Tutoriel : Utiliser les détections de risques pour les connexions utilisateur pour déclencher l’authentification multi-facteur Microsoft Entra et le changement du mot de passe

Pour protéger vos utilisateurs, vous pouvez configurer des règles d'accès conditionnel Microsoft Entra basées sur les risques qui répondent automatiquement aux comportements à risque. Ces stratégies peuvent bloquer automatiquement une tentative de connexion ou exiger une action supplémentaire, par exemple exiger une modification de mot de passe sécurisée ou demander l'authentification multifacteur Microsoft Entra. Ces stratégies fonctionnent avec les stratégies d’accès conditionnel Microsoft Entra existantes en tant que couche supplémentaire de protection pour votre organisation. Les utilisateurs peuvent ne jamais déclencher un comportement risqué dans l'une de ces stratégies. Cependant, votre organisation est protégée en cas de tentative de compromission de votre sécurité.

Important

Ce tutoriel montre à un administrateur comment activer l’authentification multifacteur basée sur les risques (MFA).

Si votre équipe informatique n’a pas activé la possibilité d’utiliser Microsoft Entra Multi-Factor Authentification, ou si vous rencontrez des problèmes lors de la connexion, contactez votre support technique pour obtenir de l’aide.

Dans ce tutoriel, vous allez apprendre à :

• Comprendre les stratégies disponibles
• Activer l’inscription de l’authentification multi-facteur Microsoft Entra
• Activer les modifications de mot de passe en fonction des risques
• Activer l’authentification multi-facteur basée sur les risques
• Tester les stratégies basées sur les risques pour les tentatives de connexion de l’utilisateur

Prérequis

Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :

• Un locataire Microsoft Entra opérationnel avec au moins une licence d’ID de Microsoft Entra P2 ou d’évaluation activée.
  • Si nécessaire, créez-en un gratuitement.
• Un compte disposant de privilèges d'administrateur de la sécurité.
• Microsoft Entra ID configuré pour la réinitialisation de mot de passe en libre-service et l’authentification multi-facteur Microsoft Entra
  • Si nécessaire, suivez le tutoriel pour activer Microsoft Entra SSPR.
  • Si nécessaire, suivez le tutoriel pour activer l’authentification multifacteur Microsoft Entra.

Vue générale de Microsoft Entra ID Protection

Chaque jour, Microsoft collecte et analyse des milliards de signaux anonymes dans le cadre de tentatives de connexion d’utilisateurs. Ces signaux aident à créer des modèles de comportement de connexion utilisateur légitime et à identifier les tentatives de connexion risquée potentielles. Microsoft Entra ID Protection peut examiner les tentatives de connexion des utilisateurs et prendre des mesures supplémentaires en cas de comportement suspect :

Certaines des actions suivantes peuvent déclencher la détection de risque de Microsoft Entra ID Protection :

• Utilisateurs avec des informations d’identification volées.
• Connexions depuis des adresses IP anonymes.
• Voyage impossible vers des emplacements inhabituels.
• Connexions depuis des appareils infectés.
• Connexions depuis des adresses IP avec des activités suspectes.
• Connexions depuis des emplacements non connus.

Cet article vous guide tout au long de l’activation de trois stratégies pour protéger les utilisateurs et automatiser la réponse aux activités suspectes.

• stratégie d’inscription d’authentification multifacteur
  • Vérifie que les utilisateurs sont inscrits pour Microsoft Entra authentification multi-facteur. Si une stratégie de connexion à risque vous invite à utiliser l’authentification multi-facteur, l’utilisateur doit déjà être inscrit pour Microsoft Entra Multi-Factor Authentification.
• Stratégie de risque d’utilisateur
  • Identifie et automatise la réponse aux comptes d’utilisateur susceptibles d’avoir des informations d’identification compromises. Peut inviter l’utilisateur à créer un nouveau mot de passe.
• Stratégie en matière de risque à la connexion
  • Identifie et automatise la réponse aux tentatives de connexion suspectes. Peut inviter l'utilisateur à fournir des formes supplémentaires de vérification à l'aide d'authentification multifacteur Microsoft Entra.

Lorsque vous activez une stratégie basée sur les risques, vous pouvez également choisir le seuil de niveau de risque - faible, moyen ou élevé. Cette flexibilité vous permet de décider de la rigueur que vous souhaitez appliquer aux contrôles pour les événements de connexion suspects. Microsoft recommande les configurations de stratégie suivantes.

Pour plus d’informations sur Microsoft Entra ID Protection, consultez Qu’est-ce que Microsoft Entra ID Protection ?

Activer la stratégie d’inscription d’authentification multifacteur

Protection des ID Microsoft Entra inclut une stratégie par défaut qui peut aider à inscrire les utilisateurs pour l’authentification multi-facteur Microsoft Entra. Si vous utilisez d'autres stratégies pour protéger les événements de connexion, les utilisateurs doivent déjà avoir été inscrits pour l'authentification MFA. Lorsque vous activez cette stratégie, les utilisateurs n’ont pas besoin d’effectuer une authentification MFA à chaque événement de connexion. La stratégie vérifie uniquement l'état d'inscription d'un utilisateur et lui demande de se préinscrire si nécessaire.

Il est recommandé d’activer cette stratégie d’inscription pour les utilisateurs qui utilisent l’authentification multifacteur. Pour activer cette stratégie, procédez comme suit :

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.
2. Accédez à ID Protection>tableau de bord>stratégie d’inscription d’authentification multifacteur.
3. Par défaut, la stratégie s’applique à tous les utilisateurs. Si vous le souhaitez, sélectionnez Affectations, puis choisissez les utilisateurs ou les groupes sur lesquels appliquer la stratégie.
4. Sous Contrôles, sélectionnez Access. Vérifiez que l’option Exiger l’inscription de l’authentification multifacteur Microsoft Entra est cochée, puis sélectionnez Sélectionner.
5. Définissez Appliquer la politique sur Activé, puis sélectionnez Enregistrer.

Activer la stratégie de risque d’utilisateur pour la modification du mot de passe

Microsoft travaille avec des chercheurs, les forces de l’ordre, différentes équipes de sécurité chez Microsoft et autres sources de confiance pour trouver des paires nom d’utilisateur/mot de passe. Lorsqu’une de ces paires correspond à un compte dans votre environnement, une modification de mot de passe en fonction des risques peut être demandée. Cette stratégie et cette action nécessitent que l’utilisateur mette à jour son mot de passe avant de pouvoir se connecter, pour s’assurer que les informations d’identification précédemment exposées ne fonctionnent plus.

Pour activer cette stratégie, procédez comme suit :

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’accès conditionnel au moins.
2. Parcourez jusqu'à Entra ID>Accès conditionnel.
3. Sélectionnez Nouvelle stratégie.
4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
   1. Sous Inclure, sélectionnez Tous les utilisateurs.
   2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez vos comptes d'accès d'urgence ou de secours de votre organisation.
   3. Sélectionnez Terminé.
6. Sous Ressources cibles>Inclure, sélectionnez Toutes les ressources (anciennement « Toutes les applications cloud »).
7. Sous Conditions>Risque utilisateur, définissez Configurer surOui.
   1. Sous Configurer les niveaux de risque utilisateur nécessaires à l’application de la stratégie, sélectionnez Élevé. Ces conseils sont basés sur des recommandations Microsoft et peuvent être différents pour chaque organisation
   2. Sélectionnez Terminé.
8. Sous Contrôles> d’accèsAccorder, sélectionnez Accorder l’accès.
   1. Sélectionnez Exiger une correction des risques. Le contrôle Exiger l’octroi de force d’authentification est automatiquement sélectionné. Choisissez la force appropriée pour votre organisation.
   2. Sélectionnez.
9. Sous Session, Fréquence de connexion - Chaque fois est automatiquement appliquée en tant que contrôle de session, et cela est obligatoire.
10. Confirmez vos paramètres et définissez Activer la stratégie sur Mode rapport uniquement.
11. Sélectionnez Créer pour créer votre stratégie.

Après avoir confirmé vos paramètres à l’aide de l’impact de la stratégie ou du mode Rapport uniquement, déplacez le bouton bascule Activer la stratégie de rapport uniquement vers Activé.

Activer la stratégie de connexion à risque pour l’authentification multifacteur

La plupart des utilisateurs ont un comportement normal qui peut être suivi. Lorsqu’ils sortent de cette norme, il peut être risqué de leur permettre de se connecter normalement. En revanche, vous pouvez bloquer cet utilisateur ou lui demander d'effectuer une authentification multifacteur. Si l’utilisateur réussit l’authentification multifacteur, vous pouvez considérer cela comme une tentative de connexion valide et accorder l’accès à l’application ou au service.

Pour activer cette stratégie, procédez comme suit :

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’accès conditionnel au moins.
2. Parcourez jusqu'à Entra ID>Accès conditionnel.
3. Sélectionnez Nouvelle stratégie.
4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
   1. Sous Inclure, sélectionnez Tous les utilisateurs.
   2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez vos comptes d'accès d'urgence ou de secours de votre organisation.
   3. Sélectionnez Terminé.
6. Sous Applications cloud ou actions>Include, sélectionnez Toutes les ressources (anciennement « Toutes les applications cloud ») .
7. Sous Conditions>, Risques de connexion, définissez Configurer sur Oui.
   1. Sous Sélectionner le niveau de risque de connexion auquel cette stratégie s’applique, sélectionnez Élevé et Moyen. Ces conseils sont basés sur des recommandations Microsoft et peuvent être différents pour chaque organisation
   2. Sélectionnez Terminé.
8. Sous Contrôles> d’accèsAccorder, sélectionnez Accorder l’accès.
   1. Sélectionnez Exiger la force d’authentification, puis sélectionnez la force d’authentification multifacteur intégrée dans la liste.
   2. Sélectionnez.
9. Sous Session.
   1. Sélectionnez Fréquence de connexion.
   2. Vérifiez que chaque fois est sélectionné.
   3. Sélectionnez.
10. Confirmez vos paramètres et définissez Activer la stratégie sur Mode rapport uniquement.
11. Sélectionnez Créer pour créer pour activer votre stratégie.

Après avoir confirmé vos paramètres à l’aide de l’impact de la stratégie ou du mode Rapport uniquement, déplacez le bouton bascule Activer la stratégie de rapport uniquement vers Activé.

Scénarios sans mot de passe

Pour les organisations qui adoptent des méthodes d’authentification sans mot de passe , apportez les modifications suivantes :

Mettez à jour votre politique de risque de connexion sans mot de passe

1. Sous Utilisateurs :
   1. Incluez, sélectionnez Utilisateurs et groupes et ciblez vos utilisateurs sans mot de passe.
   2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez vos comptes d'accès d'urgence ou de secours de votre organisation.
   3. Sélectionnez Terminé.
2. Sous Applications cloud ou actions>Inclure, sélectionnez Toutes les ressources (anciennement « Toutes les applications cloud »).
3. Sous Conditions>, Risques de connexion, définissez Configurer sur Oui.
   1. Sous Sélectionner le niveau de risque de connexion auquel cette stratégie s’applique, sélectionnez Élevé et Moyen. Pour plus d’informations sur les niveaux de risque, consultez Choisir des niveaux de risque acceptables.
   2. Sélectionnez Terminé.
4. Sous Contrôles> d’accèsAccorder, sélectionnez Accorder l’accès.
   1. Sélectionnez Exiger la force d’authentification, puis sélectionnez l’authentification multifacteur sans mot de passe intégrée ou l’authentification multifacteur résistante à l’hameçonnage en fonction de la méthode dont disposent les utilisateurs ciblés.
   2. Sélectionnez.
5. Sous Session :
   1. Sélectionnez Fréquence de connexion.
   2. Vérifiez que chaque fois est sélectionné.
   3. Sélectionnez.

Tester les événements de connexion à risque

La plupart des événements de connexion des utilisateurs ne déclenchent pas les stratégies basées sur les risques configurées dans les étapes précédentes. Un utilisateur pourrait ne jamais voir d'invitation à effectuer une authentification multifacteur ou à réinitialiser son mot de passe. Si ses informations d’identification restent sécurisées et que son comportement est cohérent, les événements de connexion réussissent.

Pour tester les stratégies Microsoft Entra ID Protection créées au cours des étapes précédentes, vous avez besoin d’un moyen de simuler un comportement risqué ou des attaques potentielles. Les étapes à suivre pour effectuer ces tests varient en fonction de la stratégie Microsoft Entra ID Protection que vous souhaitez valider. Pour plus d’informations sur les scénarios et les étapes, consultez Simuler des détections de risques dans Microsoft Entra ID Protection.

Nettoyer les ressources

Si vous effectuez vos tests et que vous ne souhaitez plus activer les stratégies basées sur les risques, revenez à chaque stratégie que vous souhaitez désactiver et définir Activer la stratégie sur Désactivé ou supprimez-les.

Étapes suivantes

Dans ce didacticiel, vous avez activé des stratégies utilisateur basées sur les risques pour Microsoft Entra ID Protection. Vous avez appris à :

• Comprendre les stratégies disponibles pour Protection des ID Microsoft Entra
• Activer l’inscription de l’authentification multi-facteur Microsoft Entra
• Activer les modifications de mot de passe en fonction des risques
• Activer l’authentification multi-facteur basée sur les risques
• Tester les stratégies basées sur les risques pour les tentatives de connexion de l’utilisateur

En savoir plus sur Microsoft Entra ID Protection