Atténuer les risques et débloquer les utilisateurs

Une fois votre investigation terminée, vous devez prendre des mesures pour corriger les utilisateurs à risque ou les débloquer. Les organisations peuvent activer une correction automatisée en configurant des stratégies basées sur les risques. Les organisations doivent essayer d’investiguer et de corriger tous les utilisateurs à risque dans un délai qui convient à votre organisation. Microsoft recommande d’agir rapidement, car le temps compte en matière de risques.

Mesures de correction des risques

Toutes les détections de risque actives sont prises en compte dans le calcul du niveau de risque de l’utilisateur. Le niveau de risque de l’utilisateur est un indicateur (faible, moyen, élevé) de la probabilité que le compte de l’utilisateur ait été compromis. En tant qu’administrateur, après un examen approfondi des utilisateurs à risque et des connexions et détections correspondantes, vous devez corriger les risques des utilisateurs à risque afin que ces derniers ne soient plus considérés comme « à risque » ni bloqués.

Protection Microsoft Entra ID marque certaines détections de risques et les connexions risquées correspondantes comme ignorées avec l’état de risque Ignoré et le détail du risque Protection Microsoft Entra ID a évalué la connexion comme étant sécurisée. Cette action est due au fait que ces événements ne sont plus jugés à risque.

Pour corriger, les administrateurs disposent des options suivantes :

Auto-correction avec une stratégie basée sur les risques

Vous pouvez autoriser les utilisateurs à corriger eux-mêmes leurs risques de connexion et leurs propres risques en configurant des stratégies basées sur les risques. Si les utilisateurs passent le contrôle d’accès requis, tel que l’authentification multifacteur ou un changement de mot de passe sécurisé, leurs risques sont automatiquement corrigés. Les détections de risques correspondantes, les connexions risquées et les utilisateurs à risque correspondants sont signalés avec l’état de risque Corrigé au lieu de À risque.

Les prérequis pour les utilisateurs avant que des stratégies basées sur les risques puissent être appliquées pour permettre l’auto-correction des risques sont les suivantes :

  • Pour effectuer une authentification MFA afin de corriger soi-même une connexion à risque :
    • L’utilisateur doit s’être inscrit pour l’authentification multifacteur Microsoft Entra.
  • Pour effectuer un changement de mot de passe sécurisé afin de corriger soi-même un utilisateur risque :
    • L’utilisateur doit s’être inscrit pour l’authentification multifacteur Microsoft Entra.
    • Pour les utilisateurs hybrides synchronisés entre un emplacement local et le cloud, la réécriture du mot de passe doit être activée.

Si une stratégie basée sur les risques est appliquée à un utilisateur pendant la connexion avant que les conditions préalables ci-dessus ne soient remplies, l’utilisateur est bloqué. Cette action de blocage est due au fait que l’utilisateur n’est pas en mesure d’effectuer le contrôle d’accès requis et qu’une intervention de l’administrateur est nécessaire pour le débloquer.

Les stratégies basées sur les risques sont configurées en fonction des niveaux de risque et s’appliquent seulement si le niveau de risque de la connexion ou de l’utilisateur correspond au niveau configuré. Certaines détections peuvent ne pas élever le risque au niveau où la stratégie s’applique. Les administrateurs doivent gérer ces utilisateurs à risque manuellement. Les administrateurs peuvent juger que des mesures supplémentaires sont nécessaires, comme bloquer l’accès à partir de certains emplacements ou abaisser le niveau de risque acceptable dans leurs stratégies.

Auto-correction avec la réinitialisation de mot de passe en libre-service

Si un utilisateur s’est inscrit à la réinitialisation de mot de passe en libre-service (SSPR), il peut corriger son propre risque en procédant à une réinitialisation de mot de passe en libre-service.

Réinitialisation manuelle du mot de passe

Si l’obligation de réinitialiser le mot de passe à l’aide d’une stratégie de risque utilisateur n’est pas envisageable, ou que le temps presse, les administrateurs peuvent corriger un utilisateur à risque en demandant une réinitialisation du mot de passe.

Les administrateurs disposent d’options parmi lesquelles ils peuvent choisir :

  • Générer un mot de passe temporaire : la génération d’un mot de passe temporaire vous permet de rétablir immédiatement la sécurité d’une identité. Cette méthode nécessite de contacter les utilisateurs affectés, car ceux-ci ont besoin de connaître le mot de passe temporaire. Étant donné que le mot de passe est temporaire, l’utilisateur est invité à le modifier lors de sa prochaine connexion.

    • Ils peuvent générer des mots de passe pour les utilisateurs cloud et hybrides dans le centre d’administration Microsoft Entra.

    • Ils peuvent générer des mots de passe pour les utilisateurs hybrides à partir d’un répertoire local lorsque la synchronisation de hachage de mot de passe et le paramètre Autoriser la modification du mot de passe localement pour réinitialiser le risque utilisateur est activé.

      Avertissement

      Ne sélectionnez pas l’option L’utilisateur doit changer le mot de passe à la prochaine ouverture de session. Cela n'est pas pris en charge.

  • Obliger l’utilisateur à réinitialiser le mot de passe : le fait de contraindre les utilisateurs à réinitialiser les mots de passe entraîne une récupération automatique qui ne nécessite aucun contact avec le support technique ou un administrateur.

    • Les utilisateurs cloud et hybrides peuvent effectuer une modification de mot de passe sécurisée. Cette méthode s’applique uniquement aux utilisateurs qui peuvent déjà effectuer l’authentification multifacteur. Pour les utilisateurs non inscrits, cette option n’est pas disponible.
    • Les utilisateurs hybrides peuvent effectuer une modification de mot de passe en appuyant sur Ctrl+Alt+Suppr et en modifiant leur mot de passe à partir d’un appareil Windows local ou à jonction hybride, lorsque la synchronisation de hachage de mot de passe et le paramètre Autoriser la modification du mot de passe localement pour réinitialiser le risque utilisateur est activé.

Autoriser la réinitialisation de mot de passe locale pour corriger les risques utilisateur (préversion)

Les organisations qui ont activé la synchronisation de hachage de mot de passe peuvent autoriser les modifications de mot de passe localement afin de corriger le risque utilisateur.

Cette configuration fournit aux organisations deux nouvelles fonctionnalités :

  • Les utilisateurs hybrides à risque peuvent se corriger automatiquement sans intervention des administrateurs. Lorsqu’un mot de passe est modifié localement, le risque utilisateur est désormais corrigé automatiquement dans Protection Microsoft Entra ID, réinitialisant l’état actuel du risque utilisateur.
  • Les organisations peuvent déployer de manière proactive les stratégies de risque utilisateur qui nécessitent des modifications de mot de passe afin de protéger en toute confiance leurs utilisateurs hybrides. Cette option permet de renforcer la posture de sécurité de votre organisation et simplifie la gestion de la sécurité en garantissant la résolution rapide des risques utilisateur, même dans des environnements hybrides complexes.

Screenshot showing the location of the Allow on-premises password change to reset user risk checkbox.

Pour configurer ce paramètre

  1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’Opérateur de sécurité.
  2. Accédez à Protection>Protection des identités>Paramètres.
  3. Cochez la case pour Autoriser la modification du mot de passe localement pour réinitialiser le risque utilisateur.
  4. Sélectionnez Enregistrer.

Remarque

L’autorisation de modifier le mot de passe local pour réinitialiser le risque utilisateur est une fonctionnalité avec option d’acceptation uniquement. Les clients doivent évaluer cette fonctionnalité avant l’activation dans les environnements de production. Nous recommandons aux clients de sécuriser les flux de modification ou de réinitialisation de mot de passe locaux. Par exemple, exiger une authentification multifacteur avant d’autoriser les utilisateurs à modifier leur mot de passe local à l’aide d’un outil tel que le portail de réinitialisation de mot de passe libre-service de Microsoft Identity Manager.

Ignorer le risque lié à l’utilisateur

Si, après investigation et confirmation que le compte d’utilisateur ne risque pas d’être compromis, vous pouvez choisir d’ignorer l’utilisateur à risque.

Pour ignorer le risque utilisateur en tant qu'au moins opérateur de sécurité dans le centre d'administration Microsoft Entra, accédez à Protection>Protection de l'identité>Utilisateurs à risque, sélectionnez l'utilisateur concerné, puis sélectionnez Ignorer le risque utilisateur.

Lorsque vous sélectionnez Ignorer le risque lié à l’utilisateur, l’utilisateur n’est plus à risque, et toutes les connexions risquées de cet utilisateur ainsi que les détections de risques correspondantes sont également ignorées.

Étant donné que cette méthode n’a pas d’incidence sur le mot de passe existant de l’utilisateur, elle ne rétablit pas son identité à un état sécurisé.

État et détail du risque basés sur un risque ignoré

  • Utilisateurs à risque :
    • État du risque : « À risque  » -> « Ignoré »
    • Détail du risque (détail de la correction du risque) : « - » -> « L’administrateur a ignoré l’ensemble des risques pour l’utilisateur »
  • Toutes les connexions à risque de cet utilisateur et les détections de risques correspondantes :
    • État du risque : « À risque  » -> « Ignoré »
    • Détail du risque (détail de la correction du risque) : « - » -> « L’administrateur a ignoré l’ensemble des risques pour l’utilisateur »

Confirmer qu’un utilisateur est compromis

Si, après investigation, un compte est confirmé compromis :

  1. Sélectionnez l’événement ou l’utilisateur dans les rapports Connexions risquées ou Utilisateurs à risque, puis choisissez « Confirmer la compromission ».
  2. Si une stratégie basée sur les risques n’a pas été déclenchée et que le risque n’a pas été corrigé automatiquement, effectuez une ou plusieurs des actions suivantes :
    1. Demander la réinitialisation du mot de passe.
    2. Bloquez l’utilisateur si vous pensez que l’attaquant peut réinitialiser le mot de passe ou procéder à l’authentification multifacteur pour l’utilisateur.
    3. Révoquez les jetons d’actualisation.
    4. Désactivez tous les appareils qui sont considérés comme compromis.
    5. Si vous utilisez l’évaluation de l’accès continu, révoquez tous les jetons d’accès.

Pour plus d’informations sur ce qui se passe lors de la confirmation de la compromission, consultez la section Comment fournir des commentaires sur les risques ? Quels sont les mécanismes sous-jacents ?.

Utilisateurs supprimés

Il n’est pas possible pour les administrateurs de rejeter les risques pour les utilisateurs qui ont été supprimés de l’annuaire. Pour supprimer les utilisateurs supprimés, ouvrez un dossier de support Microsoft.

Déblocage des utilisateurs

Un administrateur peut choisir de bloquer une connexion en fonction de sa stratégie en matière de risque ou de ses investigations. Un blocage peut se produire en fonction d’une connexion ou d’un risque utilisateur.

Déblocage basé sur le risque utilisateur

Pour débloquer un compte bloqué en raison d’un risque utilisateur, les administrateurs disposent des options suivantes :

  1. Réinitialiser le mot de passe réinitialisé : vous pouvez réinitialiser le mot de passe de l’utilisateur. Si un utilisateur a été compromis ou risque de l’être, son mot de passe doit être réinitialisé pour protéger son compte et votre organisation.
  2. Ignorer le risque lié à l’utilisateur : la stratégie de gestion du risque utilisateur bloque un utilisateur si le niveau de risque utilisateur configuré pour bloquer l’accès a été atteint. Si, après investigation, vous êtes certain que l’utilisateur ne risque pas d’être compromis et que vous pouvez autoriser son accès en toute sécurité, vous pouvez réduire le niveau de risque de l’utilisateur en ignorant son risque.
  3. Exclure l’utilisateur de la stratégie : Si vous pensez que la configuration actuelle de votre stratégie de connexion entraîne des problèmes pour certains utilisateurs et que vous pouvez sans risque leur accorder l’accès sans leur appliquer cette stratégie, vous pouvez les exclure de cette stratégie. Pour plus d’informations, consultez la section Exclusions de l’article Guide pratique : Configurer et activer des stratégies de risque.
  4. Désactiver la stratégie : si vous pensez que votre configuration de la stratégie est à l’origine des problèmes pour tous vos utilisateurs, vous pouvez désactiver la stratégie. Pour plus d’informations, consultez l’article Guide pratique : Configurer et activer des stratégies de risque.

Déblocage basé sur le risque de connexion

Pour débloquer un compte en fonction du risque de connexion, les administrateurs disposent des options suivantes :

  1. Connexion à partir d’un emplacement ou d’un appareil connu : les connexions suspectes bloquées sont généralement des tentatives de connexion effectuées à partir d’un emplacement ou d’un appareil inconnu. Vos utilisateurs peuvent déterminer rapidement s’il s’agit bien de la raison du blocage en essayant de se connecter à partir d’un appareil ou d’un emplacement connu.
  2. Exclure l’utilisateur de la stratégie : si vous pensez que la configuration actuelle de votre stratégie d’authentification occasionne des problèmes pour certains utilisateurs, vous pouvez les en exclure. Pour plus d’informations, consultez la section Exclusions de l’article Guide pratique : Configurer et activer des stratégies de risque.
  3. Désactiver la stratégie : si vous pensez que votre configuration de la stratégie est à l’origine des problèmes pour tous vos utilisateurs, vous pouvez désactiver la stratégie. Pour plus d’informations, consultez l’article Guide pratique : Configurer et activer des stratégies de risque.

PowerShell en préversion

Le module Microsoft Graph PowerShell SDK Preview permet aux organisations de gérer les risques à l'aide de PowerShell. Les modules disponibles en préversion et les exemples de code se trouvent dans le référentiel GitHub Microsoft Entra.

Le script Invoke-AzureADIPDismissRiskyUser.ps1 inclus dans le référentiel permet aux organisations de rejeter tous les utilisateurs à risque dans leur répertoire.

Étapes suivantes

Simuler un risque utilisateur élevé