Partage via


Que sont les actions protégées dans Microsoft Entra ID ?

Les actions protégées dans Microsoft Entra ID sont des autorisations qui ont été affectées à des stratégies d’accès conditionnel. Lorsqu’un utilisateur tente d’effectuer une action protégée, il doit d’abord satisfaire aux stratégies d’accès conditionnel affectées aux autorisations requises. Par exemple, pour permettre aux administrateurs de mettre à jour les stratégies d’accès conditionnel, vous pouvez exiger qu’ils répondent d’abord à la stratégie MFA résistante au hameçonnage.

Cet article fournit une vue d’ensemble de l’action protégée et de la façon de commencer à les utiliser.

Pourquoi utiliser des actions protégées ?

Vous utilisez des actions protégées lorsque vous souhaitez ajouter une couche de protection supplémentaire. Les actions protégées peuvent être appliquées aux autorisations qui nécessitent une protection forte de la stratégie d’accès conditionnel, indépendamment du rôle utilisé ou de la façon dont l’utilisateur a reçu l’autorisation. Étant donné que l’application de la stratégie se produit au moment où l’utilisateur tente d’effectuer l’action protégée et non lors de la connexion utilisateur ou de l’activation de la règle, les utilisateurs ne sont invités qu’en cas de besoin.

Quelles stratégies sont généralement utilisées avec des actions protégées ?

Nous vous recommandons d’utiliser l’authentification multifacteur sur tous les comptes, en particulier les comptes avec des rôles privilégiés. Les actions protégées peuvent être utilisées pour exiger une sécurité supplémentaire. Voici quelques stratégies d’accès conditionnel plus fortes courantes.

Quelles autorisations peuvent être utilisées avec des actions protégées ?

Les politiques d'accès conditionnel peuvent être appliquées à un ensemble limité d'autorisations. Vous pouvez utiliser des actions protégées dans les zones suivantes :

  • Gestion des stratégies d’accès conditionnel
  • Gestion des paramètres d’accès interlocataire
  • Règles personnalisées qui définissent des emplacements réseau
  • Gestion des actions protégées

Voici l’ensemble initial d’autorisations :

Autorisation Description
microsoft.directory/conditionalAccessPolicies/basic/update Mettre à jour les propriétés de base des stratégies d'accès conditionnel
microsoft.directory/conditionalAccessPolicies/create Créer des stratégies d’accès conditionnel
microsoft.directory/conditionalAccessPolicies/delete Supprimer les stratégies d'accès conditionnel
microsoft.directory/conditionalAccessPolicies/basic/update Mettre à jour les propriétés de base pour les stratégies d’accès conditionnel
microsoft.directory/conditionalAccessPolicies/create Créer des stratégies d’accès conditionnel
microsoft.directory/conditionalAccessPolicies/delete Supprimer des stratégies d’accès conditionnel
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Mettre à jour les points de terminaison cloud autorisés de la stratégie d’accès interlocataire
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Mettre à jour les paramètres de Microsoft Entra B2B Collaboration de la stratégie d’accès inter-tenants par défaut
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Mettre à jour les paramètres de connexion directe Microsoft Entra B2B de la stratégie d’accès inter-tenants par défaut
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Mettre à jour les paramètres de réunion Teams intercloud de la stratégie d’accès interlocataire par défaut.
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Mettre à jour les restrictions de locataire de la stratégie d’accès interlocataire par défaut.
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Mettre à jour les paramètres de Microsoft Entra B2B Collaboration de la stratégie d’accès inter-tenants pour les partenaires.
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Mettre à jour les paramètres de connexion directe Microsoft Entra B2B de la stratégie d’accès inter-tenants pour les partenaires.
microsoft.directory/crossTenantAccessPolicy/partners/create Créer une stratégie d’accès interlocataire pour les partenaires.
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Mettre à jour les paramètres de réunion Teams intercloud de la stratégie d’accès interlocataire pour les partenaires.
microsoft.directory/crossTenantAccessPolicy/partners/delete Supprimer une stratégie d’accès interlocataire pour les partenaires.
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Mettre à jour les restrictions de locataire de la stratégie d’accès interlocataire pour les partenaires.
microsoft.directory/namedLocations/basic/update Mettre à jour des propriétés de base de règles personnalisées qui définissent des emplacements réseau
microsoft.directory/namedLocations/create Créer des règles personnalisées qui définissent des emplacements réseau
microsoft.directory/namedLocations/delete Supprimer des règles personnalisées qui définissent des emplacements réseau
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Mettre à jour le contexte d’authentification par accès conditionnel des actions de ressources de contrôle d’accès basé sur les rôles (RBAC) de Microsoft 365

Comment les actions protégées se comparent-elles à l’activation de rôle Privileged Identity Management ?

L’activation de rôle Privileged Identity Management peut également se voir attribuer des stratégies d’accès conditionnel. Cette fonctionnalité permet l’application de la stratégie uniquement lorsqu’un utilisateur active un rôle, ce qui fournit la protection la plus complète. Les actions protégées sont appliquées uniquement lorsqu’un utilisateur effectue une action qui nécessite des autorisations avec la stratégie d’accès conditionnel qui lui est affectée. Les actions protégées permettent de protéger les autorisations à impact élevé, indépendamment du rôle utilisateur. L’activation de rôle Privileged Identity Management et les actions protégées peuvent être utilisées ensemble, pour une couverture forte.

Étapes d’utilisation des actions protégées

Notes

Vous devez effectuer ces étapes en suivant la chronologie suivante pour vous assurer que les actions protégées sont correctement configurées et appliquées. Si vous ne suivez pas cet ordre, vous risquez d’obtenir un comportement inattendu, par exemple des demandes répétées de réauthentification.

  1. Vérifiez les autorisations

    Assurez-vous que les rôles Administrateur de l’accès conditionnel ou Administrateur de la sécurité vous sont attribués. Si ce n'est pas le cas, demandez à votre administrateur de vous attribuer le rôle approprié.

  2. Configurer la stratégie d’accès conditionnel

    Configurez un contexte d’authentification d’accès conditionnel et une stratégie d’accès conditionnel associée. Les actions protégées utilisent un contexte d’authentification, qui permet l’application de stratégie pour les ressources affinées dans un service, comme les autorisations Microsoft Entra. Une bonne stratégie pour commencer consiste à exiger l’authentification multifacteur (MFA) sans mot de passe et à exclure un compte d’urgence. En savoir plus

  3. Ajouter des actions protégées

    Ajoutez des actions protégées en affectant des valeurs de contexte d’authentification d’accès conditionnel aux autorisations sélectionnées. En savoir plus

  4. Tester les actions protégées

    Connectez-vous en tant qu’utilisateur et testez l’expérience utilisateur en effectuant l’action protégée. Vous devez être invité à répondre aux exigences de la stratégie d’accès conditionnel. Par exemple, si la stratégie nécessite une authentification multifacteur, vous devez être redirigé vers la page de connexion et vous demander une authentification forte. En savoir plus

Que se passe-t-il avec les actions et applications protégées ?

Si une application ou un service tente d’effectuer une action protégée, il doit être en mesure de gérer la stratégie d’accès conditionnel requise. Dans certains cas, un utilisateur peut avoir besoin d’intervenir et de respecter la stratégie. Par exemple, il peut être nécessaire d’effectuer l’authentification multifacteur. Les applications suivantes prennent en charge l'authentification renforcée pour les actions protégées :

Il existe certaines limitations connues et attendues. Les applications suivantes échouent si elles tentent d’effectuer une action protégée.

  • Azure PowerShell
  • Azure AD PowerShell
  • Création d’une page de conditions d’utilisation ou d’uncontrôle personnalisé dans le Centre d’administration Microsoft Entra. Les nouvelles pages de conditions d’utilisation ou les contrôles personnalisés sont inscrits avec l’accès conditionnel et sont donc soumis à l’accès conditionnel pour créer, mettre à jour et supprimer des actions protégées. La suppression temporaire de l'exigence de stratégie des actions de création, de mise à jour et de suppression de l'accès conditionnel permet la création d'une nouvelle page de conditions d'utilisation ou d'un contrôle personnalisé.

Si votre organisation a développé une application qui appelle Microsoft API Graph pour effectuer une action protégée, vous devez consulter l’exemple de code pour savoir comment gérer une contestation de revendications à l’aide de l’authentification intermédiaire. Pour plus d’informations, consultez le Guide du développeur sur le contexte d’authentification d’accès conditionnel.

Bonnes pratiques

Voici quelques bonnes pratiques pour l’utilisation d’actions protégées.

  • Avoir un compte d’urgence

    Lorsque vous configurez des stratégies d’accès conditionnel pour les actions protégées, veillez à disposer d’un compte d’urgence qui est exclu de la stratégie. Cela permet d’atténuer le verrouillage accidentel.

  • Déplacer les stratégies de risque utilisateur et de connexion vers l’accès conditionnel

    Les autorisations d’accès conditionnel ne sont pas utilisées lors de la gestion des stratégies de risque Microsoft Entra ID Protection. Nous vous recommandons de déplacer les stratégies de risque utilisateur et de connexion vers l’accès conditionnel.

  • Utiliser des emplacements réseau nommés

    Les autorisations d’emplacement réseau nommé ne sont pas utilisées lors de la gestion des adresses IP approuvées d’authentification multifacteur. Nous vous recommandons d’utiliser des emplacements réseau nommés.

  • N’utilisez pas d’actions protégées pour bloquer l’accès en fonction de l’identité ou de l’appartenance au groupe

    Les actions protégées sont utilisées pour appliquer une exigence d’accès pour effectuer une action protégée. Elles ne sont pas destinées à bloquer l’utilisation d’une autorisation basée uniquement sur l’identité de l’utilisateur ou l’appartenance à un groupe. Qui a accès à des autorisations spécifiques est une décision d’autorisation et doit être contrôlé par l’attribution de rôle.

Conditions de licence :

L'utilisation de cette fonctionnalité nécessite des licences Microsoft Entra ID P1. Pour trouver la licence adaptée à vos besoins, consultez Comparer les fonctionnalités en disponibilité générale de Microsoft Entra ID.

Étapes suivantes