Atténuer les risques et débloquer les utilisateurs

Après avoir effectué votre enquête sur les risques, vous devez prendre des mesures pour corriger les utilisateurs à risque ou les débloquer. Vous pouvez activer la correction automatisée en configurant des stratégies basées sur les risques ou en mettant à jour manuellement l’état des risques de l’utilisateur. Microsoft recommande d’agir rapidement, car le temps est important lors de l’utilisation des risques.

Cet article traite de plusieurs options de correction des risques. Vous pouvez activer la correction automatique pour les utilisateurs ou corriger manuellement les risques au nom de l’utilisateur. Cet article décrit également les scénarios où les utilisateurs ont été bloqués en raison du risque utilisateur, de sorte que vous savez comment les débloquer.

Types de correction des risques

Toutes les détections de risque actives sont prises en compte dans le calcul du niveau de risque de l’utilisateur. Le niveau de risque de l’utilisateur est un indicateur (faible, moyen, élevé) de la probabilité que le compte de l’utilisateur soit compromis. Après avoir examiné les utilisateurs à risque et les connexions et détections à risque correspondantes, vous devez corriger les utilisateurs à risque afin qu’ils ne soient plus à risque ni bloqués d’accès.

Lorsque Microsoft Entra ID Protection identifie une détection des risques et que la connexion à risque correspondante ne pose plus de menace de sécurité, l’état de risque est automatiquement mis à jour comme ignoré et les détails du risque en tant que Microsoft Entra ID Protection a évalué la connexion sécurisée. Cette correction automatique réduit le bruit dans la surveillance des risques afin que vous puissiez vous concentrer sur les éléments qui nécessitent votre attention.

En tant qu’administrateur informatique, vous pouvez configurer la possibilité pour les utilisateurs d’auto-corriger ou de corriger manuellement au nom de l’utilisateur.

Les options de correction automatique sont les suivantes :

• Configurer des stratégies basées sur les risques pour permettre aux utilisateurs de corriger eux-mêmes leurs risques
• Permettre aux utilisateurs de corriger eux-mêmes leurs risques utilisateur à l’aide de la réinitialisation de mot de passe en libre-service (SSPR).
• Lancez une réinitialisation de mot de passe pour que l’utilisateur corrige le risque utilisateur.

Les options de correction manuelle sont les suivantes :

• Ignorer le risque de l’utilisateur.
• Vérifiez que l’utilisateur est compromis et prenez des mesures pour sécuriser le compte.
• Débloquez l’utilisateur en fonction du risque utilisateur ou du risque de connexion.

Vous pouvez également remédier dans Microsoft Defender for Identity.

Auto-rémédiation par l’utilisateur

En tant qu’administrateur informatique, vous avez plusieurs options pour configurer la correction automatique pour les utilisateurs.

Stratégie basée sur les risques

Vous pouvez autoriser les utilisateurs à corriger eux-mêmes leurs risques de connexion et leurs propres risques en configurant des stratégies basées sur les risques. Si les utilisateurs passent le contrôle d’accès requis, tel que l’authentification multifacteur ou un changement de mot de passe sécurisé, leurs risques sont automatiquement corrigés. Les détections de risques correspondantes, les connexions risquées et les utilisateurs à risque correspondants sont signalés avec l’état de risque Corrigé au lieu de À risque.

Pour que les stratégies basées sur les risques soient appliquées pour autoriser la correction automatique, les utilisateurs doivent d’abord être en mesure de :

• Effectuer une authentification multifacteur pour corriger soi-même une connexion à risque :
  • L’utilisateur doit être inscrit pour l’authentification multifacteur Microsoft Entra.
• Effectuez une modification sécurisée du mot de passe pour corriger automatiquement un risque utilisateur :
  • L’utilisateur doit être inscrit pour l’authentification multifacteur Microsoft Entra.
  • Pour les utilisateurs hybrides qui sont synchronisés localement vers le cloud, l’écriture différée du mot de passe doit être activée pour que leur modification de mot de passe soit synchronisée du cloud vers un emplacement local.

Si une stratégie basée sur les risques est appliquée pendant la connexion où les critères ne sont pas remplis, l’utilisateur est bloqué. Ce bloc se produit parce que l’utilisateur ne peut pas effectuer l’étape requise, de sorte que l’intervention de l’administrateur est nécessaire pour débloquer l’utilisateur.

Les stratégies basées sur les risques sont configurées en fonction des niveaux de risque et s’appliquent seulement si le niveau de risque de la connexion ou de l’utilisateur correspond au niveau configuré. Certaines détections peuvent ne pas augmenter le risque au niveau où la stratégie s’applique, de sorte que les administrateurs doivent gérer manuellement ces utilisateurs à risque. Les administrateurs peuvent déterminer que des mesures supplémentaires sont nécessaires, telles que le blocage de l’accès à partir d’emplacements ou la réduction du risque acceptable dans leurs stratégies.

Réinitialisation du mot de passe en libre-service

Si un utilisateur est inscrit pour la réinitialisation de mot de passe en libre-service (SSPR), il peut corriger son propre risque utilisateur en effectuant une réinitialisation de mot de passe en libre-service.

Réinitialisation manuelle du mot de passe

Si l’obligation de réinitialiser le mot de passe à l’aide d’une stratégie de risque utilisateur n’est pas envisageable, ou que le temps presse, les administrateurs peuvent corriger un utilisateur à risque en demandant une réinitialisation du mot de passe.

Les administrateurs peuvent générer un mot de passe temporaire ou exiger que l’utilisateur réinitialise son mot de passe.

Générer un mot de passe temporaire

La génération d’un mot de passe temporaire vous permet de rétablir immédiatement la sécurité d’une identité. Cette méthode nécessite de contacter les utilisateurs affectés, car ceux-ci ont besoin de connaître le mot de passe temporaire. Étant donné que le mot de passe est temporaire, l’utilisateur est invité à le modifier lors de sa prochaine connexion.

• Vous pouvez générer des mots de passe pour les utilisateurs cloud et hybrides dans le Centre d’administration Microsoft Entra.
• Vous pouvez générer des mots de passe pour les utilisateurs hybrides à partir de votre répertoire local si les paramètres suivants sont en place :
  • Suivez les instructions pour implémenter la synchronisation de hachage de mot de passe.
  • Activez le paramètre Autoriser le changement de mot de passe sur site pour réinitialiser le risque utilisateur dans Microsoft Entra ID Protection.
  • Activez la réinitialisation de mot de passe en libre-service.
  • Dans Active Directory, sélectionner uniquement l'option qui oblige l'utilisateur à modifier son mot de passe lors de la prochaine connexion si tous les points précédents sont activés.

Exiger que l’utilisateur réinitialise le mot de passe

Exiger que les utilisateurs réinitialisent les mots de passe entraîne une récupération automatique qui ne nécessite aucun contact avec le support technique ou un administrateur.

• Les utilisateurs cloud et hybrides peuvent effectuer une modification de mot de passe sécurisée. Cette méthode s’applique uniquement aux utilisateurs qui peuvent déjà effectuer l’authentification multifacteur. Pour les utilisateurs non inscrits, cette option n’est pas disponible.
• Les utilisateurs hybrides peuvent effectuer une modification de mot de passe en à partir d’un appareil Windows local ou à jonction hybride, lorsque la synchronisation de hachage de mot de passe et le paramètre Autoriser la modification du mot de passe localement pour réinitialiser le risque utilisateur est activé.

Autoriser la réinitialisation de mot de passe localement pour corriger les risques utilisateur

Si votre organisation dispose d’un environnement hybride, vous pouvez autoriser les modifications de mot de passe localement pour réinitialiser le risque utilisateur avec une synchronisation de hachage de mot de passe. Vous devez activer la synchronisation de hachage de mot de passe avant que les utilisateurs puissent se corriger automatiquement dans ces scénarios.

• Les utilisateurs hybrides à risque peuvent se corriger automatiquement sans intervention de l’administrateur. Lorsqu’un mot de passe est modifié localement, le risque utilisateur est automatiquement corrigé dans Microsoft Entra ID Protection, réinitialisant l’état actuel des risques utilisateur.
• Les organisations peuvent déployer de manière proactive les stratégies de risque utilisateur qui nécessitent des modifications de mot de passe afin de protéger en toute confiance leurs utilisateurs hybrides. Cette option permet de renforcer la posture de sécurité de votre organisation et simplifie la gestion de la sécurité en garantissant la résolution rapide des risques utilisateur, même dans des environnements hybrides complexes.

Pour configurer ce paramètre :

1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’Opérateur de sécurité.
2. Accédez à Protection de l'ID>Tableau de bord>Paramètres.
3. Cochez la case pour autoriser la modification du mot de passe local pour réinitialiser le risque utilisateur , puis sélectionnez Enregistrer.

Remarque

L’autorisation de la modification du mot de passe localement pour réinitialiser le risque utilisateur est une fonctionnalité par consentement. Les clients doivent évaluer cette fonctionnalité avant l’activation dans les environnements de production. Nous recommandons aux clients de sécuriser les flux de modification ou de réinitialisation de mot de passe locaux. Par exemple, exiger une authentification multifacteur avant d’autoriser les utilisateurs à modifier leur mot de passe local à l’aide d’un outil tel que le portail de réinitialisation de mot de passe libre-service de Microsoft Identity Manager.

Correction manuelle par l’administrateur

Dans certaines situations, vous devrez peut-être corriger manuellement ou confirmer le risque d’un utilisateur.

Ignorer le risque lié à l’utilisateur

Si, après examen, vous confirmez que le compte d’utilisateur n’est pas en danger d’être compromis, vous pouvez ignorer l’utilisateur à risque.

1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’Opérateur de sécurité.
2. Accédez à Protection ID>Utilisateurs à risque, puis sélectionnez l'utilisateur concerné.
3. Sélectionnez Ignorer les risques des utilisateurs. Lorsque vous sélectionnez Ignorer le risque utilisateur, l’utilisateur n’est plus à risque, et toutes les connexions risquées et les détections de risque correspondantes sont ignorées.

Étant donné que cette méthode n’a pas d’incidence sur le mot de passe existant de l’utilisateur, elle ne rétablit pas son identité à un état sécurisé.

État et détail du risque basés sur le rejet du risque

• Utilisateurs à risque :
  • État du risque : « À risque  » -> « Ignoré »
  • Détail du risque (détail de la correction du risque) : « - » -> « L’administrateur a ignoré l’ensemble des risques pour l’utilisateur »
• Toutes les connexions à risque de cet utilisateur et les détections de risques correspondantes :
  • État du risque : « À risque  » -> « Ignoré »
  • Détail du risque (détail de la correction du risque) : « - » -> « L’administrateur a ignoré l’ensemble des risques pour l’utilisateur »

Confirmer qu’un utilisateur est compromis

Si, après investigation, un compte est confirmé compromis :

1. Sélectionnez l’événement ou l’utilisateur dans les rapports de connexions risquées ou d’utilisateurs à risque , puis choisissez Confirmer compromis.
2. Si une stratégie basée sur les risques n’a pas été déclenchée et que le risque n’a pas été corrigé automatiquement à l’aide de l’une des méthodes décrites dans cet article, effectuez une ou plusieurs des actions suivantes :
   1. Demander la réinitialisation du mot de passe.
   2. Bloquez l’utilisateur si vous pensez que l’attaquant peut réinitialiser le mot de passe ou procéder à l’authentification multifacteur pour l’utilisateur.
   3. Révoquez les jetons d’actualisation.
   4. Désactivez tous les appareils qui sont considérés comme compromis.
   5. Si vous utilisez l’évaluation de l’accès continu, révoquez tous les jetons d’accès.

Pour plus d’informations sur ce qui se passe lors de la confirmation de compromission, consultez Comment donner des commentaires sur les risques.

Utilisateurs supprimés

Si un utilisateur a été supprimé du répertoire présentant un risque, cet utilisateur apparaît toujours dans le rapport de risque même si le compte a été supprimé. Les administrateurs ne peuvent pas ignorer les risques pour les utilisateurs qui ont été supprimés de l’annuaire. Pour supprimer les utilisateurs supprimés, ouvrez un dossier de support Microsoft.

Déblocage des utilisateurs

En tant qu’administrateur, vous pouvez bloquer une connexion en fonction de la stratégie de risque ou des enquêtes. Un blocage peut se produire en fonction d’une connexion ou d’un risque utilisateur.

Déblocage basé sur le risque utilisateur

Pour débloquer un compte bloqué en raison du risque utilisateur, vous disposez des options suivantes :

1. Réinitialiser le mot de passe : si un utilisateur est compromis ou risque d’être compromis, le mot de passe de l’utilisateur doit être réinitialisé pour protéger son compte et votre organisation.
2. Ignorer le risque lié à l’utilisateur : la stratégie de gestion du risque utilisateur bloque un utilisateur lorsque le niveau de risque utilisateur configuré pour bloquer l’accès est atteint. Si, après investigation, vous êtes certain que l’utilisateur ne risque pas d’être compromis et que vous pouvez autoriser son accès en toute sécurité, vous pouvez réduire le niveau de risque de l’utilisateur en ignorant son risque.
3. Exclure l’utilisateur de la stratégie : Si vous pensez que la configuration actuelle de votre stratégie de connexion entraîne des problèmes pour certains utilisateurs et que vous pouvez sans risque leur accorder l’accès sans leur appliquer cette stratégie, vous pouvez les exclure de cette stratégie. Pour plus d’informations, consultez Comment configurer et activer les stratégies de risque.
4. Désactiver la stratégie : si vous pensez que votre configuration de la stratégie est à l’origine des problèmes pour tous vos utilisateurs, vous pouvez désactiver la stratégie. Pour plus d’informations, consultez Comment configurer et activer les stratégies de risque.

Déblocage basé sur le risque de connexion

Pour débloquer un compte en fonction du risque de connexion, vous disposez des options suivantes :

1. Connexion à partir d’un emplacement ou d’un appareil connu : les connexions suspectes bloquées sont généralement des tentatives de connexion effectuées à partir d’un emplacement ou d’un appareil inconnu. Vos utilisateurs peuvent déterminer rapidement s’il s’agit bien de la raison du blocage en essayant de se connecter à partir d’un appareil ou d’un emplacement connu.
2. Exclure l’utilisateur de la stratégie : si vous pensez que la configuration actuelle de votre stratégie d’authentification occasionne des problèmes pour certains utilisateurs, vous pouvez les en exclure. Pour plus d’informations, consultez la section Exclusions de l’article Guide pratique : Configurer et activer des stratégies de risque.
3. Désactiver la stratégie : si vous pensez que votre configuration de la stratégie est à l’origine des problèmes pour tous vos utilisateurs, vous pouvez désactiver la stratégie. Pour plus d’informations, consultez Comment configurer et activer les stratégies de risque.

Blocage automatique en raison d’un risque de confiance élevé

La protection Microsoft Entra ID bloque automatiquement les connexions dont le niveau de confiance de risque est très élevé. Ce bloc se produit le plus souvent lors de connexions utilisant des protocoles d’authentification anciens ou lorsqu'il y a des caractéristiques indiquant une tentative malveillante.

Lorsqu’un utilisateur est bloqué pour l’un ou l’autre scénario, il reçoit une erreur d’authentification 50053. Les journaux de connexion affichent la raison de blocage suivante : « La connexion a été bloquée par des protections intégrées en raison d’un risque de confiance élevé ».

Pour débloquer un compte en fonction du risque de connexion à haut niveau de confiance, vous disposez des options suivantes :

1. Ajoutez les adresses IP utilisées pour vous connecter aux paramètres d’emplacement approuvé : si la connexion est effectuée à partir d’un emplacement connu pour votre entreprise, vous pouvez ajouter l’adresse IP à la liste approuvée. Pour plus d’informations, consultez Accès conditionnel : Attribution de réseau.
2. Utilisez un protocole d’authentification moderne : si la connexion est effectuée à l’aide d’un protocole hérité, le passage à une méthode moderne débloque la tentative.

Détections liées au vol de jetons

Suite à une mise à jour récente de notre architecture de détection, nous ne corrigeons plus automatiquement les sessions avec des revendications MFA quand un vol de jeton ou une détection d’adresses IP d’État-Nation par le MSTIC (Centre de veille des menaces Microsoft) se déclenche pendant la connexion.

Les détections de protection des ID suivantes qui identifient une activité de jeton suspecte et la détection d’adresses IP d’État-Nation par le MSTIC ne sont plus automatiquement corrigées :

• Veille des menaces Microsoft Entra
• Jeton anormal
• Attaquant de type Middle
• Détection nationale d’IP du MSTIC
• Anomalie de l’émetteur du jeton

La protection d’ID affiche désormais les détails de session dans le volet Détails de la détection des risques pour les détections qui émettent des données de connexion. Cette modification garantit que nous ne fermons pas les sessions contenant des détections où il existe des risques liés à l’authentification multifacteur. Fournir des détails de session avec des détails sur les risques au niveau de l’utilisateur fournit des informations précieuses pour faciliter l’examen. Ces informations comprennent :

• Type d’émetteur de jeton
• Heure de connexion
• Adresse IP
• Emplacement de connexion
• Client de connexion
• ID de demande de connexion
• ID de corrélation de connexion

Si vous avez configuré des stratégies d’accès conditionnel basées sur les risques utilisateur et l’une des détections qui indiquent une activité de jeton suspecte est déclenchée sur un utilisateur, l’utilisateur final doit effectuer une modification de mot de passe sécurisée et réauthentifier son compte avec l’authentification multifacteur pour effacer le risque.

PowerShell en préversion

Le module Microsoft Graph PowerShell SDK Preview permet aux organisations de gérer les risques à l'aide de PowerShell. Les modules disponibles en préversion et les exemples de code se trouvent dans le référentiel GitHub Microsoft Entra.

Le script Invoke-AzureADIPDismissRiskyUser.ps1 inclus dans le référentiel permet aux organisations de rejeter tous les utilisateurs à risque dans leur répertoire.

Contenu connexe

• Simuler un risque utilisateur élevé