Modèles de stratégie d’accès conditionnel

Les modèles d’accès conditionnel fournissent une méthode pratique de déploiement de nouvelles stratégies alignées sur les recommandations de Microsoft. Ces modèles sont conçus pour fournir une protection maximale alignée sur des stratégies couramment utilisées pour différents types de clients et emplacements.

Catégories de modèles

Les modèles de stratégie d'accès conditionnel sont structurés selon les catégories suivantes :

Fondation sécurisée

Microsoft recommande l’utilisation de ces stratégies comme base pour toutes les organisations. Nous recommandons un déploiement groupé.

• Exiger l’authentification multifacteur pour les administrateurs
• Sécurisation de l’inscription des informations de sécurité
• Bloquer l’authentification héritée
• Exiger l’authentification multifacteur pour les administrateurs accédant aux portails d’administration Microsoft
• Exiger l’authentification multifacteur pour tous les utilisateurs
• Exiger une authentification multifacteur pour la gestion Azure
• Exiger un appareil compatible ou avec jonction hybride à Microsoft Entra, ou l’authentification multifacteur pour tous les utilisateurs
• Exiger un appareil conforme

Confiance Zéro

L’ensemble de ces stratégies permet de soutenir une architecture Zero Trust.

• Exiger l’authentification multifacteur pour les administrateurs
• Sécurisation de l’inscription des informations de sécurité
• Bloquer l’authentification héritée
• Exiger l’authentification multifacteur pour tous les utilisateurs
• Exiger une authentification multifacteur pour l’accès invité
• Exiger une authentification multifacteur pour la gestion Azure
• Exiger l’authentification multifacteur pour les connexions risquées Nécessite Microsoft Entra ID P2
• Exiger le changement de mot de passe pour les utilisateurs à haut risque Nécessite Microsoft Entra ID P2
• Bloquer l’accès à une plateforme d’appareils inconnue ou non prise en charge
• Aucune session de navigateur persistante
• Exiger des applications clientes approuvées ou une stratégie de protection des applications
• Exiger un appareil compatible ou avec jonction hybride à Microsoft Entra, ou l’authentification multifacteur pour tous les utilisateurs
• Exiger l’authentification multifacteur pour les administrateurs accédant aux portails d’administration Microsoft
• Bloquer l’accès des utilisateurs présentant un risque interne Nécessite Microsoft Purview

Travail à distance

Ces stratégies permettent de sécuriser les organisations comptant des travailleurs à distance.

• Sécurisation de l’inscription des informations de sécurité
• Bloquer l’authentification héritée
• Exiger l’authentification multifacteur pour tous les utilisateurs
• Exiger une authentification multifacteur pour l’accès invité
• Exiger l’authentification multifacteur pour les connexions risquées Nécessite Microsoft Entra ID P2
• Exiger le changement de mot de passe pour les utilisateurs à haut risque Nécessite Microsoft Entra ID P2
• Exiger un appareil compatible ou avec jonction hybride à Microsoft Entra pour les administrateurs
• Bloquer l’accès à une plateforme d’appareils inconnue ou non prise en charge
• Aucune session de navigateur persistante
• Exiger un appareil conforme
• Exiger des applications clientes approuvées ou une stratégie de protection des applications
• Utiliser les restrictions imposées par les applications pour les appareils non gérés

Protection de l’administrateur

Ces stratégies s’adressent aux administrateurs disposant de privilèges élevés dans votre environnement, où la compromission peut causer le plus de dommages.

• Exiger l’authentification multifacteur pour les administrateurs
• Bloquer l’authentification héritée
• Exiger une authentification multifacteur pour la gestion Azure
• Exiger un appareil compatible ou avec jonction hybride à Microsoft Entra pour les administrateurs
• Exiger un appareil conforme
• Exiger une authentification multifacteur résistante au hameçonnage pour les administrateurs

Menaces émergentes

Les stratégies de cette catégorie offrent de nouveaux moyens de protection contre la compromission.

• Exiger une authentification multifacteur résistante au hameçonnage pour les administrateurs

Obtenez ces modèles en accédant au centre d’administration Microsoft Entra>Protection>Accès conditionnel>Créer une nouvelle stratégie à partir de modèles. Sélectionnez Afficher plus pour afficher tous les modèles de stratégie dans chaque catégorie.

Important

Les stratégies de modèle d’accès conditionnel excluent uniquement l’utilisateur qui crée la stratégie à partir du modèle. Si votre organisation doit exclure d’autres comptes, vous pourrez modifier la stratégie une fois qu’ils sont créés. Vous pouvez trouver ces stratégies dans le centre d’administration Microsoft Entra>Protection>Accès conditionnel>Stratégies. Sélectionnez une stratégie pour ouvrir l’éditeur et modifiez les utilisateurs et groupes exclus afin de sélectionner les comptes à exclure.

Par défaut, chaque stratégie est créée en mode rapport seul. Nous recommandons aux organisations de tester et de superviser l’utilisation, pour s’assurer du résultat escompté, avant d’activer chaque stratégie.

Les organisations peuvent sélectionner des modèles de stratégie individuels et :

• Afficher un résumé des paramètres de stratégie.
• Les modifier pour les personnaliser en fonction des besoins de l’organisation.
• Exporter la définition JSON pour une utilisation dans des workflows programmatiques.
  • Ces définitions JSON peuvent être modifiées, puis importées dans la page principale des stratégies d’accès conditionnel à l’aide de l’option Télécharger un fichier de stratégie.

Autres stratégies courantes

• Exiger l’authentification multifacteur pour l’inscription de l’appareil
• Bloquer l’accès par emplacement
• Bloquer l’accès à l’exception d’applications spécifiques

Exclusions d’utilisateurs

Les stratégies d’accès conditionnel sont des outils puissants. Nous vous recommandons donc d’exclure les comptes suivants de vos stratégies :

• Accès d’urgence ou comptes de secours pour empêcher le verrouillage en raison d’une configuration incorrecte de la stratégie. Dans le scénario peu probable, tous les administrateurs sont verrouillés, votre compte d’administration d’accès d’urgence peut être utilisé pour se connecter et prendre des mesures pour récupérer l’accès.
  • Pour obtenir plus d’informations, consultez l’article Gérer les comptes d’accès d’urgence dans Microsoft Entra ID.
• Comptes de service et principaux de service, tels que le compte Microsoft Entra Connect Sync. Les comptes de service sont des comptes non interactifs qui ne sont liés à aucun utilisateur particulier. Ils sont généralement utilisés par des services back-end autorisant l’accès par programmation aux applications, mais ils le sont également pour une connexion aux systèmes à des fins administratives. Les appels effectués par les principaux de service ne seront pas bloqués par les stratégies d’accès conditionnel destinées aux utilisateurs. Utilisez l’accès conditionnel des identités de charge de travail pour élaborer des stratégies ciblant les principaux de service.
  • Si votre organisation utilise ces comptes dans des scripts ou du code, envisagez de les remplacer par des identités managées.

Étapes suivantes

• Simuler le comportement de connexion à l’aide de l’outil What If pour l’accès conditionnel.
• Utilisez le mode rapport seul pour l’accès conditionnel afin de déterminer l’impact des nouvelles décisions de stratégie.