Préversion de l’accès conditionnel pour les identités de charge de travail

Auparavant, des stratégies d’accès conditionnel n’étaient appliquées aux utilisateurs que quand ceux-ci accédaient à des applications et services tels que SharePoint Online ou le portail Azure. Cette préversion ajoute la prise en charge des stratégies d’accès conditionnel appliquées aux principaux de service appartenant à l’organisation. Nous appelons cette fonctionnalité Accès conditionnel pour les identités de charge de travail.

Une identité de charge de travail est une identité qui permet à une application ou à un principal de service d’accéder à des ressources, parfois dans le contexte d’un utilisateur. Ces identités de charge de travail diffèrent des comptes d’utilisateur traditionnels car elles :

  • Ne peuvent pas effectuer d’authentification multifacteur.
  • N’ont souvent aucun processus de cycle de vie formel.
  • Elles doivent stocker leur informations d’identification ou secrets quelque part.

Ces différences font que les identités de charge de travail sont plus difficiles à gérer et plus faciles à compromettre.

Important

Dans la préversion publique, vous pouvez délimiter les stratégies d’accès conditionnel aux principaux de service dans Azure AD avec une édition Azure Active Directory Premium P2 active dans votre locataire. Après la disponibilité générale, des licences supplémentaires peuvent être nécessaires.

Notes

Une stratégie peut être appliquée à des principaux de service de locataire unique qui ont été inscrits dans votre locataire. Les applications SaaS et mutualisées tierces ne sont pas concernées. Cette stratégie ne couvre pas les identités gérées.

Cette préversion permet de bloquer les principaux de service en dehors des plages d’adresses IP publiques approuvées, ou en fonction du risque détecté par Azure AD Identity Protection.

Implémentation

Créer une stratégie d’accès conditionnel basée sur l’emplacement

Créez une stratégie d’accès conditionnel basée sur un emplacement, qui s’applique aux principaux de service.

  1. Connectez-vous au portail Azure en tant qu’administrateur général, administrateur de sécurité ou administrateur de l’accès conditionnel.
  2. Accédez à Azure Active DirectorySécuritéAccès conditionnel.
  3. Sélectionnez Nouvelle stratégie.
  4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
  5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
    1. Sous À quoi cette stratégie s’applique-t-elle ?, sélectionnez Identités de charge de travail (préversion).
    2. Sous Inclure, choisissez Sélectionner des principaux de service, puis sélectionnez les principaux de service appropriés dans la liste.
  6. Sous Applications ou actions cloud, sélectionnez Toutes les applications cloud. La stratégie s’applique uniquement quand un principal de service demande un jeton.
  7. Sous Conditions>Emplacements, incluez N’importe quel emplacement et excluez les Emplacements sélectionnés où vous souhaitez autoriser l’accès.
  8. Sous Octroi, Bloquer l’accès est la seule option disponible. L’accès est bloqué quand une demande de jeton est effectuée en dehors de la plage autorisée.
  9. Vous pouvez enregistrer votre stratégie en mode Rapport uniquement afin de permettre aux administrateurs d’en évaluer les effets, ou appliquer la stratégie en sélectionnant l’option Activée.
  10. Sélectionnez Créer pour terminer votre stratégie.

Créer une stratégie d’accès conditionnel basée sur le risque

Créez une stratégie d’accès conditionnel basée sur un emplacement, qui s’applique aux principaux de service.

Création d’une Stratégie d’accès conditionnel avec une identité de charge de travail et un risque comme condition.

  1. Connectez-vous au portail Azure en tant qu’administrateur général, administrateur de sécurité ou administrateur de l’accès conditionnel.
  2. Accédez à Azure Active DirectorySécuritéAccès conditionnel.
  3. Sélectionnez Nouvelle stratégie.
  4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
  5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
    1. Sous À quoi cette stratégie s’applique-t-elle ?, sélectionnez Identités de charge de travail (préversion).
    2. Sous Inclure, choisissez Sélectionner des principaux de service, puis sélectionnez les principaux de service appropriés dans la liste.
  6. Sous Applications ou actions cloud, sélectionnez Toutes les applications cloud. La stratégie s’applique uniquement quand un principal de service demande un jeton.
  7. Sous Conditions>Risque du principal de service (préversion)
    1. Définissez le bouton bascule Configurer sur Oui.
    2. Sélectionnez les niveaux de risque auxquels vous voulez que cette stratégie se déclenche.
    3. Sélectionnez Terminé.
  8. Sous Octroi, Bloquer l’accès est la seule option disponible. L’accès est bloqué quand une demande de jeton est effectuée en dehors de la plage autorisée.
  9. Vous pouvez enregistrer votre stratégie en mode Rapport uniquement afin de permettre aux administrateurs d’en évaluer les effets, ou appliquer la stratégie en sélectionnant l’option Activée.
  10. Sélectionnez Créer pour terminer votre stratégie.

Annuler l’opération

Si vous souhaitez restaurer cette fonctionnalité, vous pouvez supprimer ou désactiver toutes les stratégies créées.

Journaux d’activité de connexion

Les journaux de connexion sont utilisés pour vérifier la façon dont la stratégie est appliquée pour les principaux de service, ou les effets attendus de la stratégie lors de l’utilisation du mode Rapport uniquement.

  1. Accédez à Azure Active Directory>Journaux de connexion>Connexions de principal de service.
  2. Sélectionnez une entrée de journal, puis choisissez l’onglet Accès conditionnel pour afficher les informations d’évaluation.

Raison de l’échec quand le principal du service est bloqué par l’accès conditionnel : « L’accès a été bloqué en raison de stratégies d’accès conditionnel ».

Mode Rapport uniquement

Pour visualiser les résultats d’une stratégie basée sur l’emplacement, reportez-vous à l’onglet Rapport uniquement des événements dans le Rapport de connexion ou utilisez le classeur Insights et rapports sur l’accès conditionnel.

Pour visualiser les résultats d’une stratégie basée sur les risques, reportez-vous à l’onglet Rapport uniquement des événements dans le Rapport de connexion.

Référence

Recherche de l’objectID

Vous pouvez récupérer l’objectID du principal de service à partir des Applications d’entreprise Azure AD. L’ID d’objet dans les inscriptions d’applications Azure AD ne peut pas être utilisé. Cet identificateur est l’ID d’objet de l’inscription de l’application, pas du principal de service.

  1. Accédez au portail Azure>Azure Active Directory>Applications d’entreprise, puis recherchez l’application que vous avez inscrite.
  2. À partir de l’onglet Vue d’ensemble, copiez l’ID d’objet de l’application. Cet identificateur propre au principal de service est utilisé par la stratégie d’accès conditionnel pour rechercher l’application appelante.

Microsoft Graph

Exemple de code JSON pour la configuration basée sur l’emplacement à l’aide du point de terminaison bêta Microsoft Graph.

{
  "displayName": "Name",
  "state": "enabled OR disabled OR enabledForReportingButNotEnforced",
  "conditions": {
    "applications": {
      "includeApplications": [
        "All"
      ]
    },
    "clientApplications": {
      "includeServicePrincipals": [
        "[Service principal Object ID] OR ServicePrincipalsInMyTenant"
      ],
      "excludeServicePrincipals": [
        "[Service principal Object ID]"
      ],
    },
    "locations": {
      "includeLocations": [
        "All"
      ],
      "excludeLocations": [
        "[Named location ID] OR AllTrusted"
      ]
    }
  },
  "grantControls": {
    "operator": "and",
    "builtInControls": [
      "block"
    ]
  }
}

Étapes suivantes