Que sont les actions protégées dans Microsoft Entra ID ?
Les actions protégées dans Microsoft Entra ID sont des autorisations qui ont été affectées à des stratégies d’accès conditionnel. Lorsqu’un utilisateur tente d’effectuer une action protégée, il doit d’abord satisfaire aux stratégies d’accès conditionnel affectées aux autorisations requises. Par exemple, pour permettre aux administrateurs de mettre à jour les stratégies d’accès conditionnel, vous pouvez exiger qu’ils répondent d’abord à la stratégie MFA résistante au hameçonnage.
Cet article fournit une vue d’ensemble de l’action protégée et de la façon de commencer à les utiliser.
Pourquoi utiliser des actions protégées ?
Vous utilisez des actions protégées lorsque vous souhaitez ajouter une couche de protection supplémentaire. Les actions protégées peuvent être appliquées aux autorisations qui nécessitent une protection forte de la stratégie d’accès conditionnel, indépendamment du rôle utilisé ou de la façon dont l’utilisateur a reçu l’autorisation. Étant donné que l’application de la stratégie se produit au moment où l’utilisateur tente d’effectuer l’action protégée et non lors de la connexion utilisateur ou de l’activation de la règle, les utilisateurs ne sont invités qu’en cas de besoin.
Quelles stratégies sont généralement utilisées avec des actions protégées ?
Nous vous recommandons d’utiliser l’authentification multifacteur sur tous les comptes, en particulier les comptes avec des rôles privilégiés. Les actions protégées peuvent être utilisées pour exiger une sécurité supplémentaire. Voici quelques stratégies d’accès conditionnel plus fortes courantes.
- Des forces d’authentification MFA plus fortes, telles que l’authentification multifacteur sans mot de passe ou l’authentification multifacteur résistante au hameçonnage,
- Stations de travail d’accès privilégié, à l’aide de filtres d’appareil de stratégie d’accès conditionnel.
- Délais d’expiration de session plus courts, à l’aide des contrôles de session de fréquence de connexion à l’accès conditionnel.
Quelles autorisations peuvent être utilisées avec des actions protégées ?
Les politiques d'accès conditionnel peuvent être appliquées à un ensemble limité d'autorisations. Vous pouvez utiliser des actions protégées dans les zones suivantes :
- Gestion des stratégies d’accès conditionnel
- Gestion des paramètres d’accès interlocataire
- Règles personnalisées qui définissent des emplacements réseau
- Gestion des actions protégées
Voici l’ensemble initial d’autorisations :
| Autorisation | Description |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Mettre à jour les propriétés de base des stratégies d'accès conditionnel |
| microsoft.directory/conditionalAccessPolicies/create | Créer des stratégies d’accès conditionnel |
| microsoft.directory/conditionalAccessPolicies/delete | Supprimer les stratégies d'accès conditionnel |
| microsoft.directory/conditionalAccessPolicies/basic/update | Mettre à jour les propriétés de base pour les stratégies d’accès conditionnel |
| microsoft.directory/conditionalAccessPolicies/create | Créer des stratégies d’accès conditionnel |
| microsoft.directory/conditionalAccessPolicies/delete | Supprimer des stratégies d’accès conditionnel |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Mettre à jour les points de terminaison cloud autorisés de la stratégie d’accès interlocataire |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Mettre à jour les paramètres de Microsoft Entra B2B Collaboration de la stratégie d’accès inter-tenants par défaut |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Mettre à jour les paramètres de connexion directe Microsoft Entra B2B de la stratégie d’accès inter-tenants par défaut |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Mettre à jour les paramètres de réunion Teams intercloud de la stratégie d’accès interlocataire par défaut. |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Mettre à jour les restrictions de locataire de la stratégie d’accès interlocataire par défaut. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Mettre à jour les paramètres de Microsoft Entra B2B Collaboration de la stratégie d’accès inter-tenants pour les partenaires. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Mettre à jour les paramètres de connexion directe Microsoft Entra B2B de la stratégie d’accès inter-tenants pour les partenaires. |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Créer une stratégie d’accès interlocataire pour les partenaires. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Mettre à jour les paramètres de réunion Teams intercloud de la stratégie d’accès interlocataire pour les partenaires. |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Supprimer une stratégie d’accès interlocataire pour les partenaires. |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Mettre à jour les restrictions de locataire de la stratégie d’accès interlocataire pour les partenaires. |
| microsoft.directory/namedLocations/basic/update | Mettre à jour des propriétés de base de règles personnalisées qui définissent des emplacements réseau |
| microsoft.directory/namedLocations/create | Créer des règles personnalisées qui définissent des emplacements réseau |
| microsoft.directory/namedLocations/delete | Supprimer des règles personnalisées qui définissent des emplacements réseau |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Mettre à jour le contexte d’authentification par accès conditionnel des actions de ressources de contrôle d’accès basé sur les rôles (RBAC) de Microsoft 365 |
Comment les actions protégées se comparent-elles à l’activation de rôle Privileged Identity Management ?
L’activation de rôle Privileged Identity Management peut également se voir attribuer des stratégies d’accès conditionnel. Cette fonctionnalité permet l’application de la stratégie uniquement lorsqu’un utilisateur active un rôle, ce qui fournit la protection la plus complète. Les actions protégées sont appliquées uniquement lorsqu’un utilisateur effectue une action qui nécessite des autorisations avec la stratégie d’accès conditionnel qui lui est affectée. Les actions protégées permettent de protéger les autorisations à impact élevé, indépendamment du rôle utilisateur. L’activation de rôle Privileged Identity Management et les actions protégées peuvent être utilisées ensemble, pour une couverture forte.
Étapes d’utilisation des actions protégées
Notes
Vous devez effectuer ces étapes en suivant la chronologie suivante pour vous assurer que les actions protégées sont correctement configurées et appliquées. Si vous ne suivez pas cet ordre, vous risquez d’obtenir un comportement inattendu, par exemple des demandes répétées de réauthentification.
Vérifiez les autorisations
Assurez-vous que les rôles Administrateur de l’accès conditionnel ou Administrateur de la sécurité vous sont attribués. Si ce n'est pas le cas, demandez à votre administrateur de vous attribuer le rôle approprié.
Configurer la stratégie d’accès conditionnel
Configurez un contexte d’authentification d’accès conditionnel et une stratégie d’accès conditionnel associée. Les actions protégées utilisent un contexte d’authentification, qui permet l’application de stratégie pour les ressources affinées dans un service, comme les autorisations Microsoft Entra. Une bonne stratégie pour commencer consiste à exiger l’authentification multifacteur (MFA) sans mot de passe et à exclure un compte d’urgence. En savoir plus
Ajouter des actions protégées
Ajoutez des actions protégées en affectant des valeurs de contexte d’authentification d’accès conditionnel aux autorisations sélectionnées. En savoir plus
Tester les actions protégées
Connectez-vous en tant qu’utilisateur et testez l’expérience utilisateur en effectuant l’action protégée. Vous devez être invité à répondre aux exigences de la stratégie d’accès conditionnel. Par exemple, si la stratégie nécessite une authentification multifacteur, vous devez être redirigé vers la page de connexion et vous demander une authentification forte. En savoir plus
Que se passe-t-il avec les actions et applications protégées ?
Si une application ou un service tente d’effectuer une action protégée, il doit être en mesure de gérer la stratégie d’accès conditionnel requise. Dans certains cas, un utilisateur peut avoir besoin d’intervenir et de respecter la stratégie. Par exemple, il peut être nécessaire d’effectuer l’authentification multifacteur. Les applications suivantes prennent en charge l'authentification renforcée pour les actions protégées :
- Expériences d’administrateur Microsoft Entra pour les actions dans le centre d’administration Microsoft Entra
- Microsoft Graph PowerShell
- Explorateur graphique
Il existe certaines limitations connues et attendues. Les applications suivantes échouent si elles tentent d’effectuer une action protégée.
- Azure PowerShell
- Azure AD PowerShell
- Création d’une page de conditions d’utilisation ou d’uncontrôle personnalisé dans le Centre d’administration Microsoft Entra. Les nouvelles pages de conditions d’utilisation ou les contrôles personnalisés sont inscrits avec l’accès conditionnel et sont donc soumis à l’accès conditionnel pour créer, mettre à jour et supprimer des actions protégées. La suppression temporaire de l'exigence de stratégie des actions de création, de mise à jour et de suppression de l'accès conditionnel permet la création d'une nouvelle page de conditions d'utilisation ou d'un contrôle personnalisé.
Si votre organisation a développé une application qui appelle Microsoft API Graph pour effectuer une action protégée, vous devez consulter l’exemple de code pour savoir comment gérer une contestation de revendications à l’aide de l’authentification intermédiaire. Pour plus d’informations, consultez le Guide du développeur sur le contexte d’authentification d’accès conditionnel.
Bonnes pratiques
Voici quelques bonnes pratiques pour l’utilisation d’actions protégées.
Avoir un compte d’urgence
Lorsque vous configurez des stratégies d’accès conditionnel pour les actions protégées, veillez à disposer d’un compte d’urgence qui est exclu de la stratégie. Cela permet d’atténuer le verrouillage accidentel.
Déplacer les stratégies de risque utilisateur et de connexion vers l’accès conditionnel
Les autorisations d’accès conditionnel ne sont pas utilisées lors de la gestion des stratégies de risque Microsoft Entra ID Protection. Nous vous recommandons de déplacer les stratégies de risque utilisateur et de connexion vers l’accès conditionnel.
Utiliser des emplacements réseau nommés
Les autorisations d’emplacement réseau nommé ne sont pas utilisées lors de la gestion des adresses IP approuvées d’authentification multifacteur. Nous vous recommandons d’utiliser des emplacements réseau nommés.
N’utilisez pas d’actions protégées pour bloquer l’accès en fonction de l’identité ou de l’appartenance au groupe
Les actions protégées sont utilisées pour appliquer une exigence d’accès pour effectuer une action protégée. Elles ne sont pas destinées à bloquer l’utilisation d’une autorisation basée uniquement sur l’identité de l’utilisateur ou l’appartenance à un groupe. Qui a accès à des autorisations spécifiques est une décision d’autorisation et doit être contrôlé par l’attribution de rôle.
Conditions de licence :
L'utilisation de cette fonctionnalité nécessite des licences Microsoft Entra ID P1. Pour trouver la licence adaptée à vos besoins, consultez Comparer les fonctionnalités en disponibilité générale de Microsoft Entra ID.