Stratégies d’accès basées sur les risques

Les stratégies de contrôle d’accès basées sur les risques peuvent être appliquées pour protéger les organisations lorsqu’une connexion ou un utilisateur est détecté comme étant à risque.

Diagramme montrant une stratégie d’accès conditionnel basée sur les risques conceptuelle.

L’accès conditionnel Microsoft Entra offre deux conditions de risque spécifiques à l’utilisateur alimentées par les signaux microsoft Entra ID Protection : risque de connexion et risque utilisateur. Les organisations peuvent créer des stratégies d’accès conditionnel basées sur les risques en configurant ces deux conditions de risque et en choisissant une méthode de contrôle d’accès. À chaque connexion, ID Protection envoie les niveaux de risque détectés à l’accès conditionnel, et les stratégies basées sur les risques s’appliquent si les conditions de stratégie sont remplies.

Vous pouvez nécessiter une authentification multifacteur lorsque le niveau de risque de connexion est moyen ou élevé. Les utilisateurs sont sollicités uniquement à ce niveau.

Diagramme montrant une stratégie conceptuelle d’accès conditionnel basée sur les risques avec auto-remédiation.

L’exemple précédent illustre également un avantage principal d’une stratégie basée sur les risques : la correction automatique des risques. Lorsqu’un utilisateur réussit le contrôle d’accès requis, comme une modification de mot de passe sécurisée, son risque est corrigé. Cette session de connexion et compte d’utilisateur ne sont plus à risque, et aucune action n’est nécessaire de la part de l’administrateur.

Permettre aux utilisateurs de se corriger automatiquement à l’aide de ce processus réduit considérablement la charge d’investigation et de correction des risques pour les administrateurs tout en protégeant votre organisation contre les compromissions de sécurité. Vous trouverez plus d’informations sur la correction des risques dans l’article Corriger les risques et débloquer les utilisateurs.

Remarque

Microsoft Entra ID P2 est nécessaire pour utiliser des stratégies d’accès basées sur les risques.

Stratégie d’accès conditionnel en fonction des risques utilisateur

La protection des ID analyse les signaux sur les comptes d’utilisateurs et calcule un score de risque en fonction de la probabilité que l’utilisateur ait été compromis. Si un utilisateur a un comportement de connexion utilisateur risqué ou si ses informations d’identification ont été divulguées, ID Protection utilise ces signaux pour calculer le niveau de risque de l’utilisateur. Les administrateurs peuvent configurer des stratégies d’accès conditionnel basées sur les risques pour appliquer des contrôles d’accès en fonction du risque utilisateur, notamment les exigences suivantes :

  1. Exiger une correction des risques (préversion) : ID Protection gère le flux de correction approprié pour toutes les méthodes d’authentification.
  2. Exiger une modification de mot de passe : la protection des ID bloque l’accès jusqu’à ce que l’utilisateur termine une modification de mot de passe sécurisée.
  3. Bloquer l’accès : la protection des ID bloque l’utilisateur jusqu’à ce que le risque soit résolu.

Les stratégies nécessitant #1 ou #2 obligent les utilisateurs finaux à corriger leur risque utilisateur et à se débloquer eux-mêmes.

Exiger un contrôle de correction des risques

Ce contrôle utilise la correction des risques adaptatifs pour vous permettre de créer une stratégie de risque d’accès conditionnel qui accepte toutes les méthodes d’authentification, notamment basées sur un mot de passe et sans mot de passe. Cela signifie que lorsque vous sélectionnez « Exiger une correction des risques » dans les contrôles d’octroi de votre stratégie, Protection Microsoft Entra ID gère le flux de correction approprié en fonction de la menace observée et de la méthode d’authentification de l’utilisateur. Pour obtenir des instructions détaillées sur la façon d’activer la correction des risques adaptatifs, consultez Configurer des stratégies de risque.

  • Authentification par mot de passe : l’utilisateur à risque a une détection active des risques, telle qu’une fuite d’informations d’identification, un pulvérisation de mot de passe ou un historique de session impliquant un mot de passe compromis. L’utilisateur est invité à effectuer une modification de mot de passe sécurisée et, une fois terminé, ses sessions précédentes sont révoquées.
  • Authentification sans mot de passe : l’utilisateur à risque a une détection active des risques, mais elle n’implique pas de mot de passe compromis. Les détections de risque possibles incluent un jeton anormal, un déplacement impossible ou des propriétés de connexion inhabituelles. Les sessions de l’utilisateur sont révoquées et sont invités à se reconnecter.

Considérations spéciales

  • Exiger la rémédiation des risques corrige le risque utilisateur, pas le risque de connexion.
  • Si un utilisateur est affecté à plusieurs stratégies, la priorité s'applique : Exiger une correction des risques remplace Exiger une modification de mot de passe, et Bloquer remplace toutes les autres. Pour éviter les conflits, affectez chaque utilisateur à l’une de ces stratégies à la fois.
  • Exiger une force d'authentification et la fréquence de connexion - chaque fois sont automatiquement appliquées à la stratégie pour garantir qu'après la révocation de session, les utilisateurs finaux soient immédiatement invités à se réauthentifier avec la force d'authentification spécifiée.
  • La correction des risques exigeant n'est pas prise en charge pour les utilisateurs externes et invités car Microsoft Entra ID ne supporte pas la révocation de session pour ces utilisateurs.
  • Pendant la correction des risques, Microsoft Entra ID utilise un flux sécurisé dédié pour effectuer des actions telles que la révocation de session. Pour garantir que la correction n’est pas bloquée, ce flux est autorisé à continuer sans être affecté par d’autres stratégies d’accès conditionnel.
    • AppId : cloud public = 93625bc8-bfe2-437a-97e0-3d0060024faa, Azure pour le gouvernement américain = 2e5ecfc8-ea79-48bd-8140-c19324acb278
    • ResourceId: 00000003-0000-0000-c000-000000000000

Stratégie d’accès conditionnel basée sur les risques de connexion

À chaque connexion, la protection des ID analyse des centaines de signaux en temps réel et calcule un niveau de risque de connexion qui représente la probabilité que la requête d’authentification donnée ne soit pas autorisée. Ce niveau de risque est ensuite envoyé à l’accès conditionnel, où les stratégies configurées de l’organisation sont évaluées. Les administrateurs peuvent configurer des stratégies d’accès conditionnel basées sur les risques de connexion afin d’appliquer des contrôles d’accès basés sur les risques de connexion, notamment les exigences suivantes :

  • Bloquer l’accès
  • Autoriser l’accès
  • Exiger l’authentification multifacteur
  • Exiger une réauthentification (fréquence de connexion)

Si des risques sont détectés sur une connexion, les utilisateurs peuvent effectuer le contrôle d’accès requis tel que l’authentification multifacteur pour s’auto-corriger et fermer l’événement de connexion à risque afin empêcher toute perturbation inutile pour les administrateurs.

Capture d’écran d’une stratégie d’accès conditionnel basée sur les risques de connexion.

Remarque

Les utilisateurs doivent avoir inscrit une méthode d’authentification capable de satisfaire l’authentification multifacteur Microsoft Entra avant de déclencher une stratégie de risque de connexion.

Migrer des stratégies de risque de protection des ID vers l'accès conditionnel

Si vous disposez de la stratégie de risque utilisateur héritée ou de la stratégie de risque de connexion activée dans ID Protection (anciennement Identity Protection), migrez-les vers l’accès conditionnel.

Avertissement

Les stratégies de risque héritées configurées dans Protection Microsoft Entra ID sont mises hors service le 1er octobre 2026.

La configuration des stratégies de risque dans l'accès conditionnel offre des avantages, comme la possibilité de :

  • gestion des stratégies d'accès dans un emplacement unique.
  • Utiliser le mode Rapport uniquement et les API Graph.
  • Appliquer une fréquence de connexion obligatoire pour exiger une réauthentification à chaque tentative de connexion.
  • Fournir un contrôle d’accès granulaire combinant les risques avec d’autres conditions telles que l’emplacement.
  • Améliorer la sécurité grâce à plusieurs stratégies basées sur les risques ciblant différents groupes d'utilisateurs ou de niveaux de risque.
  • Améliorer l’expérience de diagnostic détaillant quelle politique basée sur le risque s’applique dans les journaux de connexion.
  • Soutenir le système d’authentification de sauvegarde.

Politique d’inscription à l’authentification multifacteur de Microsoft Entra

Id Protection aide les organisations à déployer l’authentification multifacteur Microsoft Entra à l’aide d’une stratégie nécessitant une inscription lors de la connexion. L’activation de cette stratégie garantit que les nouveaux utilisateurs de votre organisation s'enregistrent pour l'authentification multifacteur dès leur premier jour. L’authentification multifacteur est l’une des méthodes d’autocorrection pour les événements à risque dans la protection des ID. L’auto-réparation permet à vos utilisateurs de prendre des initiatives pour réduire les appels au support technique.

En savoir plus sur l’authentification multifacteur Microsoft Entra dans l’article, Comment fonctionne l’authentification multifacteur Microsoft Entra.

Contenu connexe

  • Last updated on