Partager via

Stratégies d’accès conditionnel gérées par Microsoft

Comme mentionné dans le rapport Microsoft Digital Defense à partir d’octobre 2023,

... les menaces pour la paix numérique ont réduit la confiance envers la technologie et mis en évidence le besoin urgent d’améliorer les cyber-défenses à tous les niveaux...

... chez Microsoft, plus de 10 000 experts en sécurité analysent plus de 65 milliards de signaux chaque jour... ce qui génère certains des insights les plus influents en matière de cybersécurité. Ensemble, nous pouvons renforcer la cyber résilience grâce à une action innovante et à la défense collective.

Dans le cadre de ce travail, nous mettons à disposition des stratégies gérées par Microsoft dans les locataires Microsoft Entra dans le monde entier. Ces stratégies d’accès conditionnel simplifiées nécessitent une authentification multifacteur, qu'une étude récente indique réduire le risque de compromission de plus de 99%.

Capture d’écran d’une stratégie d’accès conditionnel géré par Microsoft dans le Centre d’administration Microsoft Entra.

Fonctionnement des stratégies gérées par Microsoft

Les administrateurs disposant au moins du rôle Administrateur d’accès conditionnel attribué trouvent ces stratégies dans le Centre d’administration Microsoft Entra sous Entra ID>Accès conditionnel>Stratégies.

Vous pouvez modifier l’état d’une stratégie et les identités que la stratégie doit exclure. Excluez vos comptes d'accès d'urgence ou de contournement des stratégies gérées, comme vous le feriez pour d'autres stratégies d'accès conditionnel. Envisagez de dupliquer ces stratégies si vous devez apporter plus de modifications que ce qui est autorisé dans les stratégies gérées par Microsoft.

Microsoft active ces stratégies au plus tard 45 jours après leur introduction dans votre client si elles sont laissées dans l’état Rapport uniquement. Vous pouvez activer ces stratégies plus tôt ou désactiver en définissant l’état de la stratégie sur Désactivé. Les clients sont avertis par le biais d’e-mails et de publications du Centre de messages 28 jours avant que les stratégies ne soient activées.

Remarque

Dans certains cas, les stratégies peuvent être activées plus rapidement que 45 jours. Si cette modification s’applique à votre locataire :

  • Il est mentionné dans les e-mails et les publications du Centre de messages Microsoft 365 que vous recevez sur les stratégies gérées par Microsoft.
  • Il est mentionné dans les détails de la stratégie dans le Centre d’administration Microsoft Entra.

Stratégies

Ces stratégies managées par Microsoft permettent aux administrateurs d’apporter des modifications simples telles que l’exclusion d’utilisateurs ou leur basculement du mode Rapport uniquement vers le mode Activé ou Désactivé. Les organisations ne peuvent ni renommer ni supprimer les stratégies managées par Microsoft. À mesure que les administrateurs sont plus à l’aise avec la stratégie d’accès conditionnel, ils peuvent choisir de dupliquer la stratégie pour créer des versions personnalisées.

À mesure que les menaces évoluent, Microsoft peut mettre à jour ces stratégies pour utiliser de nouvelles fonctionnalités, fonctionnalités ou améliorer leur efficacité

Bloquer l’authentification héritée

Cette stratégie bloque les tentatives de connexion à l’aide de l’authentification héritée et des protocoles d’authentification hérités. Ces authentifications peuvent provenir de clients plus anciens tels qu’Office 2010 ou des clients qui utilisent des protocoles tels que IMAP, SMTP ou POP3.

Selon l’analyse de Microsoft, plus de 99 % des attaques par pulvérisation de mots de passe utilisent ces protocoles d’authentification hérités. Ces attaques cesseraient si l’authentification de base était désactivée ou bloquée.

Bloquer le flux de code de l’appareil

Cette stratégie bloque le flux de code de l'appareil, où un utilisateur lance l'authentification sur un appareil, termine le processus sur un autre, et son jeton est envoyé de retour à l'appareil d'origine. Ce type d’authentification est courant lorsque les utilisateurs ne peuvent pas entrer leurs informations d’identification, comme les téléviseurs intelligents, les appareils salle Microsoft Teams, les appareils IoT ou les imprimantes.

Le flux de code de l’appareil est rarement utilisé par les clients, mais est fréquemment utilisé par les attaquants. L’activation de cette stratégie gérée par Microsoft pour votre organisation permet de supprimer ce vecteur d’attaque.

Authentification multifacteur pour les administrateurs accédant aux portails d’administration Microsoft

Cette stratégie couvre 14 rôles d’administrateur hautement privilégiés, qui accèdent aux portails d’administration Microsoft et les obligent à effectuer l’authentification multifacteur.

Cette stratégie s’applique aux locataires Microsoft Entra ID P1 et P2 où les paramètres de sécurité par défaut ne sont pas activés.

Conseil

Les stratégies gérées par Microsoft nécessitant une authentification multifacteur diffèrent de l’annonce de l’authentification multifacteur obligatoire pour les connexions Azure effectuées en 2024, qui a commencé le déploiement progressif en octobre 2024. Pour plus d’informations, consultez Planification de l’authentification multifacteur obligatoire pour Azure et d’autres portails d’administration.

Authentification multifacteur pour tous les utilisateurs

Cette stratégie couvre tous les utilisateurs de votre organisation et les oblige à utiliser l’authentification multifacteur chaque fois qu’ils se connectent. Dans la plupart des cas, la session persiste sur l’appareil et les utilisateurs n’ont pas besoin d’effectuer l’authentification multifacteur lorsqu’ils interagissent avec une autre application.

Authentification multifactorielle pour les utilisateurs de l'authentification multifactorielle par utilisateur

Cette stratégie couvre les utilisateurs soumis à l’authentification multifacteur par utilisateur, une configuration que Microsoft ne recommande plus. L’accès conditionnel offre une meilleure expérience administrateur avec de nombreuses fonctionnalités supplémentaires. La consolidation de toutes les stratégies d’authentification multifacteur à l’accès conditionnel peut vous aider à être plus ciblé pour exiger l’authentification multifacteur, ce qui réduit les frictions des utilisateurs finaux tout en conservant la posture de sécurité.

Cette stratégie cible :

  • Organisations avec des utilisateurs sous licence Microsoft Entra ID P1 et P2
  • Organisations où les valeurs par défaut de sécurité ne sont pas activées
  • Organisations comptant moins de 500 utilisateurs pour lesquels l'authentification multifacteur (MFA) est activée ou appliquée individuellement.

Pour appliquer cette stratégie à d’autres utilisateurs, dupliquez-la et modifiez les affectations.

Conseil

Modifier la stratégie d’authentification multifacteur par utilisateur gérée par Microsoft à l’aide du crayon Modifier situé en haut peut générer une erreur Échec de la mise à jour. Pour contourner ce problème, sélectionnez Modifier sous la section Identités exclues de la stratégie.

Authentification multifacteur et réauthentification pour les connexions risquées

Cette stratégie couvre tous les utilisateurs et nécessite une authentification multifacteur et une réauthentification lorsque nous détectons les connexions à haut risque. Dans ce cas, un risque élevé signifie quelque chose sur la façon dont l’utilisateur s’est connecté est hors de l’ordinaire. Ces connexions à haut risque peuvent inclure des déplacements inhabituels, des attaques par pulvérisation de mots de passe ou des attaques par rejeu de jetons. Pour plus d’informations, consultez Les détections de risques.

Cette stratégie cible les locataires Microsoft Entra ID P2 où les paramètres de sécurité par défaut ne sont pas activés. La stratégie couvre les utilisateurs de deux façons différentes, selon que vous avez plus de licences P2 que d’utilisateurs ou si vous avez plus d’utilisateurs que de licences P2. Les utilisateurs invités ne sont pas inclus dans la stratégie.

  • Si tous vos utilisateurs actifs disposent d’une authentification multifacteur et que vos licences P2 sont égales ou supérieures au nombre total d’utilisateurs actifs, la stratégie couvre tous les utilisateurs.
    • Tous les utilisateurs peuvent inclure des comptes de service ou des comptes d'urgence, vous souhaiterez donc peut-être les exclure.
  • Si certains utilisateurs actifs n’ont pas d’authentification multifacteur ou s’il n’y a pas suffisamment de licences P2 pour couvrir tous les utilisateurs inscrits à l’authentification multifacteur MFA, nous créons et affectons la stratégie à un groupe de sécurité appelé « Accès conditionnel : Authentification multifacteur à risque » limitée à vos licences P2 disponibles.
    • La stratégie s’applique uniquement à ce groupe de sécurité. Vous pouvez donc étendre la stratégie en modifiant le groupe lui-même.
    • Pour remplir le groupe, nous sélectionnons les utilisateurs qui peuvent satisfaire l’authentification multifacteur, en hiérarchisant les utilisateurs disposant d’une licence P2 directement attribuée.
    • Cette configuration garantit que la stratégie ne bloque pas les utilisateurs légitimes et que vous obtenez une valeur maximale sur vos licences P2.

Pour empêcher les attaquants de prendre des comptes, Microsoft empêche les utilisateurs à risque de s’inscrire à l’authentification multifacteur.

Stratégies de sécurité par défaut

Les stratégies suivantes sont disponibles lorsque vous effectuez une mise à niveau à partir des paramètres de sécurité par défaut.

Bloquer l’authentification héritée

Cette stratégie empêche les protocoles d’authentification hérités d’accéder aux applications. L’authentification héritée fait référence à une demande d’authentification effectuée par :

  • Les clients Office qui n'utilisent pas l'authentification moderne (par exemple, un client Office 2010)
  • Tout client qui utilise d’anciens protocoles de messagerie tels que IMAP, SMTP ou POP3
  • Toute connexion tente d’utiliser l’authentification héritée.

La plupart des tentatives de connexion compromettantes ont pour origine l’authentification héritée. Étant donné que l’authentification héritée ne prend pas en charge l’authentification multifacteur, les attaquants peuvent contourner les exigences d’authentification multifacteur à l’aide de protocoles plus anciens.

Exiger une authentification multifacteur pour la gestion Azure

Cette stratégie couvre tous les utilisateurs lorsqu’ils tentent d’accéder à différents services Azure gérés via l’API Gestion des services Windows Azure, notamment :

  • Portail Azure
  • Centre d’administration Microsoft Entra
  • Azure PowerShell
  • Azure CLI (Interface de ligne de commande Azure)

Les utilisateurs doivent effectuer l’authentification multifacteur pour accéder à ces ressources.

Exiger l’authentification multifacteur pour les administrateurs

Cette stratégie s’applique aux utilisateurs disposant de rôles d’administrateur hautement privilégiés :

  • Administrateur général
  • Administrateur d’application
  • Administrateur d’authentification
  • Administrateur de facturation
  • Administrateur d'applications cloud
  • Administrateur de l’accès conditionnel
  • Administrateur Exchange
  • Administrateur du support technique
  • Administrateur de mots de passe
  • Administrateur d’authentification privilégié
  • Administrateur de rôle privilégié
  • Administrateur de sécurité
  • Administrateur SharePoint
  • Administrateur d'utilisateurs

Ces comptes doivent utiliser l’authentification multifacteur pour se connecter à n’importe quelle application.

Exiger l’authentification multifacteur pour tous les utilisateurs

Cette stratégie s’applique à tous les utilisateurs de votre organisation et nécessite une authentification multifacteur pour chaque connexion. Dans la plupart des cas, les sessions persistent sur les appareils, de sorte que les utilisateurs n’ont pas besoin d’effectuer l’authentification multifacteur lors de l’interaction avec d’autres applications.

Surveiller et passer en revue

La stratégie gérée et les journaux de connexion sont les deux emplacements où vous pouvez voir l’effet de ces stratégies sur votre organisation.

Passez en revue l’onglet Impact de la stratégie gérée pour afficher un résumé de la façon dont la stratégie affecte votre environnement.

Capture d’écran montrant l’effet d’une stratégie sur l’organisation.

Analysez les journaux de connexion Microsoft Entra pour afficher des détails sur la façon dont les stratégies affectent l’activité de connexion.

  1. Veuillez vous connecter au centre d'administration Microsoft Entra avec au moins les droits de lecteur de rapports.
  2. Accédez à Entra ID>Surveillance et santé>Journaux de connexion.
  3. Utilisez certains ou tous les filtres suivants :
    • ID de corrélation lorsque vous avez un événement spécifique à examiner.
    • Accès conditionnel pour voir l’échec et la réussite de la stratégie.
    • Nom d’utilisateur pour afficher des informations relatives à des utilisateurs spécifiques.
    • Date limitée au laps de temps en question.
  4. Sélectionnez un événement de connexion spécifique, puis sélectionnez Accès conditionnel.
    • Pour examiner plus en détail, sélectionnez le nom de la stratégie pour explorer la configuration des stratégies.
  5. Explorez les autres onglets pour afficher les détails de l’utilisateur client et de l’appareil utilisés pour l’évaluation de la stratégie d’accès conditionnel.

Questions courantes

Qu’est-ce que l’accès conditionnel ?

L’accès conditionnel est une fonctionnalité de Microsoft Entra qui permet aux organisations d’appliquer des exigences de sécurité lors de l’accès aux ressources. L’accès conditionnel est généralement utilisé pour appliquer des exigences d’authentification multifacteur, de configuration d’appareil ou d’emplacement réseau.

Ces stratégies peuvent être considérées comme des instructions logiques « si alors ».

Si les affectations (utilisateurs, ressources et conditions) sont vraies, alors appliquez les contrôles d’accès (octroi et/ou session) définis dans la stratégie. Si vous êtes administrateur et que vous souhaitez accéder à l’un des portails d’administration Microsoft, alors vous devez effectuer l’authentification multifacteur pour prouver que c’est bien vous.

Que se passe-t-il si je souhaite apporter d’autres modifications ?

Les administrateurs peuvent choisir d’apporter d’autres modifications à ces stratégies en les dupliquant à l’aide du bouton Dupliquer dans l’affichage de liste des stratégies. Cette nouvelle stratégie peut être configurée de la même façon que toute autre stratégie d’accès conditionnel à partir d’une position recommandée par Microsoft. Veillez à ne pas réduire votre posture de sécurité avec ces changements.

Quels rôles d’administrateur sont couverts par ces stratégies ?

  • Administrateur général
  • Administrateur d’application
  • Administrateur d’authentification
  • Administrateur de facturation
  • Administrateur d'applications cloud
  • Administrateur de l’accès conditionnel
  • Administrateur Exchange
  • Administrateur du support technique
  • Administrateur de mots de passe
  • Administrateur d’authentification privilégié
  • Administrateur de rôle privilégié
  • Administrateur de sécurité
  • Administrateur SharePoint
  • Administrateur d'utilisateurs

Que se passe-t-il si j’utilise une autre solution pour l’authentification multifacteur ?

L’authentification multifacteur à l’aide de méthodes d’authentification externe répond aux exigences MFA des stratégies gérées par Microsoft.

Lorsque l’authentification multifacteur est terminée via un fournisseur d’identité fédérée (IDP), elle peut satisfaire aux exigences de l’authentification multifacteur Microsoft Entra en fonction de votre configuration. Pour plus d'informations, consultez Satisfaire les contrôles d'authentification multifacteur (MFA) Microsoft Entra ID avec des revendications MFA provenant d'un IdP fédéré.

Que se passe-t-il si j’utilise l’authentification Certificate-Based ?

Selon votre configuration d’authentification Certificate-Based (CBA), elle peut fonctionner en tant qu’authentification unique ou multifacteur.

  • Si votre organisation configure l’authentification basée sur des certificats comme facteur unique, les utilisateurs doivent utiliser une deuxième méthode d'authentification pour satisfaire aux exigences de l’authentification multifacteur. Pour plus d’informations sur les combinaisons autorisées des méthodes d’authentification pour l’authentification multifacteur (MFA) avec l’authentification à facteur unique basée sur un certificat (CBA), consultez MFA avec l’authentification basée sur un certificat à facteur unique.
  • Si votre organisation configure l’authentification CBA en tant que multifacteur, les utilisateurs peuvent effectuer l’authentification multifacteur avec leur méthode d’authentification CBA.

Que se passe-t-il si j’utilise des contrôles personnalisés ?

Les contrôles personnalisés ne répondent pas aux exigences de revendication d’authentification multifacteur. Si votre organisation utilise des contrôles personnalisés, vous devez migrer vers des méthodes d’authentification externes, le remplacement des contrôles personnalisés. Votre fournisseur d’authentification externe doit prendre en charge les méthodes d’authentification externes et fournir les instructions de configuration nécessaires pour l’intégration.

Comment surveiller quand Microsoft apporte une modification à ces stratégies ou en ajoute une nouvelle ?

Les administrateurs disposant d’autorisations AuditLog.Read.All et Directory.Read peuvent interroger le journal d’audit pour les entrées lancées par Microsoft Managed Policy Manager dans la catégorie Stratégie . Par exemple, utilisez l’Explorateur Graph pour rechercher des entrées avec cette chaîne de requête : https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$filter=initiatedBy/app/displayName eq 'Microsoft Managed Policy Manager' and category eq 'Policy'.

Contenu connexe