Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier les répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer de répertoire.
La planification de votre déploiement d’accès conditionnel joue un rôle capital dans la réussite de la stratégie d’accès de votre organisation pour les applications et les ressources. Les stratégies d’accès conditionnel offrent une grande flexibilité de configuration. Toutefois, cette flexibilité signifie que vous devez planifier attentivement pour éviter les résultats indésirables.
L’accès conditionnel Microsoft Entra combine des signaux tels que l’utilisateur, l’appareil et l’emplacement pour automatiser les décisions et appliquer des stratégies d’accès organisationnel pour les ressources. Ces stratégies d’accès conditionnel vous aident à équilibrer la sécurité et la productivité en appliquant des contrôles de sécurité si nécessaire et en restant hors de la façon de l’utilisateur lorsqu’il n’en est pas.
L’accès conditionnel constitue la base du moteur de stratégie de sécurité Confiance Zéro de Microsoft.
Microsoft fournit des paramètres de sécurité par défaut qui garantissent un niveau de sécurité de base pour les locataires sans Microsoft Entra ID P1 ou P2. Avec l’accès conditionnel, vous pouvez créer des stratégies qui offrent la même protection que les valeurs par défaut de sécurité, mais avec plus de granularité. Les valeurs par défaut d’accès conditionnel et de sécurité ne sont pas destinées à être combinées, car la création de stratégies d’accès conditionnel vous empêche d’activer les paramètres de sécurité par défaut.
Prerequisites
- Un locataire Microsoft Entra opérationnel avec l’ID Microsoft Entra P1, P2 ou une licence d’essai activée. Si nécessaire, créez-en un gratuitement.
- Microsoft Entra ID P2 est nécessaire pour inclure le risque Microsoft Entra ID Protection dans les stratégies d’accès conditionnel.
- Les administrateurs qui interagissent avec l’accès conditionnel ont besoin de l’une des attributions de rôles suivantes, en fonction des tâches qu’ils effectuent. Pour suivre le principe confiance zéro du privilège minimum, envisagez d’utiliser Privileged Identity Management (PIM) pour activer les attributions de rôles privilégiés juste à temps.
- Lire les stratégies et configurations d’accès conditionnel.
- Créez, modifiez ou restaurez des stratégies d’accès conditionnel supprimées de manière réversible.
- Un utilisateur de test (et non administrateur) pour vérifier que les stratégies fonctionnent comme prévu avant de les déployer sur des utilisateurs réels. Si vous devez créer un utilisateur, consultez Démarrage rapide : Ajouter de nouveaux utilisateurs à l’ID Microsoft Entra.
- Groupe qui inclut l’utilisateur de test. Si vous devez créer un groupe, consultez Créer un groupe et ajouter des membres dans Microsoft Entra ID.
Communication des modifications
La communication est essentielle à la réussite de toute nouvelle fonctionnalité. Indiquez aux utilisateurs comment leur expérience change, quand elle change et comment obtenir du support s’ils rencontrent des problèmes.
Composants des stratégies d’accès conditionnel
Les stratégies d’accès conditionnel déterminent qui peut accéder à vos ressources, quelles ressources ils peuvent accéder et dans quelles conditions. Les stratégies peuvent accorder l’accès, limiter l’accès avec des contrôles de session ou bloquer l’accès. Vous créez une stratégie d’accès conditionnel en définissant les instructions if-then comme suit :
| Si une attribution est remplie | Appliquer les contrôles d’accès |
|---|---|
| Si vous êtes un utilisateur membre de Finance accédant à l’application Paie | Exiger l’authentification multifacteur et un appareil conforme |
| Si vous n’êtes pas un membre de Finance accédant à l’application Paie | Bloquer l’accès |
| Si le risque utilisateur est élevé | Exiger une authentification multifacteur et un changement de mot de passe sécurisé |
Exclusions d’utilisateurs
Les stratégies d’accès conditionnel sont des outils puissants. Nous vous recommandons d’exclure les comptes suivants de vos stratégies :
-
Accès d’urgence ou comptes de secours pour empêcher le verrouillage dû à une configuration incorrecte de la stratégie. Dans le scénario peu probable où tous les administrateurs sont verrouillés, votre compte d’administration d’accès d’urgence peut être utilisé pour se connecter et récupérer l’accès.
- Vous trouverez plus d’informations dans l’article, Gérer les comptes d’accès d’urgence dans Microsoft Entra ID.
-
Comptes de service et Principaux de service, comme le compte de synchronisation Microsoft Entra Connect. Les comptes de service sont des comptes non interactifs qui ne sont pas liés à un utilisateur spécifique. Ils sont généralement utilisés par les services principaux pour autoriser l’accès programmatique aux applications, mais ils sont également utilisés pour se connecter aux systèmes à des fins administratives. Les appels effectués par les principaux de service ne sont pas bloqués par les stratégies d’accès conditionnel délimitées aux utilisateurs. Utilisez l’accès conditionnel pour les identités de charge de travail pour définir des stratégies qui ciblent des principaux de service.
- Si votre organisation utilise ces comptes dans des scripts ou du code, remplacez-les par des identités managées.
Poser les bonnes questions
Voici des questions courantes sur les affectations et les contrôles d’accès. Enregistrez les réponses pour chaque stratégie avant de la créer.
Utilisateurs ou identités de charge de travail
- Quels utilisateurs, groupes, rôles d’annuaire ou identités de charge de travail sont inclus ou exclus de la stratégie ?
- Quels comptes ou groupes d’accès d’urgence devez-vous exclure de la stratégie ?
Applications ou actions cloud
Cette stratégie s’applique-t-elle à une application, à une action utilisateur ou à un contexte d’authentification ? Si c’est le cas :
- À quelles applications ou services la stratégie s’applique-t-elle ?
- Quelles actions de l’utilisateur sont soumises à cette stratégie ?
- Quels contextes d’authentification cette stratégie s’applique-t-elle ?
Filtrer sur des applications
L’utilisation d’un filtre pour les applications afin d’inclure ou d’exclure des applications au lieu de les spécifier individuellement aide les organisations :
- Mettre à l’échelle et cibler facilement n’importe quel nombre d’applications
- Gérer les applications avec des exigences de stratégie similaires
- Réduire le nombre de stratégies individuelles
- Réduisez les erreurs lors de la modification des stratégies : il n’est pas nécessaire d’ajouter ou de supprimer manuellement des applications de la stratégie. Il suffit de gérer les attributs.
- Surmonter les contraintes de taille de stratégie
Conditions
- Quelles plateformes d’appareils sont incluses ou exclues de la stratégie ?
- Quels sont les emplacements réseau connus de l’organisation ?
- Quels emplacements sont inclus ou exclus de la stratégie ?
- Quels types d’applications clientes sont inclus ou exclus de la stratégie ?
- Devez-vous cibler des attributs d’appareil spécifiques ?
- Si vous utilisez Microsoft Entra ID Protection, souhaitez-vous incorporer des risques de connexion ou d’utilisateur ?
Contrôles d’octroi ou de blocage
Voulez-vous accorder l’accès aux ressources en exigeant un ou plusieurs des éléments suivants ?
- Authentification multifacteur
- Appareil marqué comme conforme
- Utilisation d'un appareil à jonction hybride Microsoft Entra
- Utilisation d’une application cliente approuvée
- Stratégie de protection des applications activée
- Modification de mot de passe
- Conditions d’utilisation acceptées
Bloquer l’accès est un contrôle puissant. Appliquez-la uniquement lorsque vous comprenez l’impact. Les stratégies avec des instructions de bloc peuvent avoir des effets secondaires inattendus. Testez et validez avant d’activer le contrôle à grande échelle. Utilisez l’impact de la stratégie ou le mode rapport uniquement pour comprendre l’impact potentiel lorsque vous apportez des modifications.
Contrôles de session
Voulez-vous appliquer les contrôles d’accès suivants sur les applications cloud ?
- Utiliser les restrictions appliquées par l’application
- Utiliser le contrôle d’application par accès conditionnel
- Appliquer la fréquence de connexion
- Utiliser les sessions de navigateur persistantes
- Personnaliser l’évaluation continue de l’accès
Combinaison de stratégies
Lorsque vous créez et attribuez des stratégies, tenez compte du fonctionnement des jetons d’accès. Les jetons d’accès accordent ou refusent l’accès en fonction de l’autorisation et de l’authentification de l’utilisateur lors d’une demande. Si le demandeur prouve qu’il est celui qu’il prétend être, il peut utiliser les ressources ou fonctionnalités protégées.
Les jetons d’accès sont émis par défaut si une condition de stratégie d’accès conditionnel ne déclenche pas de contrôle d’accès.
Cette stratégie n’empêche pas l’application de bloquer l’accès seul.
Par exemple, examinez cet exemple de stratégie simplifiée où :
Utilisateurs : GROUPE FINANCE
Accès à : APPLICATION PAIE
Contrôle d’accès : Authentification multifacteur
- L’utilisateur A se trouve dans le GROUPE FINANCE, il est nécessaire d’effectuer l’authentification multifacteur pour accéder à l’application PAYROLL.
- L’utilisateur B n’est pas dans le GROUPE FINANCE, est émis un jeton d’accès et est autorisé à accéder à l’application PAYROLL sans effectuer l’authentification multifacteur.
Pour vous assurer que les utilisateurs en dehors du groupe financier ne peuvent pas accéder à l’application de paie, créez une stratégie distincte pour bloquer tous les autres utilisateurs, comme cette stratégie simplifiée :
Utilisateurs : Inclure tous les utilisateurs / Exclure GROUPE FINANCE
Accès à : APPLICATION PAIE
Contrôle d’accès : Bloquer l’accès
À présent, lorsque l’utilisateur B tente d’accéder à l’application PAYROLL, il est bloqué.
Recommandations
En fonction de notre expérience avec l’accès conditionnel et la prise en charge d’autres clients, voici quelques recommandations.
Appliquer des stratégies d’accès conditionnel à chaque application
Vérifiez que chaque application a au moins une stratégie d’accès conditionnel appliquée. Du point de vue de la sécurité, il est préférable de créer une stratégie qui inclut toutes les ressources (anciennement « Toutes les applications cloud ») . Cette pratique vous évite d’avoir à mettre à jour les stratégies d’accès conditionnel chaque fois que vous intégrez une nouvelle application.
Conseil
Soyez prudent lors de l'utilisation d'un bloc et de toutes les ressources dans une seule politique. Cette combinaison peut verrouiller les administrateurs et les exclusions ne peuvent pas être configurées pour des points de terminaison importants tels que Microsoft Graph.
Réduire le nombre de stratégies d’accès conditionnel
La création d’une stratégie pour chaque application n’est pas efficace et rend la gestion des stratégies difficiles. L’accès conditionnel a une limite de 195 stratégies par locataire. Cette limite de 195 stratégies inclut des stratégies d’accès conditionnel dans n’importe quel état, y compris le mode rapport uniquement, activé ou désactivé.
Analysez vos applications et regroupez-les selon les mêmes besoins en ressources pour les mêmes utilisateurs. Par exemple, si toutes les applications Microsoft 365 ou toutes les applications RH ont les mêmes exigences pour les mêmes utilisateurs, créez une stratégie unique et incluez toutes les applications auxquelles elle s’applique.
Les stratégies d’accès conditionnel sont contenues dans un fichier JSON et ce fichier a une limite de taille qu’une seule stratégie ne dépasse généralement pas. Si vous utilisez une longue liste de GUID dans votre stratégie, il est possible que vous atteigniez cette limite. Si vous rencontrez ces limites, essayez ces alternatives :
- Utilisez des groupes ou des rôles pour inclure ou exclure des utilisateurs au lieu de répertorier chaque utilisateur individuellement.
- Utilisez un filtre pour que les applications incluent ou excluent des applications au lieu de les spécifier individuellement.
Configurer le mode Rapport uniquement
Activez les stratégies en mode rapport uniquement. Après avoir enregistré une stratégie en mode rapport uniquement, vous voyez l’effet sur les connexions en temps réel dans les journaux de connexion. Dans les journaux de connexion, sélectionnez un événement et accédez à l’onglet Rapport uniquement pour afficher le résultat de chaque stratégie de rapport uniquement.
Affichez les effets agrégés de vos stratégies d’accès conditionnel dans le classeur Insights et Rapports. Pour accéder au workbook, vous devez disposer d'un abonnement Azure Monitor et publier en streaming vos journaux de connexions dans un espace de travail Log Analytics.
Planifier une interruption
Réduisez le risque de verrouillage pendant les interruptions imprévues en planifiant des stratégies de résilience pour votre organisation.
Activer des actions protégées
Activez les actions protégées pour ajouter une autre couche de sécurité pour tenter de créer, modifier ou supprimer des stratégies d’accès conditionnel. Les organisations peuvent exiger une nouvelle authentification multifacteur ou un autre contrôle d’octroi avant de modifier la stratégie.
Configurer les paramètres de l’utilisateur invité
Pour les organisations externes avec lesquelles vous connaissez et avez une relation, vous souhaiterez peut-être approuver l’authentification multifacteur, la conformité des appareils ou les revendications d’appareil hybride présentées par les invités à vos stratégies d’accès conditionnel. Pour plus d’informations, consultez Gérer les paramètres d’accès entre locataires pour B2B Collaboration. Certaines mises en garde concernent le fonctionnement des utilisateurs B2B avec Microsoft Entra ID Protection. Pour plus d’informations, consultez Microsoft Entra ID Protection pour les utilisateurs B2B.
Définir des normes de nommage pour vos stratégies
Une norme de nommage vous permet de trouver des stratégies et de comprendre leur objectif sans les ouvrir. Nommez votre stratégie pour afficher :
- Numéro de séquence
- Les applications cloud auxquelles elle s’applique
- La réponse
- L’objet auquel elle s’applique (qui)
- Quand elle doit s’appliquer
Exemple : Une stratégie pour exiger l’authentification multifacteur pour les utilisateurs marketing accédant à l’application Dynamics CRP à partir de réseaux externes peut être :
Un nom descriptif vous aide à conserver une vue d’ensemble de votre implémentation d’accès conditionnel. Le numéro de séquence est utile si vous devez référencer une stratégie dans une conversation. Par exemple, lorsque vous parlez à un administrateur sur le téléphone, vous pouvez leur demander d’ouvrir la stratégie CA01 pour résoudre un problème.
Normes de nommage pour les contrôles d’accès d’urgence
En plus de vos stratégies actives, implémentez des stratégies désactivées qui agissent en tant que contrôles d’accès résilients secondaires dans des scénarios d’interruption ou d’urgence. Votre norme de nommage pour les stratégies d’urgence doit inclure :
- ACTIVER EN CAS D’URGENCE au début, pour faire ressortir le nom au milieu des autres stratégies.
- Nom de l’interruption à laquelle elle doit s’appliquer.
- Numéro de séquence de classement pour aider l’administrateur à savoir dans quelles stratégies d’ordre doivent être activées.
Exemple : Le nom suivant indique que cette stratégie est la première de quatre stratégies à activer en cas d’interruption de l’authentification multifacteur :
- EM01 - ACTIVER EN CAS D’URGENCE : Interruption MFA [1/4] - Exchange SharePoint : Exiger la jonction hybride Microsoft Entra pour les utilisateurs VIP.
Bloquer les pays/régions depuis lesquels vous n’attendez jamais aucune connexion
Microsoft Entra ID vous permet de créer des emplacements nommés. Créez une liste de pays/régions autorisés, puis créez une stratégie de bloc réseau avec ces « pays/régions autorisés » comme exclusion. Cette option crée moins de surcharge pour les clients basés sur des emplacements géographiques plus petits. Veillez à exclure vos comptes d’accès d’urgence de cette stratégie.
Déployer des stratégies d’accès conditionnel
Quand vous êtes prêt, déployez vos stratégies d’accès conditionnel par phases. Commencez par quelques stratégies d’accès conditionnel de base comme celles qui suivent. De nombreuses stratégies sont disponibles en tant que modèles de stratégie d’accès conditionnel. Par défaut, chaque stratégie créée à partir d’un modèle est en mode rapport uniquement. Testez et surveillez l’utilisation pour garantir le résultat prévu, avant d’activer chaque stratégie.
Déployez des politiques dans les trois phases suivantes pour équilibrer les améliorations de sécurité avec une perturbation minimale des utilisateurs. Les organisations peuvent ajuster les chronologies en fonction de leur taille, de leur complexité et de leurs fonctionnalités de gestion des modifications.
Important
Avant de déployer une stratégie :
- Vérifier que les comptes d’accès d’urgence sont exclus de toutes les stratégies
- Tester des stratégies avec un groupe pilote avant le déploiement à l’échelle de l’organisation
- Vérifier que les utilisateurs ont inscrit les méthodes d’authentification requises
- Communiquer les modifications aux utilisateurs concernés et fournir une documentation de prise en charge
Phase 1 : Fondation (semaine 1-2)
Établissez des contrôles de sécurité de base et préparez-vous à l’application de l’authentification multifacteur. Conditions préalables: Assurez-vous que les utilisateurs peuvent s’inscrire à l’authentification multifacteur avant d’activer les stratégies d’application.
| Stratégie d’accès conditionnel | Scénario | Conditions requises pour la licence |
|---|---|---|
| Bloquer l’authentification héritée | Tous les utilisateurs | Microsoft Entra ID P1 |
| Sécuriser l’inscription MFA (Mes informations de sécurité) | Tous les utilisateurs | Microsoft Entra ID P1 |
| Les rôles intégrés Microsoft Entra privilégiés appliquent des méthodes résistantes au hameçonnage | Utilisateurs disposant de privilèges | Microsoft Entra ID P1 |
Phase 2 : Authentification principale (semaine 2-3)
Appliquez l’authentification multifacteur pour tous les utilisateurs et invités, et protégez les appareils mobiles avec des stratégies de protection des applications. Impact clé : Les utilisateurs devront utiliser l’authentification multifacteur pour toutes les connexions et utiliser des applications approuvées avec la protection des applications sur les appareils mobiles. Vérifiez que le plan de communication est exécuté et que les ressources de support sont disponibles.
| Stratégie d’accès conditionnel | Scénario | Conditions requises pour la licence |
|---|---|---|
| Toutes les activités de connexion utilisateur utilisent des méthodes d’authentification fortes | Tous les utilisateurs | Microsoft Entra ID P1 |
| L’accès invité est protégé par des méthodes d’authentification fortes | Accès invité | Microsoft Entra ID P1 |
| Exiger des applications clientes approuvées ou une stratégie de protection des applications | Utilisateurs mobiles | Microsoft Entra ID P1 |
| Exiger l’authentification multifacteur pour la jonction d’appareil et l’inscription de l’appareil à l’aide de l’action de l’utilisateur | Tous les utilisateurs | Microsoft Entra ID P1 |
Phase 3 : Protection avancée (semaine 3-4)
Ajoutez des stratégies basées sur les risques et des contrôles avancés de prévention des attaques. Condition requise pour la licence : Les stratégies basées sur les risques nécessitent des licences Microsoft Entra ID P2.
| Stratégie d’accès conditionnel | Scénario | Conditions requises pour la licence |
|---|---|---|
| Restreindre les connexions à haut risque | Tous les utilisateurs | Microsoft Entra ID P2 |
| Restreindre l’accès aux utilisateurs à haut risque | Tous les utilisateurs | Microsoft Entra ID P2 |
| L’activité de connexion utilisateur utilise la protection des jetons | Tous les utilisateurs | Microsoft Entra ID P1 |
| Restreindre le flux de code de l’appareil | Tous les utilisateurs | Microsoft Entra ID P1 |
| Le transfert d’authentification est bloqué | Tous les utilisateurs | Microsoft Entra ID P1 |
| Les stratégies d’accès conditionnel pour les stations de travail à accès privilégié (PAW) sont configurées | Utilisateurs disposant de privilèges | Microsoft Entra ID P1 |
Conseil
Activez chaque stratégie en mode rapport uniquement pendant au moins une semaine avant l’application. Passez en revue les journaux de connexion et communiquez les modifications aux utilisateurs avant de passer à la phase suivante.
Note
Les stations de travail à accès privilégié (PAW) nécessitent une planification importante de l’infrastructure. Les organisations doivent implémenter cette stratégie uniquement après avoir établi une stratégie de déploiement PAW et provisionné des appareils sécurisés pour les utilisateurs privilégiés.
Évaluer l’impact de la stratégie
Utilisez les outils disponibles pour vérifier l’effet de vos stratégies avant et après avoir apporté des modifications. Une exécution simulée vous donne une bonne idée de la façon dont une stratégie d’accès conditionnel affecte la connexion, mais elle ne remplace pas une exécution de test réelle dans un environnement de développement correctement configuré.
Les administrateurs peuvent confirmer les paramètres de stratégie à l’aide de l’impact de la stratégie ou du mode rapport uniquement.
Tester vos stratégies
Vérifiez que vous testez les critères d’exclusion d’une stratégie. Par exemple, vous pouvez exclure un utilisateur ou un groupe d’une stratégie qui exige l’authentification multifacteur. Vérifiez si les utilisateurs exclus sont invités à utiliser l’authentification multifacteur, car la combinaison d’autres stratégies peut nécessiter l’authentification multifacteur pour ces utilisateurs.
Exécutez chaque test dans votre plan de test avec des utilisateurs de test. Le plan de test vous permet de comparer les résultats attendus et réels.
Déployer en production
Après avoir confirmé vos paramètres à l’aide de l’impact de la stratégie ou du mode rapport uniquement, déplacez le bouton bascule Activer la stratégie de Rapport uniquement sur Activé.
Restaurer les stratégies
Si vous devez restaurer les stratégies nouvellement implémentées, utilisez une ou plusieurs de ces options :
Désactivez la stratégie. La désactivation d’une stratégie garantit qu’elle ne s’applique pas quand un utilisateur tente de se connecter. Vous pouvez toujours revenir en arrière et activer la stratégie lorsque vous souhaitez l’utiliser.
Exclure un utilisateur ou un groupe d’une stratégie. Si un utilisateur ne peut pas accéder à l’application, excluez l’utilisateur de la stratégie.
Attention
Utilisez des exclusions avec parcimonie, uniquement dans les situations où l’utilisateur est approuvé. Ajoutez de nouveau des utilisateurs à la stratégie ou au groupe dès que possible.
Si une stratégie est désactivée et n’est plus nécessaire, supprimez-la.
Restaurer des stratégies supprimées
Si un accès conditionnel ou un emplacement est supprimé, il peut être restauré au cours de la période de suppression réversible de 30 jours. Pour plus d’informations sur la restauration des stratégies d’accès conditionnel et des emplacements nommés, consultez l’article Récupérer des suppressions.
Résoudre les problèmes de stratégie d’accès conditionnel
Si un utilisateur rencontre un problème avec une stratégie d’accès conditionnel, collectez ces informations pour faciliter la résolution des problèmes.
- Nom d’utilisateur principal
- Nom d’affichage de l’utilisateur
- Nom du système d’exploitation
- Horodatage (une heure approximative est correcte)
- Application cible
- Type d’application cliente (navigateur ou client)
- ID de corrélation (ID propre à la connexion)
Si l’utilisateur reçoit un message avec un lien Plus de détails , il peut collecter la plupart de ces informations pour vous.
Après avoir collecté les informations, consultez les ressources suivantes :
- Problèmes de connexion avec l’accès conditionnel : découvrez les résultats inattendus de connexion liés à l’accès conditionnel à l’aide de messages d’erreur et du journal de connexion Microsoft Entra.
- Utilisation de l’outil What-If : découvrez pourquoi une stratégie est ou n’est pas appliquée à un utilisateur dans une situation spécifique ou si une stratégie s’applique dans un état connu.