Appliquer des stratégies d’accès conditionnel aux applications Accès privé

L’application de stratégies d’accès conditionnel à vos applications Accès privé Microsoft Entra est un moyen puissant d’appliquer des stratégies de sécurité à vos ressources internes et privées. Vous pouvez appliquer des stratégies d’accès conditionnel à vos applications Accès rapide et Accès privé à partir de Global Secure Access (préversion).

Cet article vous explique comment appliquer des stratégies d’accès conditionnel à vos applications Accès rapide et Accès privé.

Prérequis

• Les administrateurs interagissant avec les fonctionnalités Global Secure Access (préversion) doivent avoir une ou plusieurs des attributions de rôles suivantes en fonction des tâches qu’ils effectuent.
  • Le rôle Administrateur de l’accès sécurisé global pour gérer les fonctionnalités en préversion de l’accès sécurisé global.
  • Le rôle Administrateur de l’accès conditionnel pour créer des stratégies d’accès conditionnel et interagir avec elles.
• Vous devez avoir configuré Accès rapide ou Accès privé.
• La préversion nécessite une licence Microsoft Entra ID P1. Si nécessaire, vous pouvez acheter des licences ou obtenir des licences d’essai.

Limitations connues

• À l’heure actuelle, la connexion via le client Global Secure Access est nécessaire pour acquérir le trafic Accès privé.

Accès conditionnel et Global Secure Access

Vous pouvez créer une stratégie d’accès conditionnel pour vos applications Accès rapide ou Accès privé à partir de Global Secure Access. Le démarrage du processus à partir de Global Secure Access ajoute automatiquement l’application sélectionnée en tant que Ressource cible pour la stratégie. Il vous suffit de configurer les paramètres de stratégie.

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.

2. Accédez à Global Secure Access (préversion)>Applications>Applications d’entreprise.

3. Sélectionnez une application dans la liste.

   

4. Sélectionnez Accès conditionnel à partir du menu latéral. Toutes les stratégies d’accès conditionnel existantes s’affichent dans une liste.

   

5. Sélectionnez Créer une stratégie. L’application sélectionnée s’affiche dans les détails des Ressources cibles.

   

6. Configurez les conditions, les contrôles d’accès et affectez des utilisateurs et des groupes selon les besoins.

Vous pouvez également appliquer des stratégies d’accès conditionnel à un groupe d’applications basé sur des attributs personnalisés. Si vous souhaitez obtenir plus d’informations, accédez au Filtre pour applications dans une stratégie d’accès conditionnel (préversion).

Exemple d’affectations et de contrôles d’accès

Ajustez les détails de stratégie suivants pour créer une stratégie d’accès conditionnel nécessitant l’authentification multifacteur, la conformité de l’appareil ou un appareil joint Microsoft Entra hybride pour votre application Accès rapide. Les attributions d’utilisateur veillez à ce que les comptes d’accès d’urgence ou de secours de votre organisation soient exclus de la stratégie.

1. Sous Attributions, sélectionnez Utilisateurs :
   1. Sous Inclure, sélectionnez Tous les utilisateurs.
   2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
2. Sous Contrôles d’accès>Octroyer :
   1. Sélectionnez Exiger l’authentification multifacteur, Exiger que l’appareil soit marqué comme conforme et Exiger un appareil joint Microsoft Entra hybride.
3. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.

Une fois les paramètres de la stratégie confirmés par les administrateurs en utilisant le mode Rapport seul, un administrateur peut faire passer le bouton bascule Activer la stratégie de Rapport seul à Activé.

Exclusions d’utilisateurs

Les stratégies d’accès conditionnel sont des outils puissants. Nous vous recommandons donc d’exclure les comptes suivants de vos stratégies :

• Comptes d’accès d’urgence ou de secours pour empêcher le verrouillage du compte sur l’ensemble du locataire. Dans le scénario improbable où tous les administrateurs seraient verrouillés hors de votre locataire, votre compte administratif d’accès d’urgence peut être utilisé pour vous connecter au locataire et prendre les mesures nécessaires pour récupérer l’accès.
  • Pour obtenir plus d’informations, consultez l’article Gérer les comptes d’accès d’urgence dans Microsoft Entra ID.
• Comptes de service et principaux de service, tels que le compte de synchronisation Microsoft Entra Connect. Les comptes de service sont des comptes non interactifs qui ne sont liés à aucun utilisateur particulier. Ils sont généralement utilisés par des services back-end autorisant l’accès par programmation aux applications, mais ils le sont également pour se connecter aux systèmes à des fins administratives. Les comptes de service comme ceux-ci doivent être exclus, car l’authentification MFA ne peut pas être effectuée par programme. Les appels effectués par les principaux de service ne seront pas bloqués par les stratégies d’accès conditionnel destinées aux utilisateurs. Utilisez l’accès conditionnel des identités de charge de travail pour élaborer des stratégies ciblant les principaux de service.
  • Si votre organisation utilise ces comptes dans des scripts ou du code, envisagez de les remplacer par des identités managées. Pour contourner provisoirement le problème, vous pouvez exclure ces comptes spécifiques de la stratégie de base.

Étapes suivantes

• Activer le profil de transfert de trafic Accès privé
• Activer la restauration d’adresse IP source