Partager via

Atténuer les risques et débloquer les utilisateurs

Après avoir effectué votre enquête sur les risques, vous devez prendre des mesures pour corriger les utilisateurs à risque ou les débloquer. Vous pouvez configurer des stratégies basées sur les risques pour activer la correction automatique ou mettre à jour manuellement l’état des risques de l’utilisateur. Microsoft recommande d’agir rapidement, car le temps est important lors de l’utilisation des risques.

Cet article fournit plusieurs options pour corriger automatiquement et manuellement les risques et couvre les scénarios où les utilisateurs ont été bloqués en raison de risques utilisateur, de sorte que vous savez comment les débloquer.

Conditions préalables

Fonctionnement de la correction des risques

Toutes les détections de risques actives contribuent au calcul du niveau de risque de l’utilisateur, ce qui indique la probabilité que le compte de l’utilisateur soit compromis. Selon le niveau de risque et la configuration de votre locataire, vous devrez peut-être examiner et résoudre le risque. Vous pouvez autoriser les utilisateurs à corriger eux-mêmes leurs risques de connexion et d’utilisateur en configurant des stratégies basées sur les risques. Si les utilisateurs passent le contrôle d’accès requis, tel que l’authentification multifacteur ou un changement de mot de passe sécurisé, leurs risques sont automatiquement corrigés.

Si une stratégie basée sur les risques est appliquée pendant la connexion où les critères ne sont pas remplis, l’utilisateur est bloqué. Ce bloc se produit parce que l’utilisateur ne peut pas effectuer l’étape requise, de sorte que l’intervention de l’administrateur est nécessaire pour débloquer l’utilisateur.

Les stratégies basées sur les risques sont configurées en fonction des niveaux de risque et s’appliquent seulement si le niveau de risque de la connexion ou de l’utilisateur correspond au niveau configuré. Certaines détections peuvent ne pas augmenter le risque au niveau où la stratégie s’applique, de sorte que les administrateurs doivent gérer ces situations manuellement. Les administrateurs peuvent déterminer que des mesures supplémentaires sont nécessaires, telles que le blocage de l’accès à partir d’emplacements ou la réduction du risque acceptable dans leurs stratégies.

Auto-correction de l’utilisateur final

Lorsque des stratégies d’accès conditionnel basées sur les risques sont configurées, la correction du risque d’utilisateur et de connexion peut être un processus en libre-service pour les utilisateurs. Cette correction automatique permet aux utilisateurs de résoudre leurs propres risques sans avoir à contacter le support technique ou un administrateur. En tant qu’administrateur informatique, vous n’avez peut-être pas besoin de prendre des mesures pour corriger les risques, mais vous devez savoir comment configurer les stratégies qui autorisent l’autorémédiation et ce qui doit être attendu dans les rapports associés. Pour plus d’informations, consultez :

Correction automatique du risque de connexion

Si le risque de connexion d’un utilisateur atteint le niveau défini par votre stratégie basée sur les risques, l’utilisateur est invité à effectuer une authentification multifacteur (MFA) pour corriger le risque de connexion. S'ils réussissent à relever le défi d'authentification multifacteur (MFA), le risque de connexion est remédié. L’état des risques et les détails des risques pour l’utilisateur, les connexions et les détections de risque correspondantes sont mis à jour comme suit :

  • État du risque : « À risque » -> « Corrigé »
  • Détail du risque : « - » -> « Authentification multifacteur passée par l’utilisateur »

Les risques de connexion non corrigés affectent le risque utilisateur. Par conséquent, avoir en place des stratégies basées sur les risques de connexion permet aux utilisateurs de corriger eux-mêmes leur risque de connexion, pour que leur risque utilisateur ne soit pas affecté.

Correction automatique du risque utilisateur

Si un utilisateur est invité à utiliser la réinitialisation de mot de passe en libre-service (SSPR) pour corriger le risque utilisateur, il est invité à mettre à jour son mot de passe, comme indiqué dans l’article Microsoft Entra ID Protection . Une fois leur mot de passe mis à jour, le risque de l’utilisateur est atténué. L’utilisateur peut ensuite continuer à se connecter avec son nouveau mot de passe. L’état des risques et les détails des risques pour l’utilisateur, les connexions et les détections de risque correspondantes sont mis à jour comme suit :

  • État du risque : « À risque » -> « Corrigé »
  • Détail des risques : « - » -> « Réinitialisation de mot de passe sécurisée par l’utilisateur »

Considérations relatives aux utilisateurs cloud et hybrides

  • Les utilisateurs cloud et hybrides peuvent effectuer une modification de mot de passe sécurisée avec SSPR uniquement s’ils peuvent effectuer une authentification multifacteur. Pour les utilisateurs non inscrits, cette option n’est pas disponible.
  • Les utilisateurs hybrides peuvent effectuer une modification de mot de passe en à partir d’un appareil Windows local ou à jonction hybride, lorsque la synchronisation de hachage de mot de passe et le paramètre Autoriser la modification du mot de passe localement pour réinitialiser le risque utilisateur est activé.

Remédiation basée sur le système

Dans certains cas, Microsoft Entra ID Protection peut également ignorer automatiquement l’état de risque d’un utilisateur. La détection des risques et la connexion à risque correspondante sont identifiées par la protection d’ID comme ne présentant plus de menace de sécurité. Cette intervention automatique peut se produire si l’utilisateur fournit un deuxième facteur, tel que l’authentification multifacteur (MFA) ou si l’évaluation en temps réel et hors connexion détermine que la connexion n’est plus risquée. Cette correction automatique réduit le bruit dans la surveillance des risques afin que vous puissiez vous concentrer sur les éléments qui nécessitent votre attention.

  • État de risque : « À risque » -> « Ignoré »
  • Détails du risque : « - » -> « Microsoft Entra ID Protection a évalué la connexion sécurisée »

Correction manuelle par l’administrateur

Certaines situations nécessitent qu’un administrateur informatique corrige manuellement les risques de connexion ou d’utilisateur. Si vous n’avez pas de stratégies basées sur les risques configurées, si le niveau de risque ne répond pas aux critères de correction automatique ou si le facteur temps est crucial, vous devrez peut-être effectuer l’une des actions suivantes :

  • Générez un mot de passe temporaire pour l’utilisateur.
  • Exiger que l’utilisateur réinitialise son mot de passe.
  • Ignorer le risque de l’utilisateur.
  • Vérifiez que l’utilisateur est compromis et prenez des mesures pour sécuriser le compte.
  • Débloquez l'utilisateur.

Générer un mot de passe temporaire

La génération d’un mot de passe temporaire vous permet de rétablir immédiatement la sécurité d’une identité. Cette méthode nécessite de contacter les utilisateurs affectés, car ceux-ci ont besoin de connaître le mot de passe temporaire. Étant donné que le mot de passe est temporaire, l’utilisateur est invité à le modifier lors de sa prochaine connexion.

Pour générer un mot de passe temporaire :

  1. Connectez-vous au centre d’administration Microsoft Entra.

    • Pour générer un mot de passe temporaire à partir des détails de l’utilisateur, vous avez besoin du rôle Administrateur de l’utilisateur .
    • Pour générer un mot de passe temporaire à partir de la protection d’ID, vous avez besoin des rôles Opérateur de sécurité et Administrateur d’utilisateur .
    • L’opérateur de sécurité est requis pour accéder à la protection d’ID et l’administrateur utilisateur est requis pour réinitialiser les mots de passe.

  2. Accédez à Protection>Identity Protection>utilisateurs à risque, puis sélectionnez l’utilisateur concerné.

    • Vous pouvez également accéder à Utilisateurs>tous les utilisateurs, puis sélectionner l’utilisateur concerné.

  3. Sélectionnez Réinitialiser le mot de passe.

    Capture d’écran du panneau Détails de l’utilisateur à risque avec réinitialisation du mot de passe mis en surbrillance.

  4. Passez en revue le message et sélectionnez Réinitialiser le mot de passe à nouveau.

    Capture d’écran du deuxième bouton réinitialiser le mot de passe.

  5. Indiquez le mot de passe temporaire à l’utilisateur. L’utilisateur doit modifier son mot de passe la prochaine fois qu’il se connecte.

L’état des risques et les détails des risques pour l’utilisateur, les connexions et les détections de risque correspondantes sont mis à jour comme suit :

  • État du risque : « À risque » -> « Corrigé »
  • Détails du risque : « - » -> « Mot de passe temporaire généré par l’administrateur pour l’utilisateur »

Considérations relatives aux utilisateurs cloud et hybrides

Attention aux considérations suivantes lors de la génération d’un mot de passe temporaire pour les utilisateurs cloud et hybrides :

Exiger une réinitialisation de mot de passe

Vous pouvez exiger que les utilisateurs à risque réinitialisent leur mot de passe pour corriger leur risque. Étant donné que ces utilisateurs ne sont pas invités à modifier leur mot de passe par le biais d’une stratégie basée sur les risques, vous devez les contacter pour réinitialiser leur mot de passe. La façon dont le mot de passe est réinitialisé dépend du type d’utilisateur :

  • Utilisateurs cloud et utilisateurs hybrides avec des appareils joints à Microsoft Entra : effectuez une modification de mot de passe sécurisée après une connexion MFA réussie. Les utilisateurs doivent déjà être inscrits à l'authentification multifacteur.
  • Utilisateurs hybrides disposant d’appareils Windows locaux ou hybrides : effectuez une modification de mot de passe sécurisée via l’écran Ctrl-Alt-Delete sur leur appareil Windows.

L’état des risques et les détails des risques pour l’utilisateur, les connexions et les détections de risque correspondantes sont mis à jour comme suit :

  • État du risque : « À risque » -> « Corrigé »
  • Détail des risques : « - » -> « Modification de mot de passe sécurisée effectuée par l’utilisateur »

Ignorer le risque

Si après examen, vous confirmez que le compte de connexion ou d’utilisateur n’est pas en danger de compromission, vous pouvez ignorer le risque.

  1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’Opérateur de sécurité.
  2. Accédez à Protection>Protection de l'identité>, connexions à risque ou utilisateurs à risque, puis sélectionnez l’activité à risque.
  3. Sélectionnez Ignorer les connexions à risque ou Ignorer le risque utilisateur.

Étant donné que cette méthode ne modifie pas le mot de passe existant de l’utilisateur, elle ne rétablit pas son identité dans un état sûr. Vous devrez peut-être toujours contacter l’utilisateur pour leur informer du risque et leur conseiller de modifier leur mot de passe.

L’état des risques et les détails des risques pour l’utilisateur, les connexions et les détections de risque correspondantes sont mis à jour comme suit :

  • État du risque : « À risque  » -> « Ignoré »
  • Détail du risque : « - » -> « Administrateur a rejeté le risque de connexion » ou « Administrateur a rejeté tous les risques pour l’utilisateur »

Confirmer qu’un utilisateur est compromis

Si après examen, vous confirmez que la connexion ou l’utilisateur est en danger, vous pouvez confirmer manuellement qu’un compte est compromis :

  1. Sélectionnez l’événement ou l’utilisateur dans les rapports de connexions risquées ou d’utilisateurs à risque , puis choisissez Confirmer compromis.
  2. Si une stratégie basée sur les risques n’a pas été déclenchée et que le risque n’a pas été corrigé automatiquement à l’aide de l’une des méthodes décrites dans cet article, effectuez une ou plusieurs des actions suivantes :
    1. Demander la réinitialisation du mot de passe.
    2. Bloquez l’utilisateur si vous pensez que l’attaquant peut réinitialiser le mot de passe ou procéder à l’authentification multifacteur pour l’utilisateur.
    3. Révoquez les jetons d’actualisation.
    4. Désactivez tous les appareils qui sont considérés comme compromis.
    5. Si vous utilisez l’évaluation de l’accès continu, révoquez tous les jetons d’accès.

L’état des risques et les détails des risques pour l’utilisateur, les connexions et les détections de risque correspondantes sont mis à jour comme suit :

  • État du risque : « À risque » -> « Compromission confirmée »
  • Détails du risque : « - » -> « Administrateur a confirmé la compromission de l’utilisateur »

Pour plus d’informations sur ce qui se passe lors de la confirmation de compromission, consultez Comment donner des commentaires sur les risques.

Débloquer les utilisateurs

Les stratégies basées sur les risques peuvent être utilisées pour bloquer les comptes pour protéger votre organisation contre les comptes compromis. Vous devez examiner ces scénarios pour déterminer comment débloquer l’utilisateur, puis déterminer pourquoi l’utilisateur a été bloqué.

Se connecter à partir d’un emplacement ou d’un appareil familier

Les connexions sont souvent bloquées comme suspectes si la tentative de connexion semble provenir d’un emplacement ou d’un appareil inconnu. Vos utilisateurs peuvent se connecter à partir d’un emplacement ou d’un appareil familier pour essayer de débloquer la connexion. Si la connexion réussit, Microsoft ID Protection corrige automatiquement le risque de connexion.

  • État du risque : « À risque  » -> « Ignoré »
  • Détails du risque : « - » -> « Microsoft Entra ID Protection a évalué la connexion sécurisée »

Exclure l’utilisateur de la stratégie

Si vous pensez que la configuration actuelle de votre stratégie de connexion ou de risque utilisateur provoque des problèmes pour des utilisateurs spécifiques , vous pouvez exclure les utilisateurs de la stratégie. Vous devez confirmer qu’il est sûr d’accorder l’accès à ces utilisateurs sans appliquer cette stratégie. Pour plus d’informations, consultez Comment configurer et activer les stratégies de risque.

Vous devrez peut-être supprimer manuellement le risque ou l’utilisateur afin qu’il puisse se connecter.

Désactiver la stratégie

Si vous pensez que votre configuration de stratégie provoque des problèmes pour tous les utilisateurs, vous pouvez désactiver la stratégie. Pour plus d’informations, consultez Comment configurer et activer les stratégies de risque.

Vous devrez peut-être ignorer manuellement le risque ou l’utilisateur afin qu’il puisse se connecter avant de traiter la stratégie.

Blocage automatique en raison d’un risque de confiance élevé

La protection Microsoft Entra ID bloque automatiquement les connexions dont le niveau de confiance de risque est très élevé. Ce bloc se produit le plus souvent lors de connexions utilisant des protocoles d’authentification anciens ou lorsqu'il y a des caractéristiques indiquant une tentative malveillante. Lorsqu’un utilisateur est bloqué pour l’un ou l’autre scénario, il reçoit une erreur d’authentification 50053. Les journaux de connexion affichent la raison de blocage suivante : « La connexion a été bloquée par des protections intégrées en raison d’un risque de confiance élevé ».

Pour débloquer un compte en fonction du risque de connexion à haut niveau de confiance, vous disposez des options suivantes :

  • Ajoutez les adresses IP utilisées pour vous connecter aux paramètres d’emplacement approuvé : si la connexion est effectuée à partir d’un emplacement connu pour votre entreprise, vous pouvez ajouter l’adresse IP à la liste approuvée. Pour plus d’informations, consultez Accès conditionnel : Attribution de réseau.
  • Utilisez un protocole d’authentification moderne : si la connexion est effectuée à l’aide d’un protocole hérité, le passage à une méthode moderne débloque la tentative.

Autoriser la réinitialisation de mot de passe localement pour corriger les risques utilisateur

Si votre organisation dispose d’un environnement hybride, vous pouvez autoriser les modifications de mot de passe localement pour réinitialiser le risque utilisateur avec une synchronisation de hachage de mot de passe. Vous devez activer la synchronisation de hachage de mot de passe avant que les utilisateurs puissent se corriger automatiquement dans ces scénarios.

  • Les utilisateurs hybrides à risque peuvent se corriger automatiquement sans intervention de l’administrateur. Lorsque l’utilisateur modifie son mot de passe local, le risque utilisateur est automatiquement corrigé dans Microsoft Entra ID Protection, réinitialisant l’état actuel des risques utilisateur.
  • Les organisations peuvent déployer de manière proactive des stratégies de risque utilisateur qui nécessitent des modifications de mot de passe pour protéger leurs utilisateurs hybrides. Cette option permet de renforcer la posture de sécurité de votre organisation et simplifie la gestion de la sécurité en garantissant la résolution rapide des risques utilisateur, même dans des environnements hybrides complexes.

Remarque

L’autorisation de modifier le mot de passe local pour corriger le risque utilisateur est une fonctionnalité d’opt-in uniquement. Les clients doivent évaluer cette fonctionnalité avant de l’activer dans des environnements de production. Nous recommandons aux clients de sécuriser le processus de modification de mot de passe local. Par exemple, vous devez exiger l’authentification multifacteur avant d’autoriser les utilisateurs à modifier leur mot de passe local à l’aide d’un outil tel que le portail de réinitialisation de mot de passe de Microsoft Identity Manager Self-Service.

Pour configurer ce paramètre :

  1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’Opérateur de sécurité.
  2. Accédez à Protection>Protection des identités>Paramètres.
  3. Cochez la case pour autoriser la modification du mot de passe local pour réinitialiser le risque utilisateur , puis sélectionnez Enregistrer.

Capture d’écran affichant l’emplacement de la case à cocher Autoriser la modification du mot de passe localement pour réinitialiser le risque utilisateur.

Utilisateurs supprimés

Si un utilisateur a été supprimé du répertoire présentant un risque, cet utilisateur apparaît toujours dans le rapport de risque même si le compte a été supprimé. Les administrateurs ne peuvent pas ignorer les risques pour les utilisateurs qui ont été supprimés de l’annuaire. Pour supprimer les utilisateurs supprimés, ouvrez un dossier de support Microsoft.

PowerShell en préversion

Le module Microsoft Graph PowerShell SDK Preview permet aux organisations de gérer les risques à l'aide de PowerShell. Les modules disponibles en préversion et les exemples de code se trouvent dans le référentiel GitHub Microsoft Entra.

Le script Invoke-AzureADIPDismissRiskyUser.ps1 inclus dans le référentiel permet aux organisations de rejeter tous les utilisateurs à risque dans leur répertoire.

Contenu connexe

  • Last updated on