Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier les répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer de répertoire.
Une stratégie d’accès conditionnel inclut une attribution d’identité d’utilisateur, de groupe, d’agent ou de charge de travail comme l’un des signaux du processus de décision. Ces identités peuvent être incluses ou exclues des stratégies d’accès conditionnel. Microsoft Entra ID évalue toutes les stratégies et garantit que toutes les exigences sont remplies avant d’accorder l’accès.
Inclure des utilisateurs
Cette liste inclut généralement tous les utilisateurs qu’une organisation cible dans une stratégie d’accès conditionnel.
Les options suivantes sont disponibles lors de la création d’une stratégie d’accès conditionnel.
- Aucun
- Aucun utilisateur n’est sélectionné
- Tous les utilisateurs
- Tous les utilisateurs de l’annuaire, y compris les invités B2B.
- Sélectionner Utilisateurs et groupes
- Utilisateurs invités ou externes
- Cette sélection vous permet de cibler des stratégies d’accès conditionnel à des types d’utilisateurs invités ou externes spécifiques et à des locataires contenant ces utilisateurs. Il existe plusieurs types d’utilisateurs invités ou externes qui peuvent être sélectionnés, et plusieurs sélections peuvent être effectuées :
- Utilisateurs invités B2B Collaboration
- Utilisateurs membres de B2B Collaboration
- Utilisateurs de connexion directe B2B
- Utilisateurs invités locaux, par exemple tout utilisateur appartenant au locataire d’accueil avec l’attribut de type utilisateur défini sur invité
- Utilisateurs de fournisseurs de services, par exemple un fournisseur de solutions cloud (CSP)
- Autres utilisateurs externes ou utilisateurs non représentés par les autres sélections de type d’utilisateur
- Un ou plusieurs locataires peuvent être spécifiés pour le ou les types d’utilisateurs sélectionnés, ou vous pouvez spécifier tous les locataires.
- Cette sélection vous permet de cibler des stratégies d’accès conditionnel à des types d’utilisateurs invités ou externes spécifiques et à des locataires contenant ces utilisateurs. Il existe plusieurs types d’utilisateurs invités ou externes qui peuvent être sélectionnés, et plusieurs sélections peuvent être effectuées :
- Rôles d’annuaire
- Permet aux administrateurs de sélectionner des rôles d’annuaire intégrés spécifiques pour déterminer l’attribution de stratégie. Par exemple, les organisations peuvent créer une stratégie plus restrictive pour les utilisateurs qui ont reçu activement un rôle privilégié. Les autres types de rôles ne sont pas pris en charge, y compris les rôles de portée d’unité administrative et les rôles personnalisés.
- L’accès conditionnel permet aux administrateurs de sélectionner certains rôles répertoriés comme déconseillés. Ces rôles apparaissent toujours dans l'API sous-jacente et nous permettons aux administrateurs d’appliquer des stratégies à ces rôles.
- Permet aux administrateurs de sélectionner des rôles d’annuaire intégrés spécifiques pour déterminer l’attribution de stratégie. Par exemple, les organisations peuvent créer une stratégie plus restrictive pour les utilisateurs qui ont reçu activement un rôle privilégié. Les autres types de rôles ne sont pas pris en charge, y compris les rôles de portée d’unité administrative et les rôles personnalisés.
- Utilisateurs et groupes
- Permet le ciblage d’ensembles spécifiques d’utilisateurs. Par exemple, les organisations peuvent sélectionner un groupe qui contient tous les membres du service RH lorsqu’une application RH est sélectionnée en tant qu’application cloud. Un groupe peut être n’importe quel type de groupe d’utilisateurs dans Microsoft Entra ID, y compris les groupes de sécurité et de distribution dynamiques ou affectés. La stratégie s‘applique aux utilisateurs et groupes imbriqués.
- Utilisateurs invités ou externes
Importante
Lorsque vous sélectionnez les utilisateurs et les groupes inclus dans une stratégie d’accès conditionnel, il existe une limite au nombre d’utilisateurs individuels qui peuvent être ajoutés directement à une stratégie d’accès conditionnel. Si de nombreux utilisateurs individuels doivent être ajoutés à une stratégie d’accès conditionnel, placez-les dans un groupe et affectez-le à la stratégie.
Si les utilisateurs ou groupes appartiennent à plus de 2048 groupes, leur accès peut être bloqué. Cette limite s’applique à l’appartenance de groupe directe et imbriquée.
Warning
Les stratégies d’accès conditionnel ne prennent pas en charge les utilisateurs affectés à un rôle d’annuaire limité à une unité administrative ou à des rôles d’annuaire délimités directement à un objet, comme par le biais de rôles personnalisés.
Note
Lorsque vous ciblez des stratégies pour connecter directement des utilisateurs externes B2B, ces stratégies sont appliquées aux utilisateurs B2B Collaboration accédant à Teams ou SharePoint Online qui sont également éligibles pour la connexion directe B2B. La même chose s’applique aux stratégies ciblées pour les utilisateurs externes de la collaboration B2B, ce qui signifie que les utilisateurs qui accèdent aux canaux partagés de Teams se voient appliquer des stratégies de collaboration B2B s’ils ont également une présence d’utilisateur invité dans le locataire.
Exclure des utilisateurs
Lorsque les organisations incluent et excluent à la fois un utilisateur ou un groupe, l'utilisateur ou le groupe est exclu de la stratégie. L'action d'exclusion remplace l'action d'inclusion dans une politique. Les exclusions sont couramment utilisées pour les comptes d’accès d’urgence ou les comptes de dernier recours. Pour plus d’informations sur les comptes d’accès d’urgence et la raison pour laquelle ils sont importants, consultez les articles suivants :
- Gérer les comptes d'accès d'urgence dans Microsoft Entra ID
- Élaborer une stratégie de gestion du contrôle d’accès résiliente avec Microsoft Entra ID
Les options suivantes sont disponibles pour l’exclusion lors de la création d’une stratégie d’accès conditionnel.
- Utilisateurs invités ou externes
- Cette sélection fournit plusieurs choix qui peuvent être utilisés pour cibler des stratégies d’accès conditionnel à des types d’utilisateurs invités ou externes spécifiques et à des locataires spécifiques contenant ces types d’utilisateurs. Il existe plusieurs types d’utilisateurs invités ou externes qui peuvent être sélectionnés, et plusieurs sélections peuvent être effectuées :
- Utilisateurs invités B2B Collaboration
- Utilisateurs membres de B2B Collaboration
- Utilisateurs de connexion directe B2B
- Utilisateurs invités locaux, par exemple tout utilisateur appartenant au locataire d’accueil avec l’attribut de type utilisateur défini sur invité
- Utilisateurs de fournisseurs de services, par exemple un fournisseur de solutions cloud (CSP)
- Autres utilisateurs externes ou utilisateurs non représentés par les autres sélections de type d’utilisateur
- Un ou plusieurs locataires peuvent être spécifiés pour le ou les types d’utilisateurs sélectionnés, ou vous pouvez spécifier tous les locataires.
- Cette sélection fournit plusieurs choix qui peuvent être utilisés pour cibler des stratégies d’accès conditionnel à des types d’utilisateurs invités ou externes spécifiques et à des locataires spécifiques contenant ces types d’utilisateurs. Il existe plusieurs types d’utilisateurs invités ou externes qui peuvent être sélectionnés, et plusieurs sélections peuvent être effectuées :
- Rôles d’annuaire
- Permet aux administrateurs de sélectionner des rôles d’annuaire Microsoft Entra spécifiques utilisés pour déterminer l’affectation.
- Utilisateurs et groupes
- Permet le ciblage d’ensembles spécifiques d’utilisateurs. Par exemple, les organisations peuvent sélectionner un groupe qui contient tous les membres du service RH lorsqu’une application RH est sélectionnée en tant qu’application cloud. Un groupe peut être n’importe quel type de groupe dans Microsoft Entra ID, y compris des groupes de sécurité et de distribution dynamiques ou affectés. La stratégie s‘applique aux utilisateurs et groupes imbriqués.
Empêcher le verrouillage de l’administrateur
Pour empêcher le verrouillage administrateur, lors de la création d’une stratégie appliquée à tous les utilisateurs et à toutes les applications, l’avertissement suivant s’affiche.
Ne vous enfermez pas dehors ! Nous vous recommandons d’appliquer d’abord une stratégie à un petit ensemble d’utilisateurs pour vérifier qu’elle fonctionne comme prévu. Nous vous recommandons également d’exclure au moins un administrateur de cette stratégie. Cette opération garantit que vous disposez toujours d’un accès et que vous pouvez mettre à jour une stratégie si une modification est nécessaire. Vérifiez les utilisateurs et les applications concernés.
Par défaut, la stratégie fournit une option permettant d’exclure l’utilisateur actuel, mais un administrateur peut le remplacer comme indiqué dans l’image suivante.
Si vous vous trouvez verrouillé, voir Que faire si vous êtes verrouillé ?.
Accès des partenaires externes
Les stratégies d’accès conditionnel qui ciblent des utilisateurs externes peuvent interférer avec l’accès au fournisseur de services, tels que des privilèges d’administrateur délégué granulaires. En savoir plus dans Introduction aux privilèges d’administrateur délégué granulaires (GDAP). Pour les stratégies destinées à cibler les locataires du fournisseur de services, utilisez le type d’utilisateur externe Utilisateur du fournisseur de services disponible dans les options de sélection Utilisateurs invités ou externes.
Agents (préversion)
Les agents sont des comptes de première classe au sein de Microsoft Entra ID qui fournissent des fonctionnalités d’identification et d’authentification uniques pour les agents IA. Les stratégies d’accès conditionnel ciblant ces objets ont des recommandations spécifiques traitées dans l’article Accès conditionnel et identités d’agent
La stratégie peut être étendue à :
- Toutes les identités d’agent
- Sélectionner des agents agissant en tant qu’utilisateurs
- Sélectionner des identités d’agent en fonction des attributs
- Sélectionner des identités d’agent individuelles
Identités de charge de travail
Une identité de charge de travail est une identité qui permet à une application ou à un principal de service d’accéder à des ressources, parfois dans le contexte d’un utilisateur. Les stratégies d’accès conditionnel peuvent être appliquées aux principaux de service d’un locataire unique inscrits auprès de votre locataire. Les applications SaaS non-Microsoft et multilocataires sont hors du cadre. Une stratégie ne couvre pas les identités managées.
Les organisations peuvent cibler des identités de charge de travail spécifiques à inclure ou à exclure de la stratégie.
Pour plus d’informations, consultez l’article Accès conditionnel pour les identités de charge de travail.