Bloquer les flux d’authentification avec une stratégie d’accès conditionnel

Les étapes suivantes permettent de créer des stratégies d’accès conditionnel pour restreindre l’utilisation du flux de code d’appareil et du transfert d’authentification au sein de votre organisation.

Stratégies de flux de code d’appareil

Remarque

Pour renforcer la posture de sécurité, Microsoft recommande de bloquer ou de restreindre le flux de code d’appareil dans la mesure du possible.

Vous devez toujours commencer par configurer une stratégie en mode rapport uniquement pour déterminer l’effet potentiel sur votre organisation.

Nous recommandons aux organisations de se rapprocher le plus possible d’un bloc unilatéral sur le flux de code d’appareil. Les organisations doivent envisager de créer une stratégie pour auditer l’utilisation existante du flux de code d’appareil et déterminer s’il est toujours nécessaire.

Pour les organisations qui n’ont pas d’utilisation établie du flux de code d’appareil, le blocage peut être effectué avec la stratégie d’accès conditionnel suivante :

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
  2. Accédez à Protection>Accès conditionnel.
  3. Sélectionnez Créer une stratégie.
  4. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
    1. Sous Inclure, sélectionnez les utilisateurs que vous souhaitez inclure dans l’étendue de la stratégie (l’option Tous les utilisateurs est recommandée).
    2. Sous Exclure, sélectionnez Utilisateurs et groupes. Vous devez exclure uniquement les utilisateurs nécessaires, et cette liste d’exclusions doit être auditée régulièrement.
  5. Sous Ressources cibles>Applications cloud>Inclure, sélectionnez les applications que vous souhaitez inclure dans l’étendue de la stratégie (l’option Toutes les applications cloud est recommandée).
  6. Sous Conditions>Flux d’authentification, définissez Configurer sur Oui.
    1. Sélectionnez Flux de code d’appareil.
    2. Cliquez sur Terminé.
  7. Sous Contrôles d'accès>Accorder, sélectionnez Bloquer l’accès.
    1. Sélectionnez Sélectionner.
  8. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
  9. Sélectionnez Créer pour créer votre stratégie.

Une fois que les administrateurs ont confirmé les paramètres à l’aide du mode État uniquement, ils peuvent modifier la position du bouton bascule Activer la stratégie de État uniquement en Activé.

Stratégies de transfert d’authentification

La capacité à contrôler le transfert d’authentification est en préversion. Utilisez la condition Flux d’authentification dans l’accès conditionnel pour gérer la fonctionnalité. Vous pouvez bloquer le transfert d’authentification si vous ne souhaitez pas que les utilisateurs transfèrent l’authentification de leur PC vers un appareil mobile. Par exemple, si vous n’autorisez pas l’utilisation d’Outlook sur des appareils personnels par certains groupes. Le blocage du transfert d’authentification peut être effectué avec la stratégie d’accès conditionnel suivante :

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
  2. Accédez à Protection>Accès conditionnel.
  3. Sélectionnez Créer une stratégie.
  4. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
    1. Sous Inclure, sélectionnez Tous les utilisateurs ou les groupes d’utilisateurs auxquels vous souhaitez interdire le transfert d’authentification.
    2. Sous Exclure, sélectionnez Utilisateurs et groupes. Vous devez exclure uniquement les utilisateurs nécessaires, et cette liste d’exclusions doit être auditée régulièrement.
  5. Sous Ressources cibles>Applications cloud>Inclure, sélectionnez Toutes les applications cloud ou les applications que vous souhaitez bloquer pour le transfert d’authentification.
  6. Sous Conditions>Flux d’authentification, définissez Configurer sur Oui.
    1. Sélectionnez Transfert d’authentification.
    2. Cliquez sur Terminé.
  7. Sous Contrôles d'accès>Accorder, sélectionnez Bloquer l’accès.
    1. Sélectionnez Sélectionner.
  8. Confirmez vos paramètres et définissez Activer la stratégie sur Activée.
  9. Sélectionnez Créer pour créer votre stratégie.