Création d’une stratégie d’accès conditionnel

Comme expliqué dans l’article Qu'est-ce que l'accès conditionnel, une stratégie d'accès conditionnel est une instruction conditionnelle de type if-then, comprenant des attributions et des contrôles d'accès. Une stratégie d’accès conditionnel regroupe les signaux, pour prendre des décisions et appliquer des stratégies organisationnelles.

Comment une organisation crée-t-elle ces stratégies ? Qu’est-ce qui est requis ? Comment sont-ils appliqués ?

Plusieurs stratégies d’accès conditionnel peuvent s’appliquer à un utilisateur individuel à tout moment. Dans ce cas, toutes les politiques qui s'appliquent doivent être respectées. Par exemple, si une stratégie nécessite une authentification multifacteur et qu’une autre nécessite un appareil conforme, vous devez effectuer l’authentification multifacteur et utiliser un appareil conforme. Toutes les affectations sont logiquement ANDed. Si vous configurez plusieurs affectations, ces dernières doivent toutes être satisfaites pour qu’une stratégie soit déclenchée.

Si une stratégie où « Exiger l’un des contrôles sélectionnés » est choisie, nous procédons à l'invite selon l’ordre défini. Dès que les exigences de la stratégie sont satisfaites, l’accès est accordé.

Toutes les stratégies sont appliquées en deux phases :

• Phase 1 : Collecter les détails de la session
  • Rassemblez les détails de session, tels que l’emplacement réseau et l’identité de l’appareil nécessaires pour l’évaluation de la stratégie.
  • La phase 1 de l’évaluation de stratégie est effectuée pour les stratégies activées et celles en mode rapport uniquement.
• Phase 2 : Application
  • Utilisez les détails de la session collectés dans la phase 1 pour identifier les exigences qui ne sont pas remplies.
  • S’il existe une stratégie configurée avec le contrôle de blocage block, le contrôle cesse ici et l'utilisateur est bloqué.
  • L’utilisateur est invité à remplir des exigences de contrôle supplémentaires d'octroi qui n’ont pas été satisfaites pendant la phase 1, dans l’ordre suivant, jusqu’à ce que la stratégie soit respectée :
    1. Authentification multifacteur
    2. Appareil à marquer comme conforme
    3. Appareil joint hybride Microsoft Entra
    4. Application cliente approuvée
    5. Stratégie de protection des applications
    6. Modification du mot de passe
    7. Conditions d’utilisation
    8. Contrôles personnalisés
  • Une fois que tous les contrôles d’octroi sont satisfaits, appliquez des contrôles de session (Application appliquée, Microsoft Defender pour Cloud Apps et durée de vie des jetons)
  • La phase 2 de l’évaluation de stratégie se produit pour toutes les stratégies activées.

Tâches

La partie affectations contrôle les personnes, les éléments et l’emplacement de la stratégie d’accès conditionnel.

Utilisateurs et groupes

Les utilisateurs et les groupes attribuent qui la stratégie inclut ou exclut en cas d’application. Cette affectation peut inclure tous les utilisateurs, groupes spécifiques d’utilisateurs, rôles d’annuaire ou utilisateurs invités externes.

Ressources cibles

Les ressources cibles peuvent inclure ou exclure des applications cloud, des actions utilisateur ou des contextes d’authentification soumis à la stratégie.

Réseau

Le réseau contient des adresses IP, des zones géographiques et un réseau conforme aux normes de l'accès sécurisé mondial pour les décisions de stratégie d'accès conditionnel. Les administrateurs peuvent choisir de définir des emplacements et de marquer certains comme approuvés comme ceux des emplacements réseau principaux de leur organisation.

Conditions

Une stratégie peut contenir plusieurs conditions.

Risque à la connexion

Pour les organisations avec Microsoft Entra ID Protection, les détections de risque générées peuvent influencer vos stratégies d’accès conditionnel.

Plateformes d’appareils

Les organisations disposant de plusieurs plateformes de système d’exploitation d’appareil peuvent appliquer des stratégies spécifiques sur différentes plateformes.

Les informations utilisées pour calculer la plateforme d’appareil proviennent de sources non vérifiées telles que des chaînes d’agent utilisateur qui peuvent être modifiées.

Applications clientes

Le logiciel que l’utilisateur utilise pour accéder à l’application cloud. Par exemple, « Navigateur » et « Applications mobiles et clients de bureau ». Par défaut, toutes les stratégies d’accès conditionnel nouvellement créées s’appliquent à tous les types d’applications clientes, même si la condition des applications clientes n’est pas configurée.

Filtre pour les appareils

Ce contrôle permet de cibler des appareils spécifiques en fonction de leurs attributs dans une stratégie.

Contrôles d’accès

La partie contrôles d’accès de la stratégie d’accès conditionnel contrôle la façon dont une stratégie est appliquée.

Accorder

Grant fournit aux administrateurs un moyen d’application de stratégie où ils peuvent bloquer ou accorder l’accès.

Bloquer l’accès

Bloquer l’accès fait précisément cela : il bloque l’accès dans le cadre des affectations spécifiées. Le contrôle des blocs est puissant et doit être exercé avec les connaissances nécessaires.

Accorder l'accès

Le contrôle d’octroi peut déclencher l’application d’un ou plusieurs contrôles.

• Exiger l’authentification multifacteur
• Exiger la force de l’authentification
• Exiger que l’appareil soit marqué comme conforme (Intune)
• Exige un appareil avec jonction hybride à Microsoft Entra
• Exiger une application cliente approuvée
• Exiger une stratégie de protection des applications
• Nécessite une modification du mot de passe
• Exiger des conditions d’utilisation

Les administrateurs peuvent choisir d’exiger l’un des contrôles précédents ou tous les contrôles sélectionnés à l’aide des options suivantes. La valeur par défaut pour plusieurs contrôles est de requérir tous.

• Exiger tous les contrôles sélectionnés (contrôle et contrôle)
• Nécessiter un des contrôles sélectionnés (l'un ou l'autre contrôle)

session

Les contrôles de session peuvent limiter l’expérience des utilisateurs.

• Utilisez les restrictions appliquées à l’application :
  • Fonctionne actuellement uniquement avec Exchange Online et SharePoint Online.
  • Transmet des informations sur l’appareil pour permettre le contrôle de l’expérience d’octroi d’un accès complet ou limité.
• Utilisez le contrôle d’application d’accès conditionnel :
  • Utilise les signaux de Microsoft Defender pour Cloud Apps pour effectuer des opérations telles que :
    • Bloquer le téléchargement, la coupe, la copie et l’impression de documents sensibles.
    • Surveillez le comportement de session à risque.
    • Exiger l’étiquetage des fichiers sensibles.
• Fréquence de connexion :
  • Possibilité de modifier la fréquence de connexion par défaut pour l’authentification moderne.
• Session de navigateur persistant :
  • Permet aux utilisateurs de rester connectés après la fermeture et la réouverture de leur fenêtre de navigateur.
• Personnaliser l’évaluation continue de l’accès
• Désactiver les valeurs par défaut de résilience

Stratégies simples

Une stratégie d’accès conditionnel doit contenir au minimum les éléments suivants à appliquer :

• Nom de la stratégie.
• Affectations
  • Utilisateurs et/ou groupes auxquels appliquer la stratégie.
  • Applications cloud ou actions auxquelles appliquer la stratégie.
• Contrôles d’accès
  • Accorder des contrôles ou les bloquer

L’article Stratégies d’accès conditionnel commun inclut certaines stratégies que nous pensons être utiles à la plupart des organisations.

Contenu connexe

• Créer une stratégie d’accès conditionnel

• Gestion de la conformité des appareils avec Intune

• Microsoft Defender pour cloud Apps et accès conditionnel