Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Il est actuellement possible d’appliquer des stratégies d’accès conditionnel à toutes les applications ou à des applications individuelles. Pour les organisations qui ont un grand nombre d’applications, ce processus peut être difficile à gérer avec plusieurs stratégies d’accès conditionnel.
Les filtres d’application pour l’accès conditionnel permettent aux organisations d’étiqueter des principaux de service avec des attributs personnalisés. Ces attributs personnalisés sont ensuite ajoutés à leurs stratégies d’accès conditionnel. Les filtres pour applications sont évalués au moment de l’exécution, à l’émission des jetons. Une question courante est de savoir si les applications sont attribuées au moment de l’exécution ou de la configuration.
Dans le cadre de ce document, vous allez créer un jeu d’attributs personnalisés, attribuer un attribut de sécurité personnalisé à votre application et créer une stratégie d’accès conditionnel pour sécuriser l’application.
Attribuer des rôles
Les attributs de sécurité personnalisés sont des éléments sensibles en termes de sécurité et peuvent être gérés uniquement par des utilisateurs délégués. Un ou plusieurs des rôles suivants doivent être attribués aux utilisateurs qui gèrent ou déclarent ces attributs.
| Nom de rôle | Descriptif |
|---|---|
| Administrateur de l’attribution d’attributs | Affecter des clés et des valeurs d’attributs de sécurité personnalisés aux objets Microsoft Entra pris en charge. |
| Lecteur d’attribution d’attributs | Lire les clés et valeurs d’attributs de sécurité personnalisés pour les objets Microsoft Entra pris en charge. |
| Administrateur de définition d’attribut | Définir et gérer la définition des attributs de sécurité personnalisés. |
| Lecteur de définition d’attribut | Lire la définition des attributs de sécurité personnalisés. |
Attribuez le rôle approprié aux utilisateurs qui gèrent ou déclarent ces attributs dans l’étendue de l’annuaire. Pour obtenir des instructions détaillées, consultez Affecter des rôles Microsoft Entra.
Important
Par défaut, l’administrateur général et d’autres rôles d’administrateur n’ont pas les autorisations nécessaires pour lire, définir ou affecter des attributs de sécurité personnalisés.
Créer des attributs de sécurité personnalisés
Suivez les instructions de l’article, ajoutez ou désactivez des attributs de sécurité personnalisés dans l’ID Microsoft Entra pour ajouter l’ensemble d’attributs et les nouveaux attributs suivants.
- Créez un jeu d’attributs nommé ConditionalAccessTest.
- Créez des attributs nommés policyRequirement qui autorisent l’attribution de plusieurs valeurs et autorisent uniquement l’attribution de valeurs prédéfinies. Nous ajoutons les valeurs prédéfinies suivantes :
- authentificationHéritageAutorisée
- bloquerLesUtilisateursInvités
- requireMFA
- exigerAppareilConforme
- exiger un appareil connecté en mode hybride
- exigerApplicationConforme
Remarque
Les filtres d’accès conditionnel pour les applications fonctionnent uniquement avec les attributs de sécurité personnalisés de type « chaîne ». Les attributs de sécurité personnalisés prennent en charge la création d’un type de données booléen, mais la stratégie d’accès conditionnel prend uniquement en charge « string ».
Créer une stratégie d’accès conditionnel
- Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’accès conditionnel et lecteur de définition d’attribut.
- Naviguez vers Entra ID>Accès conditionnel.
- Sélectionnez Nouvelle stratégie.
- Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
- Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
- Sous Inclure, sélectionnez Tous les utilisateurs.
- Sous Exclure, sélectionnez Utilisateurs et groupes et choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
- Sélectionnez Terminé.
- Sous Ressources cibles, sélectionnez les options suivantes :
- Sélectionnez ce que cette stratégie s’applique aux applications cloud.
- Inclure Sélectionner les ressources.
- Sélectionnez Modifier le filtre.
- Définissez Configurer surOui.
- Sélectionnez l’attribut que nous avons créé précédemment appelé policyRequirement.
- Définissez l’opérateur sur Contains.
- Définissez la valeur sur requireMFA.
- Sélectionnez Terminé.
- Sous Contrôles d'accès>, sélectionnez Accorder l'accès, Exiger l'authentification multifacteur, puis sélectionnez.
- Confirmez vos paramètres et définissez Activation de la stratégie sur Enregistrement uniquement.
- Sélectionnez Créer pour créer pour activer votre stratégie.
Une fois que les administrateurs évaluent les paramètres de stratégie à l’aide de l’impact de la stratégie ou du mode rapport uniquement, ils peuvent déplacer le bouton bascule Activer la stratégie de rapport uniquement vers Activé.
Configurer des attributs personnalisés
Étape 1 : configurer un exemple d’application
Si vous disposez déjà d’une application de test qui utilise un principal de service, vous pouvez ignorer cette étape.
Configurez un exemple d’application montrant comment un travail ou un service Windows peut s’exécuter avec une identité d’application, au lieu de l’identité d’un utilisateur. Suivez les instructions de l’article Démarrage rapide : Obtenir un jeton et appeler l’API Microsoft Graph à l’aide de l’identité d’une application console pour créer cette application.
Étape 2 : Attribuer un attribut de sécurité personnalisé à une application
Vous ne pouvez pas cibler un principal de service qui n’est pas inscrit auprès de votre locataire. La suite Office 365 est un exemple de principal de service.
- Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur d'accès conditionnel ~/identity/role-based-access-control/permissions-reference.md#conditional-access-administrator) et Administrateur d’attribution d’attributs.
- Accédez aux Entra ID>applications d'entreprise.
- Sélectionnez le principal de service auquel vous souhaitez appliquer un attribut de sécurité personnalisé.
- Sous Gérer les>attributs de sécurité personnalisés, sélectionnez Ajouter une affectation.
- Sous Jeu d’attributs, sélectionnez ConditionalAccessTest.
- Sous Nom de l’attribut, sélectionnez policyRequirement.
- Sous Valeurs affectées, sélectionnez Ajouter des valeurs, sélectionnez RequireMFA dans la liste, puis sélectionnez Terminé.
- Sélectionnez Enregistrer.
Étape 3 : Tester la stratégie
Connectez-vous sous l’identité d’un utilisateur auquel la stratégie s’applique et vérifiez que l’accès à l’application nécessite une authentification multifacteur.
Autres scénarios
- Blocage de l’authentification héritée
- Bloquer l’accès externe aux applications
- Exiger des stratégies de protection des applications Intune ou des appareils conformes
- Appliquer des contrôles de fréquence de connexion pour des applications spécifiques
- Exiger une station de travail à accès privilégié pour des applications spécifiques
- Exiger des contrôles de session pour les utilisateurs à haut risque et des applications spécifiques
Contenu connexe
Déterminer l’effet à l’aide du mode d’accès conditionnel en mode rapport uniquement