Expériences utilisateur avec Azure AD Identity Protection

  • Article
  • 3 minutes de lecture

Avec Azure Active Directory Identity Protection, vous pouvez :

  • Exiger que les utilisateurs s’inscrivent à l’authentification multifacteur (MFA) Azure AD
  • Automatiser la correction des connexions risquées et des utilisateurs compromis

Toutes les stratégies de protection des identités ont un impact sur l’expérience de connexion pour les utilisateurs. Le fait d'autoriser les utilisateurs à s'inscrire pour utiliser des outils tels qu'Azure AD MFA et la réinitialisation de mot de passe en libre-service peut réduire l'impact. Ces outils, ainsi que les choix de stratégie appropriés, offrent aux utilisateurs une option de correction automatique lorsqu’ils en ont besoin.

Inscription à l’authentification multifacteur

L’activation de la stratégie Identity Protection exigeant une inscription à l’authentification multifacteur Azure AD et ciblant tous vos utilisateurs garantit qu’ils peuvent utiliser Azure AD MFA pour effectuer eux-mêmes la remédiation à l’avenir. La configuration de cette stratégie offre à vos utilisateurs une période de 14 jours pendant laquelle ils peuvent choisir de s’inscrire et à la fin sont forcés de s’inscrire.

Interruption d’inscription

  1. Lors de la connexion à une application intégrée Azure AD, l’utilisateur reçoit une notification sur la nécessité de configurer le compte pour l’authentification multifacteur. Cette stratégie est également déclenchée dans l’expérience Windows 10 prête à l’emploi pour les nouveaux utilisateurs disposant d’un nouvel appareil.

    Plus d’informations sont nécessaires

  2. Suivez les étapes guidées pour vous inscrire à l’authentification multifacteur Azure AD et vous connecter.

Correction de connexion à risque

Quand un administrateur a configuré une stratégie pour les risques liés à la connexion, les utilisateurs affectés sont interrompus quand ils atteignent le niveau de risque configuré.

Correction automatique de connexion à risque

  1. L’utilisateur est informé que quelque chose d’inhabituel a été détecté concernant sa connexion. Ce comportement pourrait être quelque chose comme une connexion depuis un nouvel emplacement, un nouvel appareil ou une nouvelle application.

    Invite inhabituelle

  2. L'utilisateur est tenu de prouver son identité en procédant à une authentification Azure AD MFA via l'une des méthodes auxquelles il s'est précédemment inscrit.

Déblocage de l’administrateur de connexion risquée

Les administrateurs peuvent choisir de bloquer les utilisateurs lors de la connexion selon leur niveau de risque. Pour débloquer leur accès, les utilisateurs finaux doivent contacter leur équipe informatique ou ils peuvent essayer de se connecter depuis un emplacement ou un appareil connu. L’auto-remédiation en effectuant l’authentification multifacteur n’est pas une option dans ce cas.

Bloqué par une stratégie en matière de risque à la connexion

Le personnel informatique peut suivre les instructions de la section Déblocage des utilisateurs pour permettre aux utilisateurs de se reconnecter.

Correction de l’utilisateur à risque

Lorsqu’une stratégie en matière de risque des utilisateurs a été configurée, les utilisateurs répondant à la probabilité de niveau de risque de compromission doivent passer par le flux de récupération de compte compromis avant de pouvoir se connecter.

Correction automatique de l’utilisateur à risque

  1. L’utilisateur est informé que la sécurité de son compte est menacée en raison d’activités suspectes ou de la divulgation de ses informations d’identification.

    Correction

  2. L'utilisateur est tenu de prouver son identité en procédant à une authentification Azure AD MFA via l'une des méthodes auxquelles il s'est précédemment inscrit.

  3. Enfin, l’utilisateur est obligé de changer son mot de passe par réinitialisation de mot de passe en libre-service, car il se peut que quelqu’un d’autre ait eu accès à son compte.

Déblocage de l’administrateur de connexion risquée

Les administrateurs peuvent choisir de bloquer les utilisateurs lors de la connexion selon leur niveau de risque. Pour être débloqués, les utilisateurs finaux doivent contacter leur service informatique. L’auto-remédiation en effectuant l’authentification multifacteur et la réinitialisation du mot de passe en libre-service n’est pas une option dans ce cas.

Bloqué par la stratégie de risque utilisateur

Le personnel informatique peut suivre les instructions de la section Déblocage des utilisateurs pour permettre aux utilisateurs de se reconnecter.

Technicien présentant un risque élevé

Si votre organisation a des utilisateurs auxquels un accès à un autre locataire a été délégué et qu’ils déclenchent la détection d’un risque élevé, la connexion à ces autres locataires peut être bloquée. Par exemple :

  1. Une organisation a un fournisseur de services managés (MSP) ou d’un fournisseur de solutions Cloud (CSP) qui gère la configuration de son environnement cloud.
  2. Les informations d’identification d’un des techniciens du MSP sont divulguées et déclenchent la détection d’un risque élevé. Ce technicien est empêché de se connecter à d’autres locataires.
  3. Le technicien peut remédier à cela lui-même et se connecter si le locataire de base a activé les stratégies appropriées demandant un changement de mot de passe pour les utilisateurs à risque élevé ou l’authentification multifacteur pour les utilisateurs à risque.
    1. Si le locataire de base n’a pas activé les stratégies d’auto-remédiation, un administrateur du locataire de base du technicien devra remédier au risque.

Voir aussi