Configurer et activer des stratégies de gestion des risques

Comme nous l’avons appris dans l’article Stratégies d’accès basées sur les risques, il existe deux sortes de stratégies de risques que vous pouvez configurer dans l’accès conditionnel Microsoft Entra. Vous pouvez utiliser ces stratégies pour automatiser la réponse aux risques, ce qui permet aux utilisateurs de corriger eux-mêmes le problème lorsqu’un risque est détecté :

• Stratégie en matière de risque à la connexion
• Stratégie de risque d’utilisateur

Choix des niveaux de risque acceptables

Les organisations doivent déterminer le niveau de risque qu’elles veulent que le contrôle d’accès exige entre l’expérience utilisateur et la posture de sécurité.

L’application d’un contrôle d'accès sur un niveau de risque Élevé permet de réduire la fréquence de déclenchement d’une stratégie et minimise les désagréments pour les utilisateurs. Cependant, cela exclut les risques Faible et Moyen de la stratégie. Par conséquent, il se peut qu’un attaquant soit en mesure d’exploiter une identité compromise. La sélection d’un niveau de risque Faible pour exiger un contrôle d’accès introduit davantage d’interruptions utilisateur.

Les emplacements réseau approuvés qui ont été configurés sont utilisés par Identity Protection dans certaines détections de risques afin de réduire les faux positifs.

Les configurations de stratégie suivantes incluent le contrôle de session de fréquence de connexion qui nécessite une réauthentification pour les utilisateurs et connexions à risque.

Recommandation de Microsoft

Microsoft recommande les configurations de stratégie de risque suivantes pour protéger votre organisation :

• Stratégie de risque d’utilisateur
  • Exiger une modification sécurisée du mot de passe lorsque le niveau de risque de l’utilisateur est Élevé. L’authentification multifacteur Microsoft Entra est nécessaire pour que l’utilisateur puisse créer un mot de passe avec réécriture du mot de passe afin de corriger son risque.
• Stratégie en matière de risque à la connexion
  • Exiger l’authentification multifacteur Microsoft Entra quand le niveau de risque de connexion est Moyen ou Élevé, les utilisateurs peuvent alors prouver leur identité en utilisant une des méthodes d’authentification inscrites, ce qui corrige le risque de connexion.

L’exigence d’un contrôle d’accès lorsque le niveau de risque est faible introduit plus de désagréments et d’interruptions pour l’utilisateur que les niveaux moyen ou élevé. Le choix de bloquer l’accès au lieu d’autoriser les options d’auto-correction, telles que la modification sécurisée du mot de passe et l’authentification multifacteur, a encore plus d’impact sur vos utilisateurs et vos administrateurs. Réfléchissez à ces choix lorsque vous configurez vos stratégies.

Mesures de correction des risques

Les organisations peuvent choisir de bloquer l’accès en cas de détection d’un risque. Le blocage empêche parfois les utilisateurs légitimes de faire ce dont ils ont besoin. La meilleure solution est d’autoriser l’auto-correction avec l’authentification multifacteur Microsoft Entra et le changement de mot de passe sécurisé.

Avertissement

Les utilisateurs doivent s’inscrire à l’authentification multifacteur Microsoft Entra pour pouvoir faire face à une situation nécessitant une correction. Pour les utilisateurs hybrides synchronisés entre un emplacement local et le cloud, la réécriture du mot de passe doit avoir été activée pour eux. Les utilisateurs qui ne sont pas inscrits sont bloqués et ont besoin de l’intervention d’un administrateur.

La modification du mot de passe (je connais mon mot de passe et je souhaite le remplacer par un nouveau) en dehors du processus risqué de correction de la stratégie utilisateur ne répond pas aux exigences de modification sécurisée du mot de passe.

Migrer des stratégies de risque vers l'accès conditionnel

Si vous avez des stratégies de risque héritées actives dans la protection Microsoft Entra ID, vous devez planifier leur migration vers l’accès conditionnel :

Avertissement

Les stratégies de risque héritées configurées dans Microsoft Entra ID Protection seront supprimées le 1er octobre 2026.

Migration vers l’accès conditionnel

1. Créez une stratégie équivalentebasée sur les risques utilisateur et basée sur les risques de connexion dans l’accès conditionnel en mode rapport uniquement. Vous pouvez créer une stratégie en suivant les étapes précédentes ou en utilisant des modèles d’accès conditionnel en fonction des recommandations de Microsoft et de vos exigences organisationnelles.
   1. Une fois que les administrateurs ont confirmé les paramètres à l’aide du mode État uniquement, ils peuvent modifier la position du bouton bascule Activer la stratégie de État uniquement en Activé.
2. Désactivez les anciennes stratégies de risque dans ID Protection.
   1. Accédez à Protection>Identity Protection> Sélectionnez la stratégie d’utilisateur à risque ou de connexion à risque.
   2. Définissez Appliquer la stratégie sur Désactivé.
3. Créez d’autres stratégies de risque si nécessaire dans l’accès conditionnel.

Activer les stratégies

Les organisations peuvent choisir de déployer des stratégies basées sur les risques dans l’accès conditionnel en respectant les étapes suivantes ou à l’aide des modèles d’accès conditionnel.

Avant que les organisations n’activent ces stratégies, elles doivent prendre des mesures pour examiner et corriger les risques actifs.

Exclusions de stratégie

Les stratégies d’accès conditionnel sont des outils puissants. Nous vous recommandons donc d’exclure les comptes suivants de vos stratégies :

• Comptes d’accès d’urgence ou de secours pour empêcher le verrouillage du compte sur l’ensemble du locataire. Dans le scénario improbable où tous les administrateurs seraient verrouillés hors de votre locataire, votre compte administratif d’accès d’urgence peut être utilisé pour vous connecter au locataire et prendre les mesures nécessaires pour récupérer l’accès.
  • Pour obtenir plus d’informations, consultez l’article Gérer les comptes d’accès d’urgence dans Microsoft Entra ID.
• Comptes de service et principaux de service, tels que le compte de synchronisation Microsoft Entra Connect. Les comptes de service sont des comptes non interactifs qui ne sont liés à aucun utilisateur particulier. Ils sont généralement utilisés par des services back-end autorisant l’accès par programmation aux applications, mais ils le sont également pour se connecter aux systèmes à des fins administratives. Les comptes de service comme ceux-ci doivent être exclus, car l’authentification MFA ne peut pas être effectuée par programme. Les appels effectués par les principaux de service ne seront pas bloqués par les stratégies d’accès conditionnel destinées aux utilisateurs. Utilisez l’accès conditionnel des identités de charge de travail pour élaborer des stratégies ciblant les principaux de service.
  • Si votre organisation utilise ces comptes dans des scripts ou du code, envisagez de les remplacer par des identités managées. Pour contourner provisoirement le problème, vous pouvez exclure ces comptes spécifiques de la stratégie de base.

Stratégie de risque utilisateur dans l’accès conditionnel

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
2. Accédez à Protection>Accès conditionnel.
3. Sélectionnez Nouvelle stratégie.
4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
   1. Sous Inclure, sélectionnez Tous les utilisateurs.
   2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
   3. Sélectionnez Terminé.
6. Sous Applications ou actions cloud>Inclure, sélectionnez Toutes les applications cloud.
7. Dans Conditions>des risques utilisateur, définissez Configurer sur Oui.
   1. Sous Configurer les niveaux de risque utilisateur nécessaires à l’application de la stratégie, sélectionnez Élevé. Cette aide se base sur les recommandations de Microsoft et peut être différente pour chaque organisation
   2. Cliquez sur Terminé.
8. Sous Contrôles d’accès>Octroyer.
   1. Sélectionnez Octroyer l’accès, Exiger l’authentification multifacteur et Exiger la modification du mot de passe.
   2. Sélectionnez Sélectionner.
9. Sous Session.
   1. Sélectionnez Fréquence de connexion.
   2. Vérifiez que À chaque fois est sélectionné.
   3. Sélectionnez Sélectionner.
10. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
11. Sélectionnez Créer pour créer votre stratégie.

Une fois que les administrateurs ont confirmé les paramètres à l’aide du mode État uniquement, ils peuvent modifier la position du bouton bascule Activer la stratégie de État uniquement en Activé.

Stratégie de connexion à risque dans l’accès conditionnel

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
2. Accédez à Protection>Accès conditionnel.
3. Sélectionnez Nouvelle stratégie.
4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
   1. Sous Inclure, sélectionnez Tous les utilisateurs.
   2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
   3. Sélectionnez Terminé.
6. Sous Applications ou actions cloud>Inclure, sélectionnez Toutes les applications cloud.
7. Dans Conditions>Risque de connexion, définissez Configurer sur Oui.
   1. Sous Sélectionner le niveau de risque de connexion auquel cette stratégie s’applique, sélectionnez Haut et Moyen. Cette aide se base sur les recommandations de Microsoft et peut être différente pour chaque organisation
   2. Cliquez sur Terminé.
8. Sous Contrôles d’accès>Octroyer.
   1. Sélectionnez Accorder l’accès, Exiger l’authentification multifacteur.
   2. Sélectionnez Sélectionner.
9. Sous Session.
   1. Sélectionnez Fréquence de connexion.
   2. Vérifiez que À chaque fois est sélectionné.
   3. Sélectionnez Sélectionner.
10. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
11. Sélectionnez Créer pour créer votre stratégie.

Une fois que les administrateurs ont confirmé les paramètres à l’aide du mode État uniquement, ils peuvent modifier la position du bouton bascule Activer la stratégie de État uniquement en Activé.

Contenu connexe

• Activer la stratégie d’inscription à l’authentification multifacteur Microsoft Entra
• Qu'est-ce qu'un risque ?
• Examiner les détections de risques
• Simuler des détections de risques