Configurer et activer des stratégies de risque

Comme nous l’avons appris dans l’article précédent, Stratégies d’accès basées sur les risques, il existe deux types de stratégies de risque dans l’accès conditionnel Azure Active Directory (Azure AD) que vous pouvez configurer pour automatiser la réponse aux risques et permettre aux utilisateurs de se corriger automatiquement lorsque le risque est détecté :

  • Stratégie en matière de risque à la connexion
  • Stratégie de risque d’utilisateur

Capture d’écran d’une stratégie d’accès conditionnel montrant le risque sous forme de conditions.

Choix des niveaux de risque acceptables

Les organisations doivent déterminer le niveau de risque qu’elles veulent que le contrôle d’accès exige entre l’expérience utilisateur et la posture de sécurité.

La sélection d’un niveau de risque Élevé réduit la fréquence de déclenchement d’une stratégie et minimise l’impact sur les utilisateurs. Cependant, cela a pour effet d’exclure les risques Faible et Moyen. Par conséquent, il se peut qu’un cybercriminel soit en mesure d’exploiter une identité compromise. La sélection d’un niveau de risque Faible pour exiger un contrôle d’accès introduit davantage d’interruptions utilisateur.

Les emplacements réseau approuvés qui ont été configurés sont utilisés par Identity Protection dans certaines détections de risques afin de réduire les faux positifs.

Mesures de correction des risques

Les organisations peuvent choisir de bloquer l’accès en cas de détection d’un risque. Le blocage empêche parfois les utilisateurs légitimes de faire ce dont ils ont besoin. Une meilleure solution consiste à autoriser l’auto-correction à l’aide de l’authentification multifacteur (MFA) Azure AD et de la réinitialisation sécurisée de mot de passe en libre-service (SSPR).

Avertissement

Les utilisateurs doivent s’inscrire à Azure AD MFA et SSPR avant de faire face à une situation nécessitant une correction. Les utilisateurs qui ne sont pas inscrits sont bloqués et ont besoin de l’intervention d’un administrateur.

La modification du mot de passe (je connais mon mot de passe et je souhaite le remplacer par un nouveau) en dehors du processus risqué de correction de stratégie utilisateur ne répond pas aux exigences de réinitialisation de mot de passe sécurisé.

Recommandation de Microsoft

Microsoft recommande les configurations de stratégie de risque ci-dessous pour protéger votre organisation :

  • Stratégie de risque d’utilisateur
    • Exiger une réinitialisation de mot de passe sécurisée lorsque le niveau de risque de l’utilisateur est Élevé. Azure AD MFA est requis avant que l’utilisateur puisse créer un nouveau mot de passe avec SSPR pour corriger son risque.
  • Stratégie en matière de risque à la connexion
    • Exiger l’authentification multifacteur Azure AD lorsque le niveau de risque de connexion est moyen ou élevé, ce qui permet aux utilisateurs de les prouver à l’aide de l’une de leurs méthodes d’authentification inscrites, en corrigeant le risque de connexion.

Exiger un contrôle d’accès lorsque le niveau de risque est faible introduit davantage d’interruptions utilisateur. Le choix de bloquer l’accès au lieu d’autoriser les options d’auto-correction, telles que la réinitialisation sécurisée du mot de passe et l’authentification multifacteur, aura un impact sur vos utilisateurs et vos administrateurs. Réfléchissez à ces choix lorsque vous configurez vos stratégies.

Exclusions

Les stratégies permettent d’exclure des utilisateurs, tels que vos comptes d’administrateur d’accès en urgence ou d’interruption. Les organisations peuvent avoir besoin d’exclure d’autres comptes de stratégies spécifiques en fonction de la façon dont les comptes sont utilisés. Les exclusions doivent être examinées régulièrement pour déterminer si elles sont toujours applicables.

Activer les stratégies

Les organisations peuvent choisir de déployer ces stratégies basées sur les risques dans l’accès conditionnel en suivant les étapes décrites ci-dessous ou à l’aide des modèles d’accès conditionnel (préversion).

Avant que les organisations activent les stratégies de correction, elles peuvent vouloir examiner et corriger tout risque actif.

Stratégie de risque utilisateur dans l’accès conditionnel

  1. Connectez-vous au portail Azure en tant qu’administrateur de l’accès conditionnel, administrateur de la sécurité ou administrateur général.
  2. Accédez à Azure Active DirectorySécuritéAccès conditionnel.
  3. Sélectionnez Nouvelle stratégie.
  4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
  5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
    1. Sous Inclure, sélectionnez Tous les utilisateurs.
    2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
    3. Sélectionnez Terminé.
  6. Sous Applications ou actions cloud>Inclure, sélectionnez Toutes les applications cloud.
  7. Dans Conditions>des risques utilisateur, définissez Configurer sur Oui.
    1. Sous Configurer les niveaux de risque utilisateur nécessaires à l’application de la stratégie, sélectionnez Élevé. (Ce guide est basé sur les recommandations de Microsoft et peut être différent pour chaque organisation)
    2. Sélectionnez Terminé.
  8. Sous Contrôles d’accès>Octroyer.
    1. Sélectionnez Accorder l’accès, Nécessite une modification du mot de passe.
    2. Sélectionnez Sélectionner.
  9. Sous Session.
    1. Sélectionnez Fréquence de connexion.
    2. Vérifiez que À chaque fois est sélectionné.
    3. Sélectionnez Sélectionner.
  10. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
  11. Sélectionnez Créer pour créer votre stratégie.

Une fois que vous avez confirmé vos paramètres à l’aide du mode rapport uniquement, un administrateur peut modifier la position du bouton bascule Activer la stratégie de Rapport seul sur Activé.

Stratégie de connexion à risque dans l’accès conditionnel

  1. Connectez-vous au portail Azure en tant qu’administrateur de l’accès conditionnel, administrateur de la sécurité ou administrateur général.
  2. Accédez à Azure Active DirectorySécuritéAccès conditionnel.
  3. Sélectionnez Nouvelle stratégie.
  4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
  5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
    1. Sous Inclure, sélectionnez Tous les utilisateurs.
    2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
    3. Sélectionnez Terminé.
  6. Sous Applications ou actions cloud>Inclure, sélectionnez Toutes les applications cloud.
  7. Dans Conditions>Risque de connexion, définissez Configurer sur Oui. Sous Sélectionner le niveau de risque de connexion auquel cette stratégie s’applique. (Ce guide est basé sur les recommandations de Microsoft et peut être différent pour chaque organisation)
    1. Sélectionnez Haut et Moyen.
    2. Sélectionnez Terminé.
  8. Sous Contrôles d’accès>Octroyer.
    1. Sélectionnez Accorder l’accès, Exiger l’authentification multifacteur.
    2. Sélectionnez Sélectionner.
  9. Sous Session.
    1. Sélectionnez Fréquence de connexion.
    2. Vérifiez que À chaque fois est sélectionné.
    3. Sélectionnez Sélectionner.
  10. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
  11. Sélectionnez Créer pour créer votre stratégie.

Une fois que vous avez confirmé vos paramètres à l’aide du mode rapport uniquement, un administrateur peut modifier la position du bouton bascule Activer la stratégie de Rapport seul sur Activé.

Migrer des stratégies de risque d’Identity Protection vers l’accès conditionnel

Bien que Identity Protection fournisse également deux stratégies de risque avec des conditions limitées, nous vous recommandons vivement de configurer des stratégies basées sur les risques dans l’accès conditionnel pour les avantages suivants :

  • des données de diagnostic améliorées ;
  • l’intégration du mode rapport uniquement ;
  • la prise en charge de l'API Graph.
  • Utiliser des attributs d’accès conditionnel supplémentaires comme la fréquence de connexion dans la stratégie

Si vous avez déjà activé des stratégies de risque dans Identity Protection, nous vous recommandons vivement de les migrer vers l’accès conditionnel :

Captures d’écran montrant la migration d’une stratégie de risque de connexion vers l’accès conditionnel.

Migration vers l’accès conditionnel

  1. Créez une stratégie équivalentebasée sur les risques utilisateur et basée sur les risques de connexion dans l’accès conditionnel en mode rapport uniquement. Vous pouvez créer une stratégie en suivant les étapes ci-dessus ou en utilisant des modèles d’accès conditionnel en fonction des recommandations de Microsoft et de vos exigences organisationnelles.
    1. Vérifiez que la nouvelle stratégie de risque d’accès conditionnel fonctionne comme prévu en le testant en mode rapport uniquement.
  2. Activez la nouvelle stratégie de risque d’accès conditionnel. Vous pouvez choisir d’exécuter les deux stratégies côte à côte pour confirmer que les nouvelles stratégies fonctionnent comme prévu avant de désactiver les stratégies de risque Identity Protection.
    1. Revenez à Azure Active Directory>Sécurité>Accès conditionnel.
    2. Sélectionnez cette nouvelle stratégie pour la modifier.
    3. Définissez Activer la stratégie sur Activé pour activer la stratégie
  3. Désactivez les anciennes stratégies de risque dans Identity Protection.
    1. Accédez à Azure Active Directory>Identity Protection> Sélectionnez la stratégie de risque utilisateur ou de connexion.
    2. Définissez Appliquer la stratégie sur Désactivé.
  4. Créez d’autres stratégies de risque si nécessaire dans l’accès conditionnel.

Étapes suivantes