Utilisation de la condition d’emplacement dans une stratégie d’accès conditionnel

  • Article

Une stratégie d’accès conditionnel est à la base constituée d’une instruction de type « if-then » combinant des signaux, qui permet de prendre des décisions et d’appliquer les stratégies de l’organisation. L’un de ces signaux est la localisation.

Conceptual Conditional signal plus decision to get enforcement

Comme mentionné dans l'article de blog, IPv6 arrive sur Microsoft Entra ID, nous prenons désormais en charge IPv6 dans les services Microsoft Entra.

Les organisations peuvent utiliser ces emplacements pour des tâches courantes telles que :

  • Exiger l’authentification multifacteur pour les utilisateurs accédant à un service lorsqu’ils sont en dehors du réseau d’entreprise.
  • Blocage de l’accès pour les utilisateurs qui accèdent à un service depuis des pays ou régions spécifiques à partir desquels votre organisation n’opère jamais.

L’emplacement peut être trouvé à l'aide de l'adresse IP publique qu'un client fournit à Microsoft Entra ID ou aux coordonnées GPS fournies par l'application Microsoft Authenticator. Par défaut, les stratégies d’accès conditionnel s’appliquent à toutes les adresses IPv4 et IPv6. Pour plus d'informations sur la prise en charge d'IPv6, consultez l'article Prise en charge d'IPv6 dans Microsoft Entra ID.

Conseil

Des stratégies d'accès conditionnel sont appliquées au terme de l'authentification premier facteur. L'accès conditionnel n'est pas destiné à être la première ligne de défense d'une organisation pour des scénarios comme les attaques par déni de service (DoS), mais il peut utiliser les signaux de ces événements pour déterminer l'accès.

Emplacements nommés

Des emplacements existent sous Protection>Accès conditionnel>Emplacements nommés. Ces emplacements réseau nommés peuvent inclure les plages réseau du siège de l’organisation ou du VPN, ou les plages que vous souhaitez bloquer. Les emplacements nommés sont définis par des plages d’adresses IPv4 et IPv6 ou par pays/région.

Plages d’adresses IPv4 et IPv6

Pour définir un emplacement nommé à l’aide de plages d’adresses IPv4/IPv6, vous devez fournir :

  • Un nom pour la localisation.
  • Une ou plusieurs plages d’adresses IP.
  • Le cas échéant, Marquer comme emplacement approuvé.

New IP locations

Les emplacements nommés définis par les plages d’adresses IPv4/IPv6 sont soumis aux limitations suivantes :

  • Configurer jusqu’à 195 emplacements nommés.
  • Configurer jusqu’à 2 000 plages d’adresses IP par emplacement nommé.
  • Les adresses IPv4 et IPv6 sont prises en charge.
  • Le nombre d’adresses IP contenues dans une plage est limité. Seuls les masques CIDR supérieurs à /8 sont autorisés lors de la définition d’une plage d’adresses IP.

Emplacements approuvés

Les emplacements tels que les plages de réseau public de votre organisation peuvent être marqués comme approuvés. Ce marquage est utilisé par les fonctionnalités de plusieurs façons.

  • Les stratégies d’accès conditionnel peuvent inclure ou exclure ces emplacements.
  • Les connexions à partir d'emplacements nommés approuvés améliorent la précision du calcul des risques de Microsoft Entra ID Protection, réduisant ainsi le risque de connexion d'un utilisateur lorsqu'il s'authentifie à partir d'un emplacement marqué comme fiable.
  • Les emplacements indiqués comme approuvés ne peuvent être supprimés. Supprimez la désignation « approuvé » avant de tenter la suppression.

Avertissement

Même si vous connaissez le réseau et que vous le marquez comme approuvé, cela ne signifie pas que vous devez l’exclure des stratégies appliquées. Vérifier explicitement est un principe de base d’une architecture Confiance zéro. Pour en savoir plus sur Confiance Zéro et d’autres façons d’aligner votre organisation sur les principes directeurs, consultez le Centre d’aide Confiance Zéro.

Pays/régions

Les organisations peuvent déterminer la localisation du pays/de la région grâce à l’adresse IP ou aux coordonnées GPS.

Pour définir un emplacement nommé par pays/région, vous devez fournir ce qui suit :

  • Un nom pour la localisation.
  • Choisissez de déterminer la localisation par adresse IP ou par coordonnées GPS.
  • Ajoutez un ou plusieurs pays/régions.
  • Le cas échéant, choisissez Inclure des pays/régions inconnus.

Country as a location

Si vous sélectionnez Déterminer la localisation par adresse IP, le système collecte l’adresse IP de l’appareil auquel l’utilisateur se connecte. Lorsqu'un utilisateur se connecte, Microsoft Entra ID résout l'adresse IPv4 ou IPv6 de l'utilisateur (à compter du 3 avril 2023) en un pays ou une région, et le mappage est mis à jour périodiquement. Les organisations peuvent utiliser des emplacements nommés définis par pays/région pour bloquer le trafic provenant de pays/régions où elles n’exercent pas d’activité.

Si vous sélectionnez Déterminer la localisation par coordonnées GPS, l’utilisateur doit avoir installé l’application Microsoft Authenticator sur son appareil mobile. Toutes les heures, le système contacte l’application Microsoft Authenticator de l’utilisateur pour collecter la position GPS de son appareil mobile.

La première fois que l’utilisateur doit partager sa localisation à partir de l’application Microsoft Authenticator, il reçoit une notification dans l’application. L’utilisateur doit ouvrir l’application et accorder des autorisations de localisation. Pendant les 24 heures suivantes, si l’utilisateur accède toujours à la ressource et a autorisé l’application à fonctionner en arrière-plan, la localisation de l’appareil est partagée silencieusement une fois par heure.

  • Après 24 heures, l’utilisateur doit ouvrir l’application et approuver la notification.
  • Les utilisateurs pour lesquels la correspondance de nombre ou le contexte supplémentaire est activé(e) dans l’application Microsoft Authenticator ne recevront pas de notifications en mode silencieux, et devront ouvrir l’application pour approuver les notifications.

Chaque fois que l’utilisateur partage sa position GPS, l’application effectue une détection de débridage (en utilisant la même logique que le Kit de développement logiciel [SDK] Intune MAM). Si l’appareil est débridé, l’emplacement n’est pas considéré comme valide et l’accès n’est pas accordé à l’utilisateur. L’application Microsoft Authenticator sur Android utilise l’API d’intégrité Google Play pour faciliter la détection de jailbreak. Si l’API d’intégrité Google Play n’est pas disponible, la demande est refusée et l’utilisateur ne peut pas accéder à la ressource demandée, sauf si la stratégie d’accès conditionnel est désactivée. Pour plus d’informations sur l’application Microsoft Authenticator, consultez l’article Questions fréquentes sur l’application Microsoft Authenticator.

Remarque

Une stratégie d’accès conditionnel avec des emplacements nommés basés sur le GPS en mode rapport seul invite les utilisateurs à partager leur position GPS, même si leur connexion n’est pas bloquée.

La localisation GPS ne fonctionne pas avec les méthodes d’authentification sans mot de passe.

Plusieurs applications de stratégies d’accès conditionnel peuvent inviter les utilisateurs à entrer leur localisation GPS avant l’application de toutes les stratégies d’accès conditionnel. En raison de la façon dont les stratégies d’accès conditionnel sont appliquées, un utilisateur peut se voir refuser l’accès s’il réussit le contrôle d’emplacement, mais échoue à une autre stratégie. Pour plus d’informations sur l’application des stratégies, consultez l’article Création d’une stratégie d’accès conditionnel.

Important

Les utilisateurs peuvent recevoir des invites toutes les heures les informant que Microsoft Entra ID vérifie leur emplacement dans l'application Authenticator. La préversion ne doit être utilisée que pour protéger des applications très sensibles lorsque ce comportement est acceptable ou lorsque l’accès doit être limité à un pays ou une région spécifique.

Refuser les demandes avec un emplacement modifié

Les utilisateurs peuvent modifier l’emplacement signalé par les appareils iOS et Android. Par conséquent, Microsoft Authenticator met à jour sa base de référence de sécurité pour les stratégies d’accès conditionnel basées sur l’emplacement. Authenticator refuse les authentifications lorsque l’utilisateur semble utiliser un emplacement différent de l’emplacement GPS réel de l’appareil mobile où Authenticator est installé.

Dans la version de novembre 2023 d’Authenticator, les utilisateurs qui modifient l’emplacement de leur appareil verront un message de refus dans Authenticator lorsqu’ils tentent une authentification basée sur l’emplacement. À compter de janvier 2024, tous les utilisateurs qui exécutent des versions antérieures d’Authenticator sont empêchés de réaliser une authentification basée sur l’emplacement :

  • Authenticator version 6.2309.6329 ou antérieure sur Android
  • Authenticator version 6.7.16 ou antérieure sur iOS

Pour trouver les utilisateurs qui utilisent des versions antérieures d’Authenticator, utilisez les API Microsft Graph.

Inclure des pays/régions inconnus

Certaines adresses IP ne sont pas mappées à un pays ou une région spécifique. Pour capturer ces localisations IP, cochez la case Inclure des pays/régions inconnus lors de la définition d’une localisation géographique. Cette option vous permet de choisir si ces adresses IP doivent être incluses dans l’emplacement nommé. Utilisez ce paramètre lorsque la stratégie utilisant l’emplacement nommé doit s’appliquer à des emplacements inconnus.

Configurer des adresses IP approuvées MFA

Vous pouvez également configurer des plages d’adresses IP représentant l’intranet local de votre organisation dans les paramètres du service d’authentification multifacteur. Cette fonctionnalité vous permet de configurer jusqu’à 50 plages d’adresses IP. Les plages d’adresses IP sont au format CIDR. Pour plus d’informations, consultez Adresses IP approuvées.

Si vous avez approuvé des adresses IP configurées, elles apparaissent en tant qu'adresses IP approuvées MFA dans la liste des emplacements de la condition d'emplacement.

Ignorer l’authentification multifacteur

Dans la page des paramètres du service d’authentification multifacteur, vous pouvez identifier les utilisateurs de l’intranet d’entreprise en sélectionnant Ignorer l’authentification multifacteur pour les demandes issues d’utilisateurs fédérés provenant de mon intranet. Ce paramètre indique que la revendication de réseau d’entreprise interne, qui est émise par AD FS, doit être approuvée et utilisée pour identifier l’utilisateur comme étant sur le réseau d’entreprise. Pour plus d’informations, consultez Activer la fonctionnalité Adresses IP approuvées à l’aide de l’accès conditionnel.

Après avoir activé cette option, ainsi que l'emplacement nommé, les Adresses IP approuvées MFA s'appliqueront à toutes les stratégies dans lesquelles cette option est sélectionnée.

Pour les applications mobiles et de bureau avec des durées de session active longues, l’accès conditionnel est réévalué régulièrement. La valeur par défaut est une fois une heure. Lorsque la revendication de réseau d’entreprise interne n’est émise qu’au moment de l’authentification initiale, il se peut que nous n’ayons pas de liste de plages d’adresses IP approuvées. Dans ce cas, il est plus difficile de déterminer si l’utilisateur est toujours sur le réseau d’entreprise :

  1. Vérifiez si l’adresse IP de l’utilisateur se trouve dans l’une des plages d’adresses IP approuvées.
  2. Vérifiez si les trois premiers octets de l’adresse IP de l’utilisateur correspondent aux trois premiers octets de l’adresse IP de l’authentification initiale. L’adresse IP est comparée à l’authentification initiale lorsque la revendication de réseau d’entreprise interne a été émise à l’origine et que l’emplacement de l’utilisateur a été validé.

Si les deux étapes échouent, un utilisateur est considéré comme n’étant plus sur une adresse IP approuvée.

Définir des emplacements

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
  2. Accédez à Protection>Accès conditionnel>Emplacement nommé.
  3. Choisissez Nouvel emplacement.
  4. Donnez un nom à votre emplacement.
  5. Choisissez Plages d’adresses IP si vous connaissez les plages d’adresses IPv4 accessibles de l’extérieur qui composent cet emplacement ou ces pays/régions.
    1. Fournissez les plages d’adresses IP ou sélectionnez Pays/régions pour l’emplacement que vous spécifiez.
      • Si vous choisissez Pays/régions, vous pouvez éventuellement choisir d’inclure les zones inconnues.
  6. Choisir Enregistrer

Condition d’emplacement dans une stratégie

Lorsque vous configurez la condition de localisation, vous pouvez faire la distinction entre :

  • N’importe quel emplacement
  • Tous les emplacements approuvés
  • Tous les emplacements réseau conformes
  • Des emplacements sélectionnés

N’importe quel emplacement

Par défaut, la sélection de N’importe quel emplacement entraîne l’application d’une stratégie à toutes les adresses IP, à savoir n’importe quelle adresse sur Internet. Ce paramètre ne se limite pas aux adresses IP que vous avez configurées en tant qu’emplacements nommés. Lorsque vous sélectionnez N’importe quel emplacement, vous pouvez toujours exclure des emplacements spécifiques d’une stratégie. Par exemple, vous pouvez appliquer une stratégie à tous les emplacements, sauf des emplacements approuvés, afin de définir l’étendue à tous les emplacements, à l’exception du réseau d’entreprise.

Tous les emplacements approuvés

Cette option s’applique à :

  • Tous les emplacements qui ont été marqués comme emplacement approuvé.
  • Adresses IP approuvées MFA, si configurées.

Adresses IP approuvées pour l’authentification multifacteur

L’utilisation de la section Adresses IP approuvées des paramètres de service de l’authentification multifacteur n’est plus recommandée. Ce contrôle n'accepte que les adresses IPv4 et ne doit être utilisé que pour des scénarios spécifiques abordés dans l'article Configurer les paramètres d'authentification multifacteur Microsoft Entra

Si vous avez approuvé des adresses IP configurées, elles apparaissent en tant qu'adresses IP approuvées MFA dans la liste des emplacements de la condition d'emplacement.

Tous les emplacements réseau conformes

Les organisations ayant accès aux fonctionnalités d’évaluation de Global Secure Access ont un autre emplacement listé, composé d’utilisateurs et d’appareils conformes aux stratégies de sécurité de votre organisation. Pour plus d’informations, consultez la section Activer la signalisation Global Secure Access pour l’accès conditionnel. Elle peut être utilisée avec des stratégies d’accès conditionnel pour effectuer un contrôle de conformité du réseau pour l’accès aux ressources.

Des emplacements sélectionnés

Avec cette option, vous pouvez sélectionner un ou plusieurs emplacements nommés. Pour une stratégie avec ce paramètre à appliquer, un utilisateur doit se connecter à partir de l’un des emplacements sélectionnés. Lorsque vous sélectionnez le réseau nommé, le contrôle de sélection qui affiche la liste des réseaux nommés s’ouvre. La liste indique également si l’emplacement réseau a été marqué comme approuvé.

Trafic IPv6

Les stratégies d’accès conditionnel s’appliquent à tout le trafic IPv4 etIPv6 (à compter du 3 avril 2023).

Identification du trafic IPv6 avec les rapports d'activité Microsoft Entra Sign-in

Vous pouvez découvrir le trafic IPv6 dans votre locataire en accédant aux rapports d'activité de connexion Microsoft Entra. Une fois le rapport d’activité ouvert, ajoutez la colonne « Adresse IP » et ajoutez un deux-points (:) au champ. Ce filtre permet de distinguer le trafic IPv6 du trafic IPv4.

Vous pouvez également trouver l’adresse IP du client en cliquant sur une ligne du rapport, puis en accédant à l’onglet « Emplacement » dans les détails de l’activité de connexion.

A screenshot showing Microsoft Entra sign-in logs and an IP address filter for IPv6 addresses.

Remarque

Les adresses IPv6 des points de terminaison de service peuvent apparaître dans les journaux de connexion avec des échecs en raison de leur façon de gérer le trafic. Remarquez que les points de terminaison de service ne sont pas pris en charge. Si les utilisateurs voient ces adresses IPv6, supprimez le point de terminaison de service de la configuration du sous-réseau de leur réseau virtuel.

Ce que vous devez savoir

Proxies cloud et réseaux privés virtuels

Lorsque vous utilisez un proxy hébergé dans le cloud ou une solution VPN, l'adresse IP utilisée par Microsoft Entra ID lors de l'évaluation d'une stratégie est l'adresse IP du proxy. L’en-tête X-Forwarded-For (XFF) qui contient l’adresse IP publique de l’utilisateur n’est pas utilisé car, comme il n’existe aucune validation provenant d’une source approuvée, il pourrait permettre de falsifier une adresse IP.

Lorsqu’un proxy cloud est en place, une stratégie qui nécessite un appareil hybride Microsoft Entra ou conforme peut être plus facile à gérer. Il s’avère presque impossible de tenir à jour la liste des adresses IP utilisées par votre solution VPN ou proxy hébergé dans le cloud.

Nous recommandons aux organisations d’utiliser Global Secure Access pour activer la restauration de l’adresse IP source afin d’éviter ce changement d’adresse et de simplifier la gestion.

Quand un emplacement est-il évalué ?

Les stratégies d’accès conditionnel sont évaluées lorsque :

  • Un utilisateur se connecte initialement à une application web, mobile ou de bureau.
  • Une application mobile ou de bureau qui utilise une authentification moderne utilise un jeton d’actualisation pour acquérir un nouveau jeton d’accès. Par défaut, la vérification est effectuée une fois par heure.

Ce qui signifie que pour des applications mobiles et de bureau utilisant l’authentification moderne, un changement d’emplacement est détecté dans l’heure du changement de l’emplacement réseau. Pour les applications mobiles et de bureau n’utilisant pas l’authentification moderne, la stratégie s’applique sur chaque requête de jeton. La fréquence de la requête peut varier selon l’application. De même, pour les applications web, les politiques s'appliquent lors de l'ouverture de session initiale et sont valables pendant toute la durée de la session sur l'application web. En raison des différences de durées de session dans les applications, le temps d’évaluation de la stratégie varie. À chaque fois que l'application demande un nouveau jeton de connexion, la stratégie est appliquée.

Par défaut, Microsoft Entra ID émet un jeton toutes les heures. Lorsque les utilisateurs quittent le réseau de l'entreprise, la stratégie est appliquée dans l’heure qui suit pour les applications utilisant l’authentification moderne.

Adresse IP utilisateur

L’adresse IP utilisée dans l’évaluation de la stratégie correspond à l’IPv4 ou IPv6 publique de l’utilisateur. Pour les appareils sur un réseau privé, il ne s’agit pas de l’adresse IP cliente de l’appareil de l’utilisateur sur l’intranet, mais de l’adresse utilisée par le réseau pour se connecter à l’Internet public.

Quand pouvez-vous bloquer des emplacements ?

Une stratégie utilisant la condition d’emplacement pour bloquer l’accès est considérée comme restrictive et doit être employée avec précaution après des tests approfondis. Certaines instances peuvent utiliser la condition d’emplacement pour bloquer l’authentification :

  • Blocage des pays/régions où votre organisation n’opère jamais.
  • Blocage de plages spécifiques d’adresses IP, par exemple :
    • Adresses IP malveillantes connues avant la modification d’une stratégie de pare-feu.
    • Pour les actions hautement sensibles ou nécessitant une autorisation et les applications cloud.
    • En fonction de la plage d’adresses IP spécifiques à l’utilisateur, comme l’accès aux applications de comptabilité ou de paie.

Exclusions d’utilisateurs

Les stratégies d’accès conditionnel sont des outils puissants. Nous vous recommandons donc d’exclure les comptes suivants de vos stratégies :

  • Comptes d’accès d’urgence ou de secours pour empêcher le verrouillage du compte sur l’ensemble du locataire. Dans le scénario improbable où tous les administrateurs seraient verrouillés hors de votre locataire, votre compte administratif d’accès d’urgence peut être utilisé pour vous connecter au locataire et prendre les mesures nécessaires pour récupérer l’accès.
  • Comptes de service et principaux de service, tels que le compte de synchronisation Microsoft Entra Connect. Les comptes de service sont des comptes non interactifs qui ne sont liés à aucun utilisateur particulier. Ils sont généralement utilisés par des services back-end autorisant l’accès par programmation aux applications, mais ils le sont également pour se connecter aux systèmes à des fins administratives. Les comptes de service comme ceux-ci doivent être exclus, car l’authentification MFA ne peut pas être effectuée par programme. Les appels effectués par les principaux de service ne seront pas bloqués par les stratégies d’accès conditionnel destinées aux utilisateurs. Utilisez l’accès conditionnel des identités de charge de travail pour élaborer des stratégies ciblant les principaux de service.
    • Si votre organisation utilise ces comptes dans des scripts ou du code, envisagez de les remplacer par des identités managées. Pour contourner provisoirement le problème, vous pouvez exclure ces comptes spécifiques de la stratégie de base.

Chargement et téléchargement en bloc d’emplacements nommés

Lorsque vous créez ou mettez à jour des emplacements nommés, pour effectuer des mises à jour en bloc, vous pouvez charger ou télécharger un fichier CSV contenant les plages d’adresses IP. Un chargement permet de remplacer les plages d’adresses IP de la liste par celles du fichier. Chaque ligne du fichier contient une plage d’adresses IP au format CIDR.

Prise en charge des API et PowerShell

Une préversion de l’API Graph pour les emplacements nommés est disponible. Pour plus d’informations, consultez API namedLocation.

Étapes suivantes