Configurer et activer des stratégies de gestion des risques

Il existe deux sortes de stratégies de risques que vous pouvez configurer dans l’accès conditionnel Microsoft Entra. Vous pouvez utiliser ces stratégies pour automatiser la réponse aux risques, ce qui permet aux utilisateurs de corriger eux-mêmes le problème lorsqu’un risque est détecté :

• Stratégie de risque d’utilisateur
• Stratégie de connexion à risque

Avertissement

Ne combinez pas les conditions de risque de connexion et de risque utilisateur dans la même stratégie d’accès conditionnel. Créez des stratégies distinctes pour chaque condition de risque.

Conditions préalables

• La licence Microsoft Entra ID P2 ou Microsoft Entra Suite est requise pour un accès total aux fonctionnalités microsoft Entra ID Protection.
  • Pour obtenir la liste détaillée des fonctionnalités de chaque niveau de licence, consultez Présentation de Microsoft Entra ID Protection.
• Le rôle Administrateur de l’accès conditionnel est le rôle le moins privilégié requis pour créer ou modifier des stratégies d’accès conditionnel.

Choix des niveaux de risque acceptables

Les organisations doivent décider du niveau de risque sur lequel elles souhaitent exiger un contrôle d’accès, tout en équilibrant la posture de sécurité et la productivité des utilisateurs.

L’application d’un contrôle d'accès sur un niveau de risque Élevé permet de réduire la fréquence de déclenchement d’une stratégie et minimise les désagréments pour les utilisateurs. Cependant, cela exclut les risques Faible et Moyen de la stratégie, ce qui pourrait ne pas empêcher un attaquant d'exploiter une identité compromise. La sélection de niveaux de risque moyen et/ou faible introduit généralement davantage d’interruptions utilisateur.

Les emplacements réseau approuvés qui ont été configurés sont utilisés par Microsoft Entra ID Protection dans certains dépistages de risque afin de réduire les faux positifs.

Mesures de correction des risques

Les organisations peuvent choisir de bloquer l’accès en cas de détection d’un risque. Le blocage empêche parfois les utilisateurs légitimes de faire ce dont ils ont besoin. Une meilleure solution consiste à configurer des stratégies d'accès conditionnel basées sur le risque utilisateur et le risque de connexion qui permettent aux utilisateurs de s'autocorriger.

Avertissement

Les utilisateurs doivent s’inscrire à l’authentification multifacteur Microsoft Entra pour pouvoir faire face à une situation nécessitant une correction. Pour les utilisateurs hybrides synchronisés depuis un emplacement local, la réécriture du mot de passe doit être activée. Les utilisateurs qui ne sont pas inscrits sont bloqués et ont besoin de l’intervention d’un administrateur.

La modification du mot de passe (je connais mon mot de passe et que je souhaite la remplacer par quelque chose de nouveau) en dehors du flux de correction de stratégie utilisateur risquée ne répond pas aux exigences de modification de mot de passe sécurisée.

Recommandations Microsoft

Microsoft recommande les configurations de stratégie de risque suivantes pour protéger votre organisation :

Stratégie de risque utilisateur

Les organisations doivent sélectionner Exiger une correction des risques lorsque le niveau de risque utilisateur est élevé. Pour les utilisateurs sans mot de passe, Microsoft Entra révoque les sessions de l’utilisateur afin qu’ils doivent se réauthentifier. Pour les utilisateurs disposant de mots de passe, ils sont invités à effectuer une modification de mot de passe sécurisée après une authentification multifacteur Microsoft Entra réussie.

Quand exiger la correction des risques est sélectionnée, deux paramètres sont automatiquement appliqués :

• Exiger la force d'authentification est automatiquement sélectionné comme contrôle d'octroi.
• Fréquence de connexion - Chaque fois est appliquée automatiquement comme contrôle de session.

Stratégie de connexion à risque

Exiger l’authentification multifacteur Microsoft Entra lorsque le niveau de risque de connexion est moyen ou élevé. Cette configuration permet aux utilisateurs de prouver leur identité en utilisant l'une de leurs méthodes d'authentification enregistrées, en atténuant le risque de connexion.

Nous vous recommandons également d’inclure le contrôle de session de fréquence de connexion pour exiger une réauthentification pour les connexions à risque. Une « authentification forte » réussie par le biais d’une authentification multifacteur ou d’une authentification sans mot de passe est la seule façon de corriger automatiquement les risques de connexion, quel que soit le niveau de risque.

Activer les politiques

Les organisations peuvent choisir de déployer des stratégies basées sur les risques dans l’accès conditionnel en respectant les étapes suivantes ou à l’aide des modèles d’accès conditionnel.

Avant que les organisations n’activent ces stratégies, elles doivent prendre des mesures pour examiner et corriger les risques actifs.

Exclusions de stratégie

Les stratégies d’accès conditionnel sont des outils puissants. Nous vous recommandons d’exclure les comptes suivants de vos stratégies :

• Comptes d’accès d’urgence ou de secours pour empêcher le verrouillage en raison d’une mauvaise configuration de stratégie. Dans le scénario peu probable où tous les administrateurs sont verrouillés, votre compte d’administration d’accès d’urgence peut être utilisé pour se connecter et récupérer l’accès.
  • Pour obtenir plus d’informations, consultez l’article Gérer les comptes d’accès d’urgence dans Microsoft Entra ID.
• Comptes de service et principaux de service, tels que le compte Microsoft Entra Connect Sync. Les comptes de service sont des comptes non interactifs qui ne sont pas liés à un utilisateur spécifique. Ils sont généralement utilisés par les services principaux pour autoriser l’accès programmatique aux applications, mais ils sont également utilisés pour se connecter aux systèmes à des fins administratives. Les appels effectués par les principaux de service ne sont pas bloqués par les stratégies d’accès conditionnel délimitées aux utilisateurs. Utilisez l’accès conditionnel pour les identités de charge de travail pour définir des stratégies qui ciblent des principaux de service.
  • Si votre organisation utilise ces comptes dans des scripts ou du code, remplacez-les par des identités managées.

Politique de risque utilisateur dans l’accès conditionnel

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
2. Naviguez vers Entra ID>Accès Conditionnel.
3. Sélectionnez Nouvelle stratégie.
4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
   1. Sous Inclure, sélectionnez Tous les utilisateurs.
   2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
   3. Sélectionnez Terminé.
6. Sous Ressources cibles>Inclure, sélectionnez Toutes les ressources (anciennement « Toutes les applications cloud »).
7. Sous Conditions>Risque d’utilisateur, définissez Configurer sur Oui.
   1. Sous Configurer les niveaux de risque utilisateur nécessaires à l’application de la stratégie, sélectionnez Élevé. Cette aide se base sur les recommandations de Microsoft et peut être différente pour chaque organisation
   2. Sélectionnez Terminé.
8. Sous Contrôles d’accès>Accorder, sélectionnez Accorder l’accès.
   1. Sélectionnez Exiger une correction des risques. Le contrôle Exiger l’octroi de force d’authentification est automatiquement sélectionné. Choisissez la force appropriée pour votre organisation.
   2. Sélectionnez Sélectionner.
9. Sous Session, Fréquence de connexion - Chaque fois est automatiquement appliquée en tant que contrôle de session, et cela est obligatoire.
10. Confirmez vos paramètres et définissez Activez la stratégie sur Mode rapport uniquement.
11. Sélectionnez Créer pour créer votre stratégie.

Après avoir confirmé vos paramètres à l’aide de l’impact de la stratégie ou du mode Rapport uniquement, déplacez le bouton bascule Activer la stratégie de rapport uniquement vers Activé.

Politique de risque de connexion dans l'accès conditionnel

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
2. Naviguez vers Entra ID>Accès Conditionnel.
3. Sélectionnez Nouvelle stratégie.
4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
   1. Sous Inclure, sélectionnez Tous les utilisateurs.
   2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
   3. Sélectionnez Terminé.
6. Sous Applications cloud ou actions>Inclure, sélectionnez Toutes les ressources (anciennement « Toutes les applications cloud ») .
7. Dans Conditions>Risque de connexion, définissez Configurer sur Oui.
   1. Sous Sélectionner le niveau de risque de connexion auquel cette stratégie s’applique, sélectionnez Haut et Moyen. Cette aide se base sur les recommandations de Microsoft et peut être différente pour chaque organisation
   2. Sélectionnez Terminé.
8. Sous Contrôles d’accès>Accorder, sélectionnez Accorder l’accès.
   1. Sélectionnez Exiger une force d’authentification, puis sélectionnez la force d’authentification intégrée Authentification multifacteur dans la liste.
   2. Sélectionnez Sélectionner.
9. Sous Session.
   1. Sélectionnez Fréquence de connexion.
   2. Vérifiez que À chaque fois est sélectionné.
   3. Sélectionnez Sélectionner.
10. Confirmez vos paramètres et définissez Activez la stratégie sur Mode rapport uniquement.
11. Sélectionnez Créer pour créer et activer votre politique.

Après avoir confirmé vos paramètres à l’aide de l’impact de la stratégie ou du mode Rapport uniquement, déplacez le bouton bascule Activer la stratégie de rapport uniquement vers Activé.

Scénarios sans mot de passe

Pour les organisations qui adoptent des méthodes d’authentification sans mot de passe, apportez les modifications suivantes :

Mettez à jour votre politique de risque de connexion sans mot de passe

1. Sous Utilisateurs :
   1. Inclure, sélectionner Utilisateurs et groupes et cibler vos utilisateurs sans mot de passe.
   2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
   3. Sélectionnez Terminé.
2. Sous applications cloud ou actions>Inclure, sélectionnez Toutes les ressources (anciennement « Toutes les applications cloud »).
3. Dans Conditions>Risque de connexion, définissez Configurer sur Oui.
   1. Sous Sélectionner le niveau de risque de connexion auquel cette stratégie s’applique, sélectionnez Haut et Moyen. Pour plus d’informations sur les niveaux de risque, consultez Choix des niveaux de risque acceptables.
   2. Sélectionnez Terminé.
4. Sous Contrôles d’accès>Accorder, sélectionnez Accorder l’accès.
   1. Sélectionnez Exiger une force d’authentification, puis sélectionnez l’authentification multifacteur intégrée sans mot de passe ou MFA résistant à l’hameçonnage en fonction de la méthode dont disposent les utilisateurs ciblés.
   2. Sélectionnez Sélectionner.
5. Sous Session :
   1. Sélectionnez Fréquence de connexion.
   2. Vérifiez que À chaque fois est sélectionné.
   3. Sélectionnez Sélectionner.

Migrer des stratégies de risque vers l’accès conditionnel

Si vous avez des stratégies de risque héritées actives dans la protection Microsoft Entra ID, vous devez planifier leur migration vers l’accès conditionnel :

Avertissement

Les stratégies de risque héritées configurées dans Microsoft Entra ID Protection seront supprimées le 1er octobre 2026.

Migrer vers l’accès conditionnel

1. Créez une stratégie équivalentebasée sur les risques utilisateur et basée sur les risques de connexion dans l’accès conditionnel en mode rapport seul. Vous pouvez créer une stratégie en suivant les étapes précédentes ou en utilisant des modèles d’accès conditionnel en fonction des recommandations de Microsoft et de vos exigences organisationnelles.
   1. Une fois que les administrateurs ont confirmé les paramètres à l’aide du mode rapport seul, ils peuvent modifier la position du bouton bascule Activer la stratégie de Rapport seul à Activée.
2. Désactivez les anciennes stratégies de risque dans ID Protection.
   1. Accédez autableau de bord>ID Protection> Sélectionnez la stratégie de risque utilisateur ou de connexion.
   2. Définissez Appliquer la stratégie sur Désactivé.
3. Créez d’autres stratégies de risque si nécessaire dans l’accès conditionnel.

Contenu connexe

• Activer la stratégie d’inscription de l’authentification multifacteur Microsoft Entra
• Qu'est-ce qu'un risque ?
• Examiner les détections de risques
• Simuler des détections de risques