Accès conditionnel : Valeurs de résilience par défaut

En cas de panne du service d’authentification principal, le service d’authentification Microsoft Entra Backup peut automatiquement émettre des jetons d’accès aux applications pour des sessions existantes. Cette fonctionnalité augmente considérablement la résilience de Microsoft Entra, car les nouvelles authentifications des sessions existantes représentent plus de 90 % des authentifications auprès de Microsoft Entra ID. Le service d’authentification de sauvegarde ne prend pas en charge les nouvelles sessions ou les authentifications par les utilisateurs invités.

Pour les authentifications protégées par l’accès conditionnel, les stratégies sont réévaluées avant l’émission des jetons d’accès pour déterminer les éléments suivants :

1. Quelles stratégies d’accès conditionnel s’appliquent ?
2. Pour les stratégies qui s’appliquent, les contrôles requis ont-ils été effectués ?

Pendant une panne, toutes les conditions ne peuvent pas être évaluées en temps réel par le service d’authentification de sauvegarde pour déterminer si une stratégie d’accès conditionnel doit s’appliquer. Les valeurs par défaut de résilience d’accès conditionnel sont un nouveau contrôle de session qui permet aux administrateurs de décider de ce qui suit :

• S’il faut bloquer les authentifications pendant une panne quand une condition de stratégie ne peut pas être évaluée en temps réel.
• Autoriser l’évaluation des stratégies à l’aide des données collectées au début de la session de l’utilisateur.

Important

Les valeurs de résilience par défaut sont automatiquement activées pour toutes les stratégies nouvelles et existantes. Microsoft recommande vivement de les laisser activées pour atténuer l’impact d’une panne. Les administrateurs peuvent désactiver les valeurs de résilience par défaut pour les stratégies d’accès conditionnel individuelles.

Comment fonctionne-t-il ?

Pendant une panne, le service d’authentification de secours réémet automatiquement des jetons d’accès pour certaines sessions :

Description de la session	Accès accordé
Nouvelle session	Non
Session existante : Aucune stratégie d’accès conditionnel n’est configurée	Oui
Session existante : Des stratégies d’accès conditionnel configurées et les contrôles requis, comme l’authentification multifacteur, ont été effectués précédemment	Oui
Session existante : Des stratégies d’accès conditionnel configurées et les contrôles requis, comme l’authentification multifacteur, n’ont pas été effectués précédemment	Déterminé par les valeurs de résilience par défaut

Lorsqu’une session existante expire lors d’une panne de Microsoft Entra, la demande de nouveau jeton d’accès est acheminée vers le service d’authentification de sauvegarde et toutes les stratégies d’accès conditionnel sont réévaluées. S’il n’existe aucune stratégie d’accès conditionnel ou si tous les contrôles requis, tels que l’authentification multifacteur, ont déjà été effectués au début de la session, le service d’authentification de secours émet un nouveau jeton d’accès pour prolonger la session.

Si les contrôles requis d’une stratégie n’ont pas été effectués précédemment, la stratégie est réévaluée pour déterminer si l’accès doit être accordé ou refusé. Toutefois, toutes les conditions ne peuvent pas être réévaluées en temps réel pendant une panne. Ces conditions sont notamment les suivantes :

• Appartenance au groupe
• Appartenance au rôle
• Risque à la connexion
• Risque de l’utilisateur
• Localisation du pays/de la région (résolution des nouvelles coordonnées IP ou GPS)
• Forces d’authentification

Lorsqu’il est actif, le service d’authentification de sauvegarde n’évalue pas les méthodes d’authentification requises par les forces d’authentification. i vous avez utilisé une méthode d’authentification non résistante au hameçonnage avant une panne, pendant une panne, vous n’êtes pas invité à effectuer une authentification multifacteur même si vous accédez à une ressource protégée par une stratégie d’accès conditionnel avec une force d’authentification résistante au hameçonnage.

Valeurs de résilience par défaut activées

Lorsque les valeurs de résilience par défaut sont activées, le service d’authentification de secours utilise les données collectées au début de la session pour déterminer si la stratégie doit s’appliquer en l’absence de données en temps réel. Par défaut, les valeurs de résilience par défaut sont activées pour toutes les stratégies. Ce paramètre peut être désactivé pour des stratégies individuelles lorsque l’évaluation de la stratégie en temps réel est nécessaire pour accéder à des applications sensibles pendant une panne.

Exemple : une stratégie avec des valeurs par défaut de résilience activée nécessite que tous les utilisateurs avec un rôle privilégié qui accèdent aux portails d’administration Microsoft utilisent l’authentification multifacteur. Avant une panne, si un utilisateur qui n’a pas le rôle Administrateur général accède au portail Azure, la stratégie ne s’applique pas et l’utilisateur reçoit l’accès sans être invité à utiliser l’authentification multifacteur. Pendant une panne, le service d’authentification de secours réévalue la stratégie pour déterminer si l’utilisateur doit être invité à utiliser l’authentification multifacteur. Étant donné que le service d’authentification de secours ne peut pas évaluer l’appartenance à un rôle en temps réel, il utilise les données collectées au début de la session de l’utilisateur pour déterminer que la stratégie ne s’applique toujours pas. Par conséquent, l’utilisateur se voit accorder l’accès sans être invité à utiliser l’authentification multifacteur.

Valeurs de résilience par défaut désactivées

Lorsque les valeurs de résilience par défaut sont désactivées, le service d’authentification de secours n’utilise pas les données collectées au début de la session pour évaluer les conditions. Pendant une panne, si une condition de stratégie ne peut pas être évaluée en temps réel, l’accès est refusé.

Exemple : une stratégie avec des valeurs par défaut de résilience désactivée nécessite que tous les utilisateurs avec un rôle privilégié qui accèdent aux portails d’administration Microsoft utilisent l’authentification multifacteur. Avant une panne, si un utilisateur qui n’a pas le rôle Administrateur général accède au portail Azure, la stratégie ne s’applique pas et l’utilisateur reçoit l’accès sans être invité à utiliser l’authentification multifacteur. Pendant une panne, le service d’authentification de secours réévalue la stratégie pour déterminer si l’utilisateur doit être invité à utiliser l’authentification multifacteur. Étant donné que le service d’authentification de secours ne peut pas évaluer l’appartenance à un rôle en temps réel, il empêche l’utilisateur d’accéder au portail Azure.

Avertissement

La désactivation des valeurs de résilience par défaut pour une stratégie qui s’applique à un groupe ou à un rôle réduit la résilience pour tous les utilisateurs de votre locataire. Comme l’appartenance à un groupe ou à un rôle ne peut pas être évaluée en temps réel pendant une panne, même les utilisateurs qui n’appartiennent pas au groupe ou au rôle attribué à la stratégie se verront refuser l’accès à l’application concernée par la stratégie. Pour éviter de réduire la résilience pour tous les utilisateurs qui ne sont pas concernés par la stratégie, envisagez d’appliquer la stratégie à des utilisateurs individuels plutôt qu’à des groupes ou des rôles.

Test des valeurs de résilience par défaut

Pour l’instant, il n’est pas possible d’effectuer un test à l’aide du service d’authentification de secours ni de simuler le résultat d’une stratégie dont les valeurs de résilience par défaut sont activées ou désactivées. Microsoft Entra effectue des exercices mensuels en utilisant le service d’authentification de sauvegarde. Les journaux de connexion s’affichent si le service d’authentification de sauvegarde a été utilisé pour émettre le jeton d’accès. Dans le panneau Identité>Surveillance et intégrité>Journaux d’activité de connexion, vous pouvez ajouter le filtre « Type d’émetteur de jeton == Microsoft Entra Backup Auth » pour afficher les journaux traités par le service d’authentification de sauvegarde Microsoft Entra.

Configuration des valeurs de résilience par défaut

Vous pouvez configurer les valeurs de résilience par défaut de l’accès conditionnel à partir du Centre d’administration Microsoft Graph, des API MS Graph ou de PowerShell.

Centre d'administration Microsoft Entra

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
2. Accédez à Protection>Accès conditionnel.
3. Créez une nouvelle stratégie ou sélectionnez une stratégie existante.
4. Ouvrez les paramètres de contrôle de session.
5. Sélectionnez Désactiver les valeurs de résilience par défaut pour désactiver le paramètre pour cette stratégie. Les connexions dans l’étendue de la stratégie sont bloquées lors d’une panne de Microsoft Entra
6. Enregistrez les modifications apportées à la stratégie.

API MS Graph

Vous pouvez également gérer les valeurs de résilience par défaut pour vos stratégies d’accès conditionnel à l’aide de l’API MS Graph et de Microsoft Graph Explorer.

Exemple d’URL de la demande :

PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId

Exemple de corps de la demande :

{
"sessionControls": {
"disableResilienceDefaults": true
}
}

PowerShell

Cette opération de correction peut être déployée à l’aide de Microsoft PowerShell après l’installation du module Microsoft.Graph.Authentication. Pour installer ce module, ouvrez une invite PowerShell avec élévation de privilèges et exécutez :

Install-Module Microsoft.Graph.Authentication

Connectez-vous à Microsoft Graph en demandant les étendues requises :

Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>

Authentifiez-vous lorsque vous y êtes invité.

Créez le corps JSON de la requête PATCH :

$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'

Exécutez l’opération de correction :

Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody

Recommandations

Microsoft recommande d’activer les valeurs de résilience par défaut. Bien qu’il n’y ait pas de problèmes de sécurité directs, les clients doivent déterminer s’ils souhaitent permettre au service d’authentification de secours d’évaluer les stratégies d’accès conditionnel pendant une panne en utilisant les données collectées au début de la session, par opposition à en temps réel.

Il est possible que l’appartenance d’un utilisateur à un rôle ou à un groupe ait changé depuis le début de la session. Grâce à Évaluation continue de l’accès, les jetons d’accès sont valides pendant 24 heures, mais sont soumis à des événements de révocation instantanée. Le service d’authentification de secours s’abonne aux mêmes événements de révocation Évaluation continue de l’accès. Si le jeton d’un utilisateur est révoqué dans le cadre d’Évaluation continue de l’accès, l’utilisateur ne peut pas se connecter pendant une panne. Lorsque les valeurs de résilience par défaut sont activées, les sessions existantes qui expirent pendant une panne sont prolongées. Les sessions sont prolongées même si la stratégie a été configurée avec un contrôle de session pour imposer une fréquence de connexion. Par exemple, une stratégie dont les valeurs de résilience par défaut sont activées peut exiger que les utilisateurs se réauthentifient toutes les heures pour accéder à un site SharePoint. Lors d’une panne, la session de l’utilisateur sera prolongée même si Microsoft Entra ID n’est peut-être pas disponible pour réauthentifier l’utilisateur.

Étapes suivantes

• Évaluation continue de l’accès