Configurer et activer des stratégies de risque
Il existe deux sortes de stratégies de risque que vous pouvez configurer dans l’accès conditionnel Microsoft Entra. Vous pouvez utiliser ces stratégies pour automatiser la réponse aux risques. Les utilisateurs pourront alors corriger eux-mêmes le problème en cas de détection de risque :
Choix des niveaux de risque acceptables
Les organisations doivent décider du niveau de risque qu’elles souhaitent imposer au contrôle d’accès pour équilibrer l’expérience utilisateur et l’état de la sécurité.
L’application d’un contrôle d’accès sur un niveau de risque Élevé permet de réduire la fréquence de déclenchement d’une stratégie, ainsi que les désagréments pour les utilisateurs. Cependant, cette réduction exclut les risques Faible et Moyen de la stratégie. Par conséquent, il se peut qu’un attaquant soit en mesure d’exploiter une identité compromise. La sélection d’un niveau de risque Faible pour exiger un contrôle d’accès introduit davantage d’interruptions utilisateur.
Les emplacements réseau approuvés qui ont été configurés sont utilisés par la Protection des ID Microsoft Entra dans certaines détections de risques afin de réduire les faux positifs.
Les configurations de stratégie suivantes incluent le contrôle de session de fréquence de connexion qui nécessite une réauthentification pour les utilisateurs et connexions à risque.
Recommandation de Microsoft
Microsoft recommande les configurations de stratégie de risque suivantes pour protéger votre organisation :
- Stratégie d’utilisateur à risque
- Exigez une modification sécurisée du mot de passe lorsque le niveau de risque de l’utilisateur est Élevé. L’authentification multifacteur Microsoft Entra est nécessaire pour que l’utilisateur puisse créer un mot de passe avec réécriture du mot de passe afin de corriger son risque.
- Stratégie de connexion à risque
- Exigez l’authentification multifacteur Microsoft Entra lorsque le niveau de risque de connexion est Moyen ou Élevé.Les utilisateurs peuvent alors prouver leur identité en utilisant une des méthodes d’authentification inscrites, ce qui corrige le risque de connexion.
L’exigence d’un contrôle d’accès lorsque le niveau de risque est faible introduit plus de désagréments et d’interruptions pour l’utilisateur que les niveaux moyen ou élevé. Le choix de bloquer l’accès au lieu d’autoriser les options d’auto-correction, comme la modification sécurisée du mot de passe et l’authentification multifacteur, a encore plus d’impact sur vos utilisateurs et vos administrateurs. Réfléchissez à ces choix lorsque vous configurez vos stratégies.
Mesures de correction des risques
Les organisations peuvent choisir de bloquer l’accès en cas de détection d’un risque. Le blocage empêche parfois les utilisateurs légitimes de faire ce dont ils ont besoin. Une meilleure solution consiste à configurer des stratégies d’accès conditionnel basées sur le risque pour l’utilisateur et la connexion qui permettent aux utilisateurs de se corriger eux-mêmes.
Avertissement
Les utilisateurs doivent s’inscrire à l’authentification multifacteur Microsoft Entra pour pouvoir faire face à une situation nécessitant une correction. Pour les utilisateurs hybrides synchronisés depuis un emplacement local, la réécriture du mot de passe doit être activée. Les utilisateurs qui ne sont pas inscrits sont bloqués et ont besoin de l’intervention d’un administrateur.
Le changement de mot de passe (je connais mon mot de passe et je souhaite le remplacer par un nouveau) en dehors du processus de correction de la stratégie d’utilisateur à risque ne répond pas à l’exigence de changement de mot de passe sécurisé.
Activer les stratégies
Les organisations peuvent choisir de déployer des stratégies basées sur les risques dans l’accès conditionnel en respectant les étapes suivantes ou à l’aide des modèles d’accès conditionnel.
Avant que les organisations n’activent ces stratégies, elles doivent prendre des mesures pour examiner et corriger les risques actifs.
Exclusions de stratégie
Les stratégies d’accès conditionnel sont des outils puissants. Nous vous recommandons donc d’exclure les comptes suivants de vos stratégies :
- Comptes d’accès d’urgence ou de secours pour empêcher le verrouillage du compte sur l’ensemble du client. Dans le scénario improbable dans lequel tous les administrateurs seraient verrouillés hors de votre client, votre compte administratif d’accès d’urgence peut être utilisé pour vous connecter au client et prendre les mesures nécessaires pour récupérer l’accès.
- Pour obtenir plus d’informations, consultez l’article Gérer les comptes d’accès d’urgence dans Microsoft Entra ID.
- Comptes de service et principaux de service, comme le compte de synchronisation Microsoft Entra Connect. Les comptes de service sont des comptes non interactifs qui ne sont liés à aucun utilisateur particulier. Ils sont généralement utilisés par des services back-end autorisant l’accès par programmation aux applications, mais ils le sont également pour une connexion aux systèmes à des fins administratives. Les comptes de service comme ceux-ci doivent être exclus, car l’authentification MFA ne peut pas être effectuée par programme. Les appels effectués par les principaux de service ne seront pas bloqués par les stratégies d’accès conditionnel destinées aux utilisateurs. Utilisez l’accès conditionnel des identités de charge de travail pour élaborer des stratégies ciblant les principaux de service.
- Si votre organisation utilise ces comptes dans des scripts ou du code, envisagez de les remplacer par des identités managées. Comme solution de contournement provisoire, vous pouvez exclure ces comptes spécifiques de la stratégie de base de référence.
Stratégie d’utilisateur à risque dans l’accès conditionnel
- Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur de l’accès conditionnel.
- Accédez à Protection>Accès conditionnel.
- Sélectionnez Nouvelle stratégie.
- Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
- Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
- Sous Inclure, sélectionnez Tous les utilisateurs.
- Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
- Cliquez sur Terminé.
- Sous Logiciels ou actions cloud>Inclure, sélectionnez Tous les logiciels cloud.
- Sous Conditions>Risque d’utilisateur, définissez Configurer sur Oui.
- Sous Configurer les niveaux de risque utilisateur nécessaires à l’application de la stratégie, sélectionnez Élevé. Cette aide se base sur les recommandations de Microsoft et peut être différente pour chaque organisation
- Cliquez sur Terminé.
- Sous Contrôles d’accès>Octroyer.
- Sélectionnez Octroyer l’accès, Exiger l’authentification multifacteur et Exiger le changement de mot de passe.
- Sélectionnez Sélectionner.
- Sous Session.
- Sélectionnez Fréquence de connexion.
- Vérifiez que À chaque fois est sélectionné.
- Sélectionnez Sélectionner.
- Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
- Sélectionnez Créer pour créer votre stratégie.
Une fois que les administrateurs ont confirmé les paramètres à l’aide du mode Rapport seul, ils peuvent modifier la position du bouton bascule Activer la stratégie de Rapport seul à Activé.
Stratégie de connexion à risque dans l’accès conditionnel
- Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur de l’accès conditionnel.
- Accédez à Protection>Accès conditionnel.
- Sélectionnez Nouvelle stratégie.
- Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
- Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
- Sous Inclure, sélectionnez Tous les utilisateurs.
- Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
- Cliquez sur Terminé.
- Sous Logiciels ou actions cloud>Inclure, sélectionnez Tous les logiciels cloud.
- Dans Conditions>Risque de connexion, définissez Configurer sur Oui.
- Sous Sélectionner le niveau de risque de connexion auquel cette stratégie s’applique, sélectionnez Élevé et Moyen. Cette aide se base sur les recommandations de Microsoft et peut être différente pour chaque organisation
- Cliquez sur Terminé.
- Sous Contrôles d’accès>Octroyer.
- Sélectionnez Octroyer l’accès, Exiger l’authentification multifacteur.
- Sélectionnez Sélectionner.
- Sous Session.
- Sélectionnez Fréquence de connexion.
- Vérifiez que À chaque fois est sélectionné.
- Sélectionnez Sélectionner.
- Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
- Sélectionnez Créer pour créer votre stratégie.
Une fois que les administrateurs ont confirmé les paramètres à l’aide du mode Rapport seul, ils peuvent modifier la position du bouton bascule Activer la stratégie de Rapport seul à Activé.
Migrer des stratégies de risque vers l’accès conditionnel
Si vous avez des stratégies de risque héritées actives dans Protection des ID Microsoft Entra, vous devez planifier leur migration vers l’accès conditionnel :
Avertissement
Les stratégies de risque héritées configurées dans Protection des ID Microsoft Entra seront supprimées le 1er octobre 2026.
Migrer vers l’accès conditionnel
- Créez une stratégie équivalente basée sur les risques utilisateur et basée sur les risques de connexion dans l’accès conditionnel en mode Rapport seul. Vous pouvez créer une stratégie en suivant les étapes précédentes ou en utilisant des modèles d’accès conditionnel en fonction des recommandations de Microsoft et de vos exigences organisationnelles.
- Une fois que les administrateurs ont confirmé les paramètres à l’aide du mode Rapport seul, ils peuvent modifier la position du bouton bascule Activer la stratégie de Rapport seul à Activé.
- Désactivez les anciennes stratégies de risque dans Protection d’ID.
- Accédez à Protection>Protection d’identité> Sélectionnez la stratégie d’utilisateur à risque ou de connexion à risque.
- Définissez Appliquer la stratégie sur Désactivé.
- Créez d’autres stratégies de risque si nécessaire dans l’accès conditionnel.