Qu’est-ce que l’accès conditionnel ?
Le périmètre de sécurité moderne s’étend désormais au-delà du réseau d’une organisation pour inclure l’identité de l’utilisateur et de l’appareil. Les organisations peuvent utiliser des signaux d’identité dans le cadre de leurs décisions de contrôle d’accès.
Un accès conditionnel regroupe des signaux pour prendre des décisions et appliquer des stratégies organisationnelles. L’accès conditionnel Azure AD est au cœur du nouveau plan de contrôle basé sur les identités.
Les stratégies d’accès conditionnel, dans leur forme la plus simple, sont des instructions if-then : si un utilisateur souhaite accéder à une ressource, il doit effectuer une action. Exemple : Un responsable paie souhaite accéder à l’application de paie et il doit effectuer une authentification multifacteur pour y accéder.
Les administrateurs sont confrontés à deux objectifs principaux :
- Permettre aux utilisateurs d’être productifs où et quand ils le veulent
- Protéger les ressources de l’entreprise
Utilisez des stratégies d’accès conditionnel pour appliquer les contrôles d’accès appropriés pour garantir la sécurité de votre organisation.
Important
Des stratégies d'accès conditionnel sont appliquées au terme de l'authentification premier facteur. L'accès conditionnel n'est pas destiné à être la première ligne de défense d'une organisation pour des scénarios comme les attaques par déni de service (DoS), mais il peut utiliser les signaux de ces événements pour déterminer l'accès.
Signaux courants
Les signaux courants que l’accès conditionnel peut prendre en compte lors d’une prise de décision en matière de stratégie sont notamment les suivants :
- Appartenance des utilisateurs ou appartenance à un groupe
- Les stratégies peuvent ciblées des utilisateurs et des groupes spécifiques, ce qui donne aux administrateurs un contrôle plus précis sur l’accès.
- Informations d’emplacement IP
- Les organisations peuvent créer des plages d’adresses IP approuvées qui peuvent être utilisées pour prendre des décisions en matière de stratégie.
- Les administrateurs peuvent spécifier des plages d’adresses IP de pays/régions entiers pour bloquer ou autoriser le trafic en provenance de ceux-ci.
- Appareil
- Les utilisateurs disposant d’appareils de plateformes spécifiques ou marqués avec un état spécifique peuvent être utilisés lors de l’application de stratégies d’accès conditionnel.
- Utilisez les filtres relatifs aux appareils pour cibler les stratégies sur des appareils spécifiques, comme les stations de travail à accès privilégié.
- Application
- Les utilisateurs qui tentent d’accéder à des applications spécifiques peuvent déclencher différentes stratégies d’accès conditionnel.
- Détection des risques en temps réel et calculés
- L’intégration de signaux à Azure AD Identity Protection permet aux stratégies d’accès conditionnel d’identifier le comportement des connexions à risque. Les stratégies peuvent ensuite forcer les utilisateurs à changer leur mot de passe, à utiliser une authentification multifacteur pour réduire leur niveau de risque ou à bloquer l’accès jusqu’à ce qu’un administrateur entreprenne une action manuelle.
- Microsoft Defender for Cloud Apps
- Permet la supervision et le contrôle des sessions d’application et de l’accès aux applications utilisateur en temps réel, en renforçant la visibilité et le contrôle de l’accès à votre environnement cloud ainsi que des activités effectuées avec celui-ci.
Décisions courantes
- Bloquer l’accès
- Décision la plus restrictive
- Accorder l'accès
- Décision la moins restrictive ; peut toujours nécessiter une ou plusieurs des options suivantes :
- Exiger l’authentification multifacteur
- Exiger que l’appareil soit marqué comme conforme
- Exiger un appareil joint Azure AD Hybride
- Demander une application cliente approuvée
- Exiger une stratégie de protection des applications (préversion)
- Décision la moins restrictive ; peut toujours nécessiter une ou plusieurs des options suivantes :
Stratégies couramment appliquées
De nombreuses organisations rencontrent des problèmes d’accès courants que les stratégies d’accès conditionnel peuvent contribuer à résoudre :
- Demande d’authentification multifacteur pour les utilisateurs disposant de rôles d’administration
- Demande d’authentification multifacteur pour les tâches de gestion Azure
- Blocage des connexions pour les utilisateurs tentant d’utiliser des protocoles d’authentification hérités
- Demande d’emplacements approuvés pour l’inscription à Azure AD Multifactor Authentication
- Blocage ou octroi de l’accès à partir d’emplacements spécifiques
- Blocage des comportements de connexion à risque
- Demande d’appareils gérés par l’organisation pour des applications spécifiques
Conditions de licence :
L’utilisation de cette fonctionnalité nécessite des licences Azure AD Premium P1. Pour trouver la licence appropriée à vos besoins, consultez Comparer les fonctionnalités en disponibilité générale d’Azure AD.
Les clients avec des licences Microsoft 365 Business Premium ont également accès aux fonctionnalités d’accès conditionnel.
Les stratégies basées sur les risques requièrent l’accès à Identity Protection, qui est une fonctionnalité d’Azure AD P2.
D’autres produits et fonctionnalités susceptibles d’interagir avec les stratégies d’accès conditionnel nécessitent une licence appropriée.
Lorsque les licences requises pour l’accès conditionnel expirent, les stratégies ne sont pas automatiquement désactivées ou supprimées, de sorte que les clients peuvent migrer loin des stratégies d’accès conditionnel sans changer soudainement leur posture de sécurité. Les stratégies restantes peuvent être consultées et supprimées, mais elles ne sont plus mises à jour.
Les valeurs par défaut de sécurité aident à protéger contre les attaques liées à l’identité et sont disponibles pour tous les clients.
Confiance Zéro
Cette fonctionnalité aide les organisations à aligner leurs identités sur les trois principes directeurs d’une architecture Confiance nulle :
- Vérifier explicitement
- Utiliser le privilège minimum
- Supposer une violation
Pour en savoir plus sur Confiance Zéro et d’autres façons d’aligner votre organisation sur les principes directeurs, consultez le Centre d’aide Confiance Zéro.