Partager via

Sécurisation des ressources cloud avec l’authentification multifacteur Microsoft Entra et AD FS

  • Article

Si votre organisation est fédérée avec Microsoft Entra ID, utilisez l’authentification multifacteur Microsoft Entra ID ou les services de fédération Active Directory (AD FS) pour sécuriser les ressources auxquelles Microsoft Entra ID accède. Utilisez les procédures suivantes pour sécuriser les ressources Microsoft Entra ID avec l’authentification multifacteur Microsoft Entra ou les services de fédération Active Directory (AD FS).

Remarque

Définissez le paramètre de domaine federatedIdpMfaBehavior sur enforceMfaByFederatedIdp (recommandé) ou SupportsMFA sur $True. Le paramètre federatedIdpMfaBehavior remplace SupportsMFA lorsque les deux sont définis.

Sécuriser les ressources Microsoft Entra à l’aide d’AD FS

Pour sécuriser vos ressources de cloud, configurez une règle de revendication afin que les services de fédération Active Directory émettent la revendication multipleauthn lorsqu’un utilisateur effectue la vérification en deux étapes avec succès. Cette revendication est transmise à Microsoft Entra ID. Suivez cette procédure pour les différentes étapes :

  1. Ouvrez Gestion AD FS.

  2. Sur la gauche, sélectionnez Approbations de partie de confiance.

  3. Cliquez avec le bouton droit sur Plateforme d’identité Microsoft Office 365 et sélectionnez Modifier les règles de revendication.

    ADFS Console - Relying Party Trusts

  4. Sous Règles de transformation d’émission, cliquez sur Ajouter une règle.

    Editing Issuance Transform Rules

  5. Dans l’Assistant Ajout de règle de revendication de transformation, sélectionnez Passer ou filtrer une revendication entrante dans la liste déroulante et cliquez sur Suivant.

    Screenshot shows Add Transform Claim Rule Wizard where you select a Claim rule template.

  6. Nommez votre règle.

  7. Sélectionnez Références des méthodes d’authentification pour le type de revendication entrante.

  8. Sélectionnez Transférer toutes les valeurs de revendication.

    Screenshot shows Add Transform Claim Rule Wizard where you select Pass through all claim values.

  9. Cliquez sur Terminer. Fermez la console de gestion AD FS.

Adresses IP de confiance pour les utilisateurs fédérés

Les adresses IP approuvées permettent aux administrateurs de contourner la vérification en deux étapes pour des adresses IP spécifiques ou pour les utilisateurs fédérés qui ont des requêtes provenant de leur propre intranet. Les sections suivantes décrivent comment configurer le contournement à l’aide d’adresses IP approuvées. Pour cela, vous devez configurer AD FS pour utiliser un passthrough ou filtrer un modèle de revendication entrante avec le type de revendication Dans le périmètre du réseau d’entreprise.

Cet exemple utilise Microsoft 365 pour nos approbations de la partie de confiance.

Configuration des règles de revendications AD FS

La première chose à faire consiste à configurer les revendications AD FS. Créez deux règles de revendications : une pour le type de revendication Dans le périmètre du réseau d’entreprise et l’autre pour maintenir les utilisateurs connectés.

  1. Ouvrez Gestion AD FS.

  2. Sur la gauche, sélectionnez Approbations de partie de confiance.

  3. Cliquez avec le bouton droit sur Plateforme d’identité Microsoft Office 365 et sélectionnez Modifier les règles de revendication…

    ADFS Console - Edit Claim Rules

  4. Sous Règles de transformation d’émission, cliquez sur Ajouter une règle.

    Adding a Claim Rule

  5. Dans l’Assistant Ajout de règle de revendication de transformation, sélectionnez Passer ou filtrer une revendication entrante dans la liste déroulante et cliquez sur Suivant.

    Screenshot shows Add Transform Claim Rule Wizard where you select Pass Through or Filter an Incoming Claim.

  6. Dans la zone en regard du nom de la règle de revendication, nommez votre règle. Par exemple : InsideCorpNet.

  7. Dans la liste déroulante, en regard du type de revendication entrante, sélectionnez Dans le périmètre du réseau d’entreprise.

    Adding Inside Corporate Network claim

  8. Cliquez sur Terminer.

  9. Sous Règles de transformation d’émission, cliquez sur Ajouter une règle.

  10. Dans l’Assistant Ajout de règle de revendication de transformation, sélectionnez Envoyer les revendications en utilisant une règle personnalisée dans la liste déroulante et cliquez sur Suivant.

  11. Dans la zone sous Nom de la règle de revendication : entrez Keep Users Signed In (Maintenir les utilisateurs connectés) .

  12. Dans la zone Règle personnalisée, entrez :

        c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
        => issue(claim = c);

    Create custom claim to keep users signed in

  13. Cliquez sur Terminer.

  14. Cliquez sur Appliquer.

  15. Cliquez sur OK.

  16. Fermez Gestion AD FS.

Configurer les adresses IP approuvées de l’authentification multifacteur Microsoft Entra ID avec des utilisateurs fédérés

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Maintenant que les revendications sont en place, nous pouvons configurer des adresses IP approuvées.

  1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.

  2. Accédez à Accès conditionnel>Emplacements nommés.

  3. À partir du panneau Accès conditionnel - Emplacements nommés, sélectionnez Configurer des adresses IP approuvées MFA

    Microsoft Entra Conditional Access named locations Configure MFA trusted IPs

  4. Sur la page Paramètres du service, sous Adresses IP approuvées, sélectionnez Ignorer l’authentification multifacteur pour les demandes issues d’utilisateurs fédérés provenant de mon intranet.

  5. Cliquez sur Enregistrer.

Et voilà ! À ce stade, les utilisateurs fédérés de Microsoft 365 doivent pouvoir utiliser uniquement MFA lorsqu'une revendication provient de l'extérieur de l'intranet de l'entreprise.