Partage via


Prérequis à respecter pour implémenter des stratégies d’accès aux identités et aux appareils Confiance Zéro

Cet article décrit les prérequis que les administrateurs doivent respecter pour utiliser les stratégies et les configurations des accès aux identités et aux appareils Confiance Zéro, et pour utiliser l’accès conditionnel. Il traite également des valeurs par défaut recommandées pour la configuration des plateformes clientes pour obtenir la meilleure expérience possible d’authentification unique (SSO).

Prérequis

Avant d’utiliser les stratégies recommandées d’accès aux identités et aux appareils Confiance Zéro, votre organisation doit respecter des prérequis. Les exigences varient selon les différents modèles d’identité et d’authentification listés :

  • Cloud uniquement
  • Hybride avec authentification avec synchronisation de hachage de mot de passe (PHS)
  • Hybride avec authentification directe (PTA)
  • Adresses IP fédérées

Le tableau suivant détaille les fonctionnalités prérequises et leur configuration qui s’appliquent à tous les modèles d’identité, sauf indication contraire.

Configuration Exceptions Gestion des licences
Configurez la synchronisation de hachage de mot de passe. Cette fonctionnalité doit être activée pour détecter les informations d’identification fuitées et agir sur celles-ci pour l’accès conditionnel basé sur les risques. Notez que ceci est obligatoire, que votre organisation utilise ou non l’authentification fédérée. Cloud uniquement Microsoft 365 E3 ou E5
Activez l’authentification unique fluide pour connecter automatiquement les utilisateurs quand ils sont sur leurs appareils d’organisation connectés au réseau de votre organisation. Cloud uniquement et fédéré Microsoft 365 E3 ou E5
Configurez des emplacements nommés. Microsoft Entra ID Protection collecte et analyse toutes les données de session disponibles pour générer un score de risque. Nous vous recommandons de spécifier les plages d’adresses IP publiques du réseau de votre organisation dans la configuration des emplacements nommés Microsoft Entra ID. Le trafic émanant de ces plages est affecté d’un score de risque réduit, tandis que le trafic provenant de l’extérieur de l’environnement de l’organisation est affecté d’un score de risque plus élevé. Microsoft 365 E3 ou E5
Inscrivez tous les utilisateurs pour la réinitialisation de mot de passe en libre-service (SSPR) et l’authentification multifacteur (MFA). Nous vous recommandons d’inscrire les utilisateurs pour l’authentification multifacteur Microsoft Entra à l’avance. Microsoft Entra ID Protection utilise l’authentification multifacteur Microsoft Entra pour effectuer une vérification de sécurité supplémentaire. En outre, pour obtenir la meilleure expérience de connexion possible, nous vous recommandons aux utilisateurs d’installer l’application Microsoft Authenticator et l’application Portail d’entreprise Microsoft sur leurs appareils. Celles-ci peuvent être installées depuis l’App Store pour chaque plateforme. Microsoft 365 E3 ou E5
Planifiez l’implémentation de votre jonction hybride Microsoft Entra. L’accès conditionnel va vérifier que les appareils qui se connectent aux applications sont joints au domaine ou sont conformes. Pour que cette fonctionnalité soit prise en charge sur les ordinateurs Windows, l’appareil doit être inscrit auprès de Microsoft Entra ID. Cet article explique comment configurer l’inscription automatique des appareils. Cloud uniquement Microsoft 365 E3 ou E5
Préparer votre équipe de support. Mettez en place un plan pour les utilisateurs qui ne sont pas en mesure d’effectuer l’authentification multifacteur. Il peut s’agir de les ajouter à un groupe d’exclusion de la stratégie ou d’inscrire de nouvelles informations d’authentification multifacteur pour eux. Avant d’effectuer une de ces modifications sensibles pour la sécurité, vous devez vérifier que l’utilisateur lui-même en effectue la demande. Le fait d’impliquer les responsables des utilisateurs dans l’approbation de cette opération constitue une approche efficace. Microsoft 365 E3 ou E5
Configurer l’écriture différée du mot de passe dans AD au niveau local. La réécriture du mot de passe permet à Microsoft Entra ID d’imposer aux utilisateurs de changer leur mot de passe local en cas de détection d’un risque élevé de compromission de compte. Vous pouvez activer cette fonctionnalité en utilisant Microsoft Entra Connect de deux façons : activer la réécriture du mot de passe dans l’écran des fonctionnalités facultatives de l’installation de Microsoft Entra Connect, ou l’activer via Windows PowerShell. Cloud uniquement Microsoft 365 E3 ou E5
Configurez la protection par mot de passe Microsoft Entra. La protection par mot de passe Microsoft Entra détecte et bloque les mots de passe faibles connus ainsi que leurs variantes, et peut aussi bloquer d’autres termes faibles, propres à votre organisation. Les listes globales des mots de passe interdits par défaut sont appliquées automatiquement à tous les utilisateurs d’un locataire Microsoft Entra. Vous pouvez définir des entrées supplémentaires dans une liste de mots de passe interdits personnalisés. Lorsque les utilisateurs modifient ou réinitialisent leurs mots de passe, ces listes de mots de passe interdits sont vérifiées pour imposer l’utilisation de mots de passe forts. Microsoft 365 E3 ou E5
Activez Microsoft Entra ID Protection. Microsoft Entra ID Protection vous permet de détecter des vulnérabilités potentielles affectant les identités de votre organisation et de configurer une stratégie de correction automatique pour les risques faibles, moyens et élevés liés à la connexion, et pour les risques liés aux utilisateurs. Microsoft 365 E5 ou Microsoft 365 E3 avec le module complémentaire Sécurité E5
Activez l’authentification moderne pour Exchange Online et pour Skype Entreprise Online. L’authentification moderne est un prérequis pour l’utilisation de l’authentification multifacteur. L’authentification moderne est activée par défaut pour les clients Office 2016 et 2019, SharePoint et OneDrive Entreprise. Microsoft 365 E3 ou E5
Activez l’évaluation continue de l’accès pour Microsoft Entra ID. L’évaluation continue de l’accès met fin de manière proactive aux sessions utilisateur actives et applique les modifications de stratégie du locataire en quasi-temps réel. Microsoft 365 E3 ou E5

Cette section décrit les configurations des clients de plateforme par défaut que nous vous recommandons pour offrir la meilleure expérience possible d’authentification unique à vos utilisateurs, ainsi que les prérequis techniques pour l’accès conditionnel.

Appareils Windows

Nous recommandons Windows 11 ou Windows 10 (version 2004 ou ultérieure), car Azure est conçu pour fournir l’expérience d’authentification unique la plus fluide possible en local et pour Microsoft Entra ID. Les appareils scolaires ou professionnels doivent être configurés de manière à se joindre à Microsoft Entra ID directement ou, si l’organisation utilise la jonction de domaine AD locale, ces appareils doivent être configurés pour s’inscrire automatiquement et en mode silencieux auprès de Microsoft Entra ID.

Pour les appareils Windows BYOD, les utilisateurs peuvent choisir l’option Ajouter un compte professionnel ou scolaire. Notez que les utilisateurs du navigateur Google Chrome sur les appareils Windows 11 ou Windows 10 doivent installer une extension pour bénéficier de la même expérience de connexion fluide que les utilisateurs de Microsoft Edge. En outre, si votre organisation dispose d’appareils Windows 8 ou 8.1 joints au domaine, vous pouvez installer le package Microsoft Workplace Join pour les ordinateurs non-Windows 10. Téléchargez le package pour inscrire les appareils auprès de Microsoft Entra ID.

Appareils iOS

Nous vous recommandons d’installer l’application Microsoft Authenticator sur les appareils des utilisateurs avant de déployer des stratégies d’accès conditionnel ou d’authentification multifacteur. Au minimum, l’application doit être installée quand les utilisateurs sont invités à inscrire leur appareil auprès de Microsoft Entra ID en ajoutant un compte professionnel ou scolaire, ou quand ils installent l’application Portail d’entreprise Intune afin d’inscrire leur appareil pour la gestion. Ceci dépend de la stratégie d’accès conditionnel configurée.

Appareils Android

Nous recommandons aux utilisateurs d’installer l’application Portail d’entreprise Intune et l’application Microsoft Authenticator avant le déploiement des stratégies d’accès conditionnel ou quand ils y sont invités lors de certaines tentatives d’authentification. Après l’installation de l’application, les utilisateurs peuvent être invités à s’inscrire auprès de Microsoft Entra ID ou à inscrire leurs appareils auprès d’Intune. Ceci dépend de la stratégie d’accès conditionnel configurée.

Nous recommandons également que les appareils d’entreprise soient standardisés sur les OEM et les versions prenant en charge Android for Work ou Samsung Knox pour permettre la gestion et la protection des comptes par la stratégie GPM Intune.

Les clients de messagerie suivants prennent en charge l’authentification moderne et l’accès conditionnel.

Plateforme Client Version/Notes
Windows Outlook 2019, 2016

Mises à jour requises

iOS Outlook pour iOS La plus récente
Android Outlook pour Android La plus récente
macOS Outlook 2019 et 2016
Linux Non pris en charge

Les clients suivants sont recommandés quand une stratégie de documents sécurisés a été appliquée.

Plateforme Word/Excel/PowerPoint OneNote Application OneDrive Application SharePoint Client de synchronisation OneDrive
Windows 11 ou Windows 10 Prise en charge Prise en charge N/A N/A Prise en charge
Windows 8.1 Prise en charge Prise en charge N/A N/A Prise en charge
Android Prise en charge Prise en charge Prise en charge Prise en charge S/O
iOS Prise en charge Prise en charge Prise en charge Prise en charge S/O
macOS Prise en charge Prise en charge N/A NON APPLICABLE Non pris en charge
Linux Non pris en charge Non pris en charge Non pris en charge Non pris en charge Non pris en charge

Prise en charge du client Microsoft 365

Pour plus d’informations sur la prise en charge des clients dans Microsoft 365, consultez les articles suivants :

Protection des comptes d’administrateur

Pour Microsoft 365 E3 ou E5 ou avec des licences Microsoft Entra ID P1 ou P2 distinctes, vous pouvez exiger l’authentification multifacteur pour les comptes d’administrateur avec une stratégie d’accès conditionnel créée manuellement. Pour plus d’informations, consultez Accès conditionnel : exiger l’authentification multifacteur pour les administrateurs.

Pour les éditions de Microsoft 365 ou Office 365 qui ne prennent pas en charge l’accès conditionnel, vous pouvez activer les paramètres de sécurité par défaut afin d’exiger l’authentification multifacteur pour tous les comptes.

Voici quelques autres recommandations :

  • Utilisez Microsoft Entra Privileged Identity Management pour réduire le nombre de comptes d’administration permanents.
  • Utilisez la gestion des accès privilégiés pour protéger votre organisation contre les violations qui peuvent utiliser des comptes d’administration privilégiés existants avec un accès permanent aux données sensibles ou un accès aux paramètres de configuration critiques.
  • Créez et utilisez des comptes distincts avec des rôles d’administrateur Microsoft 365 uniquement pour l’administration. Les administrateurs doivent disposer de leur propre compte d’utilisateur pour une utilisation normale hors administration, et utiliser un compte d’administration seulement quand c’est nécessaire pour effectuer une tâche associée à leur rôle ou à leur fonction.
  • Suivez les meilleures pratiques pour sécuriser les comptes privilégiés dans Microsoft Entra ID.

Étape suivante

Étape 2 : Configurer les stratégies courantes d’accès conditionnel pour les identités et les accès Confiance Zéro.

Configurer les stratégies d’accès courantes pour les identités et les appareils Confiance zéro