Étape 1 : Microsoft Entra l’accès conditionnel avec Microsoft Edge for Business

Le périmètre de sécurité moderne s’étend au-delà des limites réseau d’un organization pour inclure l’identité de l’utilisateur et de l’appareil. L’accès conditionnel regroupe les signaux pilotés par l’identité pour appliquer des stratégies organisationnelles dans le cadre d’un modèle de sécurité Confiance nulle. Il évalue les signaux tels que le risque utilisateur, la conformité de l’appareil et le contexte de l’application pour déterminer si l’accès doit être accordé.

Les stratégies d’accès conditionnel les plus simples suivent la logique if-then . Si un utilisateur tente d’accéder à une ressource Microsoft 365, il peut être amené à effectuer une action telle que l’authentification multifacteur (MFA).

Les signaux pilotés par l’identité peuvent inclure :

  • Appartenance à un utilisateur ou à un groupe
  • Informations sur l’emplacement IP
  • État de conformité de l’appareil
  • Application cible
  • Détection des risques en temps réel et calculés

Diagramme illustrant les contrôles d’accès conditionnel pour Microsoft Edge for Business.

L’accès conditionnel est évalué une fois l’authentification terminée. Il n’est pas destiné à atténuer directement les attaques par déni de service (DoS), mais il peut utiliser des signaux de ces événements lors de la prise de décisions d’accès.

Conformité de l’accès conditionnel

La protection des données organisationnelles nécessite d’empêcher l’accès à partir d’appareils non protégés. La protection contre la perte de données (DLP) n’est efficace que lorsque les données ne sont pas accessibles à partir de systèmes qui ne répondent pas aux exigences de sécurité minimales de votre organization.

Protection d'applications stratégies (APP) fonctionnent avec l’accès conditionnel pour garantir que les ressources protégées sont accessibles uniquement à partir d’applications gérées ou protégées par une application, telles que Microsoft Edge for Business. Cela permet aux utilisateurs finaux sur des appareils Windows, Android et iOS personnels d’accéder aux ressources Microsoft Entra sans gestion complète des appareils.

Cette solution utilise trois stratégies d’accès conditionnel pour sécuriser Microsoft Edge for Business ainsi qu’une stratégie complémentaire qui limite les applications de bureau Windows aux appareils conformes :

  • Niveau 1 – De base : Accès au navigateur pour les utilisateurs Windows, Android et iOS qui s’appuient sur des stratégies de protection des applications.
  • Niveau 2 : Confiance nulle améliorée : ajoute des contrôles d’accès basés sur les risques, la vérification continue et des exigences de conformité des appareils.
  • Niveau 3 – Haute Confiance nulle : applique la posture d’accès la plus stricte avec les appareils gérés uniquement, les réinitialisations de mot de passe pour les connexions à risque et la réauthentification fréquente.
  • Stratégie d’accompagnement du navigateur uniquement : Limite les applications de bureau Windows telles qu’Outlook ou Word aux appareils gérés et conformes.

Avant de commencer

  • Vérifiez que votre locataire dispose des licences Microsoft Entra ID Premium et Microsoft Intune nécessaires pour les stratégies d’accès conditionnel et de protection des applications.
  • Vérifiez que les Microsoft Entra groupes SEB-Level1-Usersde sécurité , SEB-Level2-Userset SEB-Level3-Users existent ; ces groupes sont utilisés pour les affectations tout au long du déploiement du navigateur d’entreprise sécurisé. Pour obtenir des instructions pas à pas, consultez Utiliser des groupes pour organiser les utilisateurs et les appareils pour Microsoft Intune.
  • Définissez des emplacements approuvés, des filtres d’appareils et des intégrations de risques (par exemple, Microsoft Defender pour point de terminaison ou un autre fournisseur de défense contre les menaces mobiles) avant d’attribuer les stratégies.
  • Planifiez d’abord l’exécution de chaque stratégie en mode Rapport uniquement afin de pouvoir la valider avant de l’appliquer.

Niveau 1 : stratégie d’accès conditionnel de base

Utilisez cette stratégie pour sécuriser l’accès au navigateur à partir d’appareils Windows, Android et iOS qui s’appuient sur des stratégies de protection des applications au lieu d’une gestion complète des appareils.

  1. Accédez au Centre d’administration Microsoft Intune.

  2. Sélectionnez Sécurité >du point de terminaisonGérerl’accès>> conditionnelCréer une stratégie.

  3. Configurez la stratégie pour le SEB-Level1-Users groupe :

    • Nom: Niveau 1 de l’autorité de certification Edge – De base
    • Ressources cibles : Applications> cloudMicrosoft 365 (Office 365)
    • Conditions:
      • Plateformes d’appareils : Inclure Windows, Android et iOS
      • Applications clientes : Sélectionner le navigateur
      • Filtre pour les appareils :Exclure les appareils où est conforme est égal à True pour se concentrer sur les points de terminaison non gérés/BYOD
    • Subvention:
      • Exiger l’authentification multifacteur
      • Exiger une stratégie de protection des applications
    • Session: Laissez non configuré pour le niveau 1

    Remarque

    Conservez la stratégie en mode Rapport uniquement jusqu’à ce que vous vérifiiez qu’elle achemine les appareils non gérés via Microsoft Edge for Business avec protection des applications.

  4. Sélectionnez Créer pour enregistrer la stratégie.

Niveau 2 : stratégie d’accès conditionnel Confiance nulle améliorée

Le niveau 2 ajoute une vérification continue avec des signaux basés sur les risques et exige que les appareils soient à la fois conformes et protégés par des stratégies de protection des applications.

  1. Accédez au Centre d’administration Microsoft Intune.

  2. Sélectionnez Sécurité >du point de terminaisonGérerl’accès>> conditionnelCréer une stratégie.

  3. Configurez la stratégie pour le SEB-Level2-Users groupe :

    • Nom: Niveau de périphérie 2 de l’autorité de certification : Confiance nulle améliorée
    • Ressources cibles : Applications> cloudToutes les applications cloud
    • Conditions:
      • Plateformes d’appareils : Inclure Windows, Android et iOS
      • Applications clientes : Sélectionner le navigateur
      • Risque de connexion : Défini sur Moyen et supérieur
      • Risque d’appareil : Défini sur Moyen et versions ultérieures (nécessite une défense contre les menaces mobiles ou un signal Microsoft Defender pour point de terminaison intégré)
      • Lieux: Inclure tous les emplacements et exclure vos emplacements nommés approuvés
      • Filtre pour les appareils :Exclure les appareils où est Conforme est égal à True. Ainsi, seuls les appareils non conformes ou non gérés sont soumis à l’application de la protection des applications
    • Subvention:
      • Exiger l’authentification multifacteur
      • Exiger une stratégie de protection des applications
      • Exiger que l’appareil soit marqué comme conforme
    • Session:
      • Utiliser le contrôle >d’application par accès conditionnelSurveiller uniquement
      • Fréquence de connexion : Définir sur Toutes les 4 heures
      • Session de navigateur persistante : Sélectionnez Jamais persistant.

    Remarque

    Exécutez la stratégie en mode Rapport uniquement et passez en revue les classeurs d’analyse pour la confirmer avant de la passer à Activé.

  4. Sélectionnez Créer pour enregistrer la stratégie.

Niveau 3 : stratégie d’accès conditionnel haute Confiance nulle

Le niveau 3 applique la posture d’accès la plus stricte en autorisant uniquement les appareils gérés et conformes à atteindre les ressources Microsoft 365 tout en appliquant davantage de protections pour les connexions à risque.

  1. Accédez au Centre d’administration Microsoft Intune.

  2. Sélectionnez Sécurité >du point de terminaisonGérerl’accès>> conditionnelCréer une stratégie.

  3. Configurez la stratégie pour le SEB-Level3-Users groupe :

    • Nom: Niveau de périphérie de l’autorité de certification 3 – Haute Confiance nulle
    • Ressources cibles : Applications> cloudToutes les applications cloud
    • Conditions:
      • Plateformes d’appareils : Inclure Windows, Android et iOS
      • Applications clientes : Sélectionner le navigateur
      • Risque de connexion : Défini sur Faible et supérieur
      • Risque utilisateur : Défini sur Faible et supérieur
      • Risque d’appareil : Définir sur N’importe quel niveau de risque
      • Lieux: Inclure Tous les emplacements et exclure uniquement vos emplacements nommés les plus approuvés
      • Filtre pour les appareils : Configurer un filtre Include qui nécessite que est Géré est égal à Trueetque est Conforme est égal à True afin que seuls les appareils gérés et conformes répondent à la stratégie
    • Subvention:
      • Exiger l’authentification multifacteur
      • Exiger une stratégie de protection des applications
      • Exiger que l’appareil soit marqué comme conforme
      • Exiger la modification du mot de passe (pour les connexions risquées)
    • Session:
      • Utiliser le contrôle >d’application par accès conditionnelSurveiller et bloquer les téléchargements
      • Fréquence de connexion : Définir sur Toutes les 1 heure
      • Session de navigateur persistante : Sélectionnez Jamais persistant.
      • Activer l’évaluation continue de l’accès

    Remarque

    Conservez cette stratégie en mode Rapport uniquement pendant que vous validez les filtres d’appareil, les signaux de risque et les contrôles de session avec un petit groupe pilote.

  4. Sélectionnez Créer pour enregistrer la stratégie.

Accès par navigateur uniquement pour les applications de bureau Windows

Utilisez cette stratégie complémentaire pour vous assurer que les applications de bureau sur les appareils Windows ne sont disponibles que lorsque l’appareil répond à vos exigences de gestion et de conformité.

  1. Accédez au Centre d’administration Microsoft Intune.

  2. Sélectionnez Sécurité >du point de terminaisonGérerl’accès>> conditionnelCréer une stratégie.

  3. Configurez la stratégie et affectez-la SEB-Level1-Usersaux groupes , SEB-Level2-Userset SEB-Level3-Users :

    • Nom: Applications de bureau d’autorité de certification – Conformité requise
    • Ressources cibles : Applications> cloudMicrosoft 365
    • Conditions:
      • Plateformes d’appareils : Inclure Windows
      • Applications clientes : Sélectionnez Applications mobiles et clients de bureau
    • Subvention:
      • Exiger que l’appareil soit marqué comme conforme
      • (Facultatif) Exiger l’authentification multifacteur pour une assurance supplémentaire

    Remarque

    Si vous autorisez les clients d’authentification hérités, créez une stratégie distincte pour les bloquer ou les restreindre afin qu’ils ne puissent pas contourner les protections du navigateur.

  4. Laissez la stratégie en mode Rapport uniquement jusqu’à ce que vous confirmiez que les applications de bureau restent accessibles uniquement à partir d’appareils inscrits et conformes, puis basculez-la sur Activé.

Valider les stratégies

  • Surveillez les insights d’accès conditionnel intégrés pendant que les stratégies s’exécutent en mode rapport uniquement pendant au moins une à deux semaines.
  • Pilotez les stratégies avec un petit groupe d’utilisateurs avant le déploiement à grande échelle et ajustez les exclusions ou les emplacements approuvés si nécessaire.
  • Passez en revue les journaux de connexion pour vérifier que les scénarios risqués ou non gérés sont confrontés à des problèmes d’authentification multifacteur, à des exigences de protection des applications ou carrément bloqués.
  • Documentez la configuration finale afin que les équipes du support technique puissent résoudre rapidement les refus de connexion.

Étape suivante

Passez à l’étape 2 pour créer une stratégie de protection des applications.

  • Last updated on