multifacteur ou qu’ils utilisent des informations d’identification de passe d’accès temporaire.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
  2. Accédez à Protection>Accès conditionnel.
  3. Sélectionnez Créer une stratégie.
  4. Sous Nom, entrez un nom pour cette stratégie. Par exemple, Inscription d’informations de sécurité combinée avec TAP.
  5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.

    1. Sous Inclure, sélectionnez Tous les utilisateurs.

      Avertissement

      Les utilisateurs doivent être activés pour l’inscription combinée.

    2. Sous Exclure.

      1. Sélectionnez Tous les utilisateurs invités et externes.

        Remarque

        Le Passe d’accès temporaire ne fonctionne pas pour les utilisateurs invités.

      2. Sélectionnez Utilisateurs et groupes et choisissez les comptes d’accès d’urgence ou de secours de votre organisation.

  6. Sous Ressources cibles>Actions utilisateur, cochez Enregistrer les informations de sécurité.
  7. Sous Conditions>Emplacements.
    1. Définissez Configurer sur Oui.
      1. Incluez N’importe quel emplacement.
      2. Excluez Tous les emplacements approuvés.
  8. Sous Contrôles d’accès>Octroyer.
    1. Sélectionnez Accorder l’accès, Exiger l’authentification multifacteur.
    2. Sélectionnez Sélectionner.
  9. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
  10. Sélectionnez Créer pour créer votre stratégie.

Une fois que les administrateurs ont confirmé les paramètres à l’aide du mode État uniquement, ils peuvent modifier la position du bouton bascule Activer la stratégie de État uniquement en Activé.

Les administrateurs doivent désormais émettre des informations d’identification de passe d’accès temporaire aux nouveaux utilisateurs pour qu’ils puissent répondre aux conditions requises pour l’inscription de l’authentification multifacteur. Les étapes pour accomplir cette tâche se trouvent dans la section Créer un passe d’accès temporaire dans le Centre d’administration Microsoft Entra.

Les organisations peuvent choisir d’exiger d’autres contrôles d’octroi avec ou à la place d’Exiger une authentification multifacteur à l’étape 8a. Lorsque vous sélectionnez plusieurs contrôles, veillez à activer la case d’option appropriée pour exiger l’ensemble ou l’un des contrôles sélectionnés lors de l’exécution de cette modification.

Inscription des utilisateurs invités

Pour les utilisateurs invités qui doivent s’inscrire à l’authentification multifacteur dans votre répertoire, vous pouvez choisir de bloquer l’inscription en dehors des emplacements réseau approuvés à l’aide du guide suivant.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
  2. Accédez à Protection>Accès conditionnel.
  3. Sélectionnez Créer une stratégie.
  4. Sous Nom, entrez un nom pour cette stratégie. Par exemple, Inscription d’informations de sécurité combinée sur les réseaux approuvés.
  5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
    1. Sous Inclure, sélectionnez Tous les utilisateurs invités et externes.
  6. Sous Ressources cibles>Actions utilisateur, cochez Enregistrer les informations de sécurité.
  7. Sous Conditions>Emplacements.
    1. Configurez Oui.
    2. Incluez N’importe quel emplacement.
    3. Excluez Tous les emplacements approuvés.
  8. Sous Contrôles d’accès>Octroyer.
    1. Sélectionnez Bloquer l’accès.
    2. Puis cliquez sur Sélectionner.
  9. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
  10. Sélectionnez Créer pour créer votre stratégie.

Une fois que les administrateurs ont confirmé les paramètres à l’aide du mode État uniquement, ils peuvent modifier la position du bouton bascule Activer la stratégie de État uniquement en Activé.

Contenu connexe