Partage via

Durée de vie de session adaptative de l’accès conditionnel

  • Article

Dans les déploiements complexes, les organisations peuvent avoir besoin de limiter les sessions d’authentification. Certains scénarios peuvent inclure les éléments suivants :

  • Accès aux ressources à partir d’un appareil non managé ou partagé
  • Accès à des informations sensibles depuis un réseau externe
  • Utilisateurs à fort impact
  • Applications métier critiques

L’accès conditionnel fournit des contrôles de stratégie de durée de vie de session adaptatifs qui vous permettent de créer des stratégies ciblant des cas d’usage spécifiques au sein de votre organisation sans affecter tous les utilisateurs.

Avant de plonger dans les détails sur la façon de configurer la stratégie, examinons la configuration par défaut.

Fréquence de connexion de l’utilisateur

La fréquence de connexion définit la durée à l’issue de laquelle un utilisateur est invité à se reconnecter lorsqu’il tente d’accéder à une ressource.

La configuration par défaut de Microsoft Entra ID pour la fréquence de connexion utilisateur est une fenêtre dynamique de 90 jours. Demander des informations d’identification aux utilisateurs semble souvent une chose sensée à faire, mais celle-ci peut avoir l’effet inverse que celui prévu : les utilisateurs qui sont habitués à entrer leurs informations d’identification machinalement peuvent involontairement les fournir à une invite de demande d’informations d’identification malveillante.

Il peut paraître alarmant de ne pas demander à un utilisateur de se reconnecter, en réalité toute violation des stratégies informatiques révoquera la session. Certains exemples incluent (mais ne sont pas limités à) une modification de mot de passe, un appareil non conforme ou une désactivation de compte. Vous pouvez aussi explicitement révoquer les sessions des utilisateurs à l’aide de Microsoft Graph PowerShell. La configuration Microsoft Entra ID par défaut se résume à « ne pas demander aux utilisateurs de fournir leurs informations d’identification si l’état de la sécurité de leurs sessions n’a pas changé ».

Le paramètre de fréquence de connexion fonctionne avec les applications qui ont implémenté les protocoles OAuth2 ou OIDC conformément aux normes. La plupart des applications natives de Microsoft pour Windows, Mac et Mobile, notamment les applications web suivantes, sont conformes au paramètre.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Portail d’administration Microsoft 365
  • Exchange Online
  • SharePoint et OneDrive
  • Client web Teams
  • Dynamics CRM en ligne
  • Portail Azure

La fréquence de connexion (SIF) fonctionne avec les applications SAML tierces et les applications qui implémentent les protocoles OAuth2 ou OIDC, à condition que celles-ci ne suppriment pas leurs propres cookies et qu’elles soient régulièrement redirigées vers Microsoft Entra ID à des fins d’authentification.

Fréquence de connexion des utilisateurs et authentification multifacteur

Auparavant, la fréquence de connexion s’appliquait uniquement à la première authentification par facteur sur les appareils Microsoft Entra joints, Microsoft Entra joints hybrides et Microsoft Entra inscrits. Il n'y avait pas de moyen facile pour nos clients de renforcer l'authentification multifacteur sur ces appareils. Conformément aux commentaires des clients, la fréquence de connexion s'applique également à l'authentification multifacteur.

Diagramme montrant comment la fréquence de connexion et l’authentification multifacteur fonctionnent ensemble.

Fréquence de connexion des utilisateurs et identités des appareils

Sur les appareils joints à Microsoft Entra et les appareils à jointure hybride Microsoft Entra, le déverrouillage de l’appareil ou la connexion interactive n’actualise le jeton d’actualisation principal (PRT) que toutes les 4 heures. Le dernier timestamp d’actualisation enregistré pour le jeton d’actualisation principal (PRT) par rapport au timestamp actuel doit se trouver dans le délai imparti dans la stratégie de fréquence de connexion (SIF) pour le PRT afin de satisfaire le SIF et d’accorder l’accès au PRT qui a une revendication MFA existante. Sur Microsoft Entra appareils inscrits, le déverrouillage/la connexion ne satisfait pas la stratégie SIF, car l’utilisateur n’accède pas à un appareil Microsoft Entra inscrit via un compte Microsoft Entra. Toutefois, le plug-in Microsoft Entra WAM peut actualiser un jeton d’actualisation principal pendant l’authentification de l’application native en utilisant le Gestionnaire de compte web (WAM).

Remarque

Le timestamp capturé à partir de la connexion de l’utilisateur n’est pas nécessairement identique au dernier timestamp enregistré de l’actualisation du jeton d’actualisation principal en raison du cycle d’actualisation de 4 heures. Le cas de timestamp identique correspond à un PRT ayant expiré qu’une connexion d’utilisateur actualise pendant 4 heures. Dans les exemples suivants, supposons que la stratégie de fréquence de connexion est définie sur 1 heure et que le PRT est actualisé à 00h00.

Exemple 1 : lorsque vous continuez de travailler sur le même document dans SharePoint Online pendant une heure

  • À 00h00, un utilisateur se connecte à son appareil Windows 11 joint à Microsoft Entra et commence à travailler sur un document stocké sur SharePoint Online.
  • L’utilisateur continue à travailler au même document sur son appareil pendant une heure.
  • À 01h00, l’utilisateur est invité à se reconnecter. Cette invite est basée sur l’exigence de fréquence de connexion dans la stratégie d’accès conditionnel configurée par son administrateur.

Exemple 2 : lorsque vous faites une pause avec une tâche en arrière-plan s’exécutant dans le navigateur, puis interagissez de nouveau une fois que le délai de la stratégie SIF s’est écoulé

  • À 00h00, un utilisateur se connecte à son appareil Windows 11 joint à Microsoft Entra et commence à charger un document stocké sur SharePoint Online.
  • À 00:10, l’utilisateur se lève et fait une pause en bloquant son appareil. Le chargement en arrière-plan continue vers SharePoint Online.
  • À 02:45, l’utilisateur revient de sa pause et déverrouille l’appareil. Le chargement en arrière-plan indique l’achèvement.
  • À 02h45, l’utilisateur est invité à se connecter lorsqu’il interagit à nouveau. Cette invite est basée sur la fréquence de connexion requise dans la stratégie d’accès conditionnel configurée par son administrateur, car la dernière connexion s’est faite à 00h00.

Si l’application cliente (sous les détails de l’activité) est un navigateur, nous reportons l’application de la fréquence de connexion des événements/stratégies sur les services en arrière-plan jusqu’à la prochaine interaction de l’utilisateur. Sur les clients confidentiels, l’application de la fréquence de connexion sur les connexions non interactives est différée jusqu’à la prochaine connexion interactive.

Exemple 3 : avec un cycle d’actualisation de quatre heures du jeton d’actualisation principal à partir du déverrouillage

Scénario 1 : l’utilisateur retourne dans le cycle

  • À 00h00, un utilisateur se connecte à son appareil Windows 11 joint à Microsoft Entra et commence à travailler sur un document stocké sur SharePoint Online.
  • À 00:30, l’utilisateur se lève et fait une pause en bloquant son appareil.
  • À 00:45, l’utilisateur revient de sa pause et déverrouille l’appareil.
  • À 01h00, l’utilisateur est invité à se reconnecter. Cette invite est basée sur la fréquence de connexion requise dans stratégie d’accès conditionnel configurée par son administrateur, 1 heure après la connexion initiale.

Scénario 2 : l’utilisateur revient en dehors du cycle

  • À 00h00, un utilisateur se connecte à son appareil Windows 11 joint à Microsoft Entra et commence à travailler sur un document stocké sur SharePoint Online.
  • À 00:30, l’utilisateur se lève et fait une pause en bloquant son appareil.
  • À 04:45, l’utilisateur revient de sa pause et déverrouille l’appareil.
  • À 05h45, l’utilisateur est invité à se reconnecter. Cette invite est basée sur l’exigence de fréquence de connexion dans la stratégie d’accès conditionnel configurée par son administrateur. Il est maintenant 1 heure après l’actualisation du PRT à 04h45, et plus de 4 heures depuis la connexion initiale à 00h00.

Exiger une réauthentification à chaque fois

Il existe des scénarios où les clients peuvent vouloir exiger une nouvelle authentification à chaque fois qu’un utilisateur exécute une action spécifique, par exemple :

  • Accès aux applications sensibles.
  • Sécurisation des ressources derrière des fournisseurs VPN ou Réseau en tant que service (NaaS).
  • Sécurisation de l’élévation de rôle privilégié dans PIM.
  • Protection des connexions utilisateur aux machines Azure Virtual Desktop.
  • Protection des utilisateurs à risque et des connexions risquées identifiée par la protection de Microsoft Entra ID.
  • Sécurisation des actions d’utilisateur sensibles telles que l’inscription Microsoft Intune.

La fréquence de connexion définie À chaque fois fonctionne le mieux lorsque la ressource a la logique de l’obtention d’un nouveau jeton par un client. Ces ressources ne redirigent l’utilisateur vers Microsoft Entra qu’à l’expiration de la session.

Les administrateurs doivent limiter le nombre d’applications avec lesquelles ils appliquent une stratégie demandant aux utilisateurs de se réauthentifier à chaque fois. Nous prenons en compte une variation d’horloge de cinq minutes quand chaque fois est sélectionné dans la stratégie afin de ne pas solliciter les utilisateurs plus qu’une fois toutes les cinq minutes. Le déclenchement trop fréquent de la réauthentification peut augmenter les frictions de sécurité à un point où les utilisateurs subissent une fatigue MFA et ouvrent la porte aux tentatives d’hameçonnage. Les applications web fournissent généralement une expérience moins perturbante que leurs homologues de bureau lorsqu’elles nécessitent une réauthentification chaque fois qu’elles sont activées.

Scénarios pris en charge en disponibilité générale :

Les capacités en préversion publique de février 2024 permettent aux administrateurs d’exiger l’authentification avec :

Lorsque les administrateurs sélectionnent À chaque fois, une réauthentification complète est exigée lorsque la session est évaluée.

Persistance des sessions de navigation

Une session de navigateur persistante permet aux utilisateurs de rester connectés après la fermeture et la réouverture de la fenêtre du navigateur.

La valeur par défaut de Microsoft Entra ID pour la persistance de la session du navigateur permet aux utilisateurs se servant d’appareils personnels de choisir s’il faut conserver la session en affichant une invite « Restez connecté ? » après une authentification réussie. Si la persistance du navigateur est configurée dans AD FS en suivant les instructions de l’article Paramètres de l’authentification unique AD FS, nous nous conformons à cette stratégie et persistons également la session Microsoft Entra. Vous pouvez également définir si les utilisateurs de votre locataire voient ou non l’invite « Restez connecté ? » en modifiant le paramètre approprié dans le volet de la marque de la société.

Dans les navigateurs persistants, les cookies restent stockés sur l’appareil de l’utilisateur, même après la fermeture par ce dernier du navigateur. Ces cookies peuvent avoir accès aux artefacts Microsoft Entra et lesdits artefacts sont utilisables jusqu’à l’expiration du jeton, quelles que soient les stratégies d’accès conditionnel mises en place dans l’environnement de la ressource. La mise en cache du jeton peut ainsi être en violation directe des stratégies de sécurité souhaitées pour l’authentification. Bien qu’il puisse sembler pratique de stocker des jetons au-delà de la session active, cela peut engendrer une vulnérabilité de sécurité en permettant un accès non autorisé aux artefacts Microsoft Entra.

Configuration des contrôles de la session d’authentification

L’accès conditionnel est une fonctionnalité de Microsoft Entra ID P1 ou P2 et nécessite une licence Premium. Si vous voulez en savoir plus sur les stratégies d’accès conditionnel, consultez Qu’est-ce que l’accès conditionnel dans Microsoft Entra ID ?

Avertissement

Si vous utilisez la fonctionnalité de durée de vie de jeton configurable actuellement en préversion publique, veuillez noter que nous ne prenons pas en charge la création de deux stratégies différentes pour la même combinaison d’utilisateur ou d’application : une avec cette fonctionnalité, l’autre avec une fonctionnalité de durée de vie de jeton configurable. Microsoft a mis hors service la fonctionnalité de durée de vie de jeton configurable pour les jetons d’actualisation et de session le 30 janvier 2021 et l’a remplacée par la fonctionnalité de gestion de session d’authentification par accès conditionnel.

Avant d’activer la fréquence de connexion, assurez-vous que les autres paramètres de réauthentification sont désactivés dans votre locataire. Si l’option « Se souvenir de l’authentification multifacteur sur les appareils de confiance » est activée, veillez à la désactiver avant d’utiliser la fréquence de connexion, car l’utilisation conjointe de ces deux paramètres peut entraîner des messages d’invite inattendus pour les utilisateurs. Pour en savoir plus sur les invites de réauthentification et la durée de vie des sessions, consultez l’article Optimiser les invites de réauthentification et comprendre le fonctionnement de la durée de vie des sessions pour l’authentification multifacteur Microsoft Entra.

Étapes suivantes