Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Le périmètre de sécurité moderne s'étend au-delà du périmètre réseau d'une organisation pour inclure l'identité de l'utilisateur et de l'appareil. Les organisations peuvent désormais utiliser des signaux d'identité dans le cadre de leurs décisions de contrôle d'accès. L'Accès conditionnel Microsoft Entra regroupe des signaux pour prendre des décisions et appliquer des stratégies organisationnelles. L'Accès conditionnel est le moteur de stratégie Zero Trust de Microsoft qui prend en compte des signaux provenant de différentes sources lors de l'application des décisions de stratégie.
Les stratégies d’accès conditionnel à leur niveau le plus simple sont des instructions if-then : si un utilisateur souhaite accéder à une ressource, il doit effectuer une action. Par exemple : si un utilisateur souhaite accéder à une application ou à un service comme Microsoft 365, il doit effectuer une authentification multifacteur pour pouvoir y accéder.
Les administrateurs sont confrontés à deux objectifs principaux :
- Permettre aux utilisateurs d’être productifs où et quand ils le veulent
- Protéger les ressources de l’entreprise
Utilisez des stratégies d’accès conditionnel pour appliquer les contrôles d’accès appropriés si nécessaire pour sécuriser votre organisation et ne pas interférer avec la productivité.
Importante
Des stratégies d'accès conditionnel sont appliquées au terme de l'authentification premier facteur. L’accès conditionnel n’est pas destiné à être une défense de première ligne d’une organisation pour des scénarios tels que des attaques par déni de service (DoS), mais il peut utiliser des signaux provenant de ces événements pour déterminer l’accès.
Signaux courants
L’accès conditionnel utilise des signaux provenant de différentes sources pour prendre des décisions d’accès.
Voici quelques-uns de ces signaux :
-
Utilisateur, groupe ou agent
- Les stratégies peuvent être ciblées sur des utilisateurs, des groupes et des agents spécifiques (préversion) qui donnent aux administrateurs un contrôle précis sur l’accès.
- La prise en charge des identités d’agent et des utilisateurs de l’agent étend les principes de confiance zéro aux charges de travail IA.
-
Informations d’emplacement IP
- Les organisations peuvent créer des plages d’adresses IP qui peuvent être utilisées lors de la prise de décisions de stratégie.
- Les administrateurs peuvent spécifier des plages d’adresses IP de pays/régions entiers pour bloquer ou autoriser le trafic.
-
Appareil
- Les utilisateurs disposant d’appareils de plateformes spécifiques ou marqués avec un état spécifique peuvent être utilisés lors de l’application de stratégies d’accès conditionnel.
- Utilisez les filtres relatifs aux appareils pour cibler les stratégies sur des appareils spécifiques, comme les stations de travail à accès privilégié.
-
Application
- Déclenchez différentes stratégies d’accès conditionnel lorsque les utilisateurs tentent d’accéder à des applications spécifiques.
- Appliquez des stratégies aux applications cloud traditionnelles, aux applications locales et aux ressources de l’agent.
-
Détection des risques en temps réel et calculée
- Intègre les signaux de Microsoft Entra ID Protection pour identifier et corriger les utilisateurs à risque, le comportement de connexion et les activités de l’agent.
-
Microsoft Defender pour applications de cloud
- Surveille et contrôle l’accès et les sessions des applications utilisateur en temps réel. Cette intégration améliore la visibilité et le contrôle de l’accès et des activités dans votre environnement cloud.
Décisions courantes
- Bloquer l’accès est la décision la plus restrictive.
- Accorder l'accès
- Une décision moins restrictive qui peut nécessiter une ou plusieurs des options suivantes :
- Exiger l’authentification multifacteur
- Exiger un niveau d’authentification élevé
- Exiger que l’appareil soit marqué comme conforme
- Requiert un appareil joint hybride avec Microsoft Entra
- Exiger une application cliente approuvée
- Exiger une stratégie de protection des applications
- Exiger une modification de mot de passe
- Exiger des conditions d’utilisation
Stratégies couramment appliquées
De nombreuses organisations ont des problèmes d’accès courants auxquels les stratégies d’accès conditionnel peuvent vous aider, par exemple :
- Demande d’authentification multifacteur pour les utilisateurs disposant de rôles d’administration
- Demande d’authentification multifacteur pour les tâches de gestion Azure
- Blocage des connexions pour les utilisateurs qui tentent d’utiliser des protocoles d’authentification hérités
- Exigence d'emplacements approuvés pour l'inscription des informations de sécurité
- Blocage ou octroi de l’accès à partir d’emplacements spécifiques
- Blocage des comportements de connexion à risque
- Demande d’appareils gérés par l’organisation pour des applications spécifiques
Les administrateurs peuvent créer des stratégies à partir de zéro ou commencer par une stratégie de modèle dans le portail ou à l’aide de l’API Microsoft Graph.
expérience Administration
Les administrateurs disposant au moins du rôle Lecteur de sécurité peuvent trouver l’accès conditionnel dans le Centre d’administration Microsoft Entra sousAccès conditionnel Entra >.
- La page Vue d’ensemble affiche un résumé de l’état de la stratégie, des agents, des utilisateurs, des appareils et des applications, ainsi que des alertes générales et de sécurité avec des suggestions.
- La page Couverture affiche un résumé des applications avec et sans couverture de stratégie d’accès conditionnel au cours des sept derniers jours.
Dans la page Stratégies , les administrateurs peuvent filtrer les stratégies d’accès conditionnel en fonction d’éléments tels que l’acteur, la ressource cible, la condition, le contrôle appliqué, l’état ou la date. Ce filtrage permet aux administrateurs de trouver rapidement des stratégies spécifiques en fonction de leur configuration.
Agent d’optimisation de l’accès conditionnel
L’agent d’optimisation de l’accès conditionnel (préversion) avec Microsoft Security Copilot suggère de nouvelles stratégies et modifications apportées aux stratégies existantes en fonction des principes de confiance zéro et des bonnes pratiques Microsoft. En un clic, appliquez la suggestion pour mettre à jour ou créer automatiquement une stratégie d’accès conditionnel. L’agent a besoin au moins de la licence Microsoft Entra ID P1 et des unités de calcul de sécurité (SCU).
Conditions de licence :
L'utilisation de cette fonctionnalité nécessite des licences Microsoft Entra ID P1. Pour trouver la licence appropriée pour vos besoins, consultez Comparer les fonctionnalités en disponibilité générale de Microsoft Entra ID.
Les clients disposant de licences Microsoft 365 Business Premium peuvent également utiliser des fonctionnalités d’accès conditionnel.
D’autres produits et fonctionnalités qui interagissent avec les stratégies d’accès conditionnel nécessitent une licence appropriée pour ces produits et fonctionnalités, notamment l’ID de charge de travail Microsoft Entra, Microsoft Entra ID Protection et Microsoft Purview.
Lorsque les licences requises pour l’accès conditionnel expirent, les stratégies ne sont pas automatiquement désactivées ou supprimées. Cet état normal permet aux clients de migrer hors des stratégies d’accès conditionnel sans changer soudainement leur posture de sécurité. Vous pouvez afficher et supprimer les stratégies restantes, mais vous ne pouvez pas les mettre à jour.
Les valeurs de sécurité par défaut permettent de se protéger contre les attaques liées à l'identité et sont disponibles pour tous les clients.
Confiance Zéro
Cette fonctionnalité aide les organisations à aligner leurs identités sur les trois principes directeurs d’une architecture Confiance nulle :
- Vérifier explicitement
- Utiliser le privilège minimum
- Supposer une violation
Pour en savoir plus sur Confiance Zéro et d’autres façons d’aligner votre organisation sur les principes directeurs, consultez le Centre d’aide Confiance Zéro.