Partager via

Protéger l'enregistrement des informations de sécurité avec une stratégie d’accès conditionnel

La sécurisation du moment et de la manière dont les utilisateurs s'inscrivent à l'authentification multifacteur Microsoft Entra et à la réinitialisation de mot de passe en libre-service est possible grâce aux actions de l'utilisateur dans une stratégie d'accès conditionnel. Cette fonctionnalité est disponible pour les organisations qui activent l’inscription combinée. Cette fonctionnalité permet aux organisations de traiter le processus d’inscription comme n’importe quelle application dans une stratégie d’accès conditionnel et d’utiliser toute la puissance de l’accès conditionnel pour sécuriser l’expérience. Les utilisateurs qui se connectent à l’application Microsoft Authenticator ou qui activent la connexion par téléphone sans mot de passe sont soumis à cette stratégie.

Certaines organisations du passé peuvent avoir utilisé l’emplacement réseau approuvé ou la conformité des appareils comme un moyen de sécuriser l’inscription. Avec l’ajout de la passe d’accès temporaire dans Microsoft Entra ID, les administrateurs peuvent fournir des informations d’identification limitées au temps à leurs utilisateurs qui leur permettent de s’inscrire à partir de n’importe quel appareil ou emplacement. Les informations d’identification du passe d’accès temporaire répondent aux exigences d’accès conditionnel pour l’authentification multifacteur.

Exclusions d’utilisateurs

Les stratégies d’accès conditionnel sont des outils puissants. Nous vous recommandons donc d’exclure les comptes suivants de vos stratégies :

  • Accès d’urgence ou comptes en mode brise-glace pour empêcher le verrouillage en raison d’une mauvaise configuration de la stratégie. Dans le scénario improbable où tous les administrateurs seraient verrouillés, votre compte administratif d’accès d’urgence peut être utilisé pour la connexion et la prise de mesures pour récupérer l’accès.
  • Comptes de service et principaux de service, tels que le compte Microsoft Entra Connect Sync. Les comptes de service sont des comptes non interactifs qui ne sont liés à aucun utilisateur particulier. Ils sont généralement utilisés par des services back-end autorisant l’accès par programmation aux applications, mais ils le sont également pour une connexion aux systèmes à des fins administratives. Les appels effectués par les principaux de service ne seront pas bloqués par les stratégies d’accès conditionnel destinées aux utilisateurs. Utilisez l’accès conditionnel des identités de charge de travail pour élaborer des stratégies ciblant les principaux de service.
    • Si votre organisation dispose de ces comptes en cours d’utilisation dans des scripts ou du code, envisagez de les remplacer par des identités managées.

Déploiement de modèle

Les organisations peuvent choisir de déployer cette stratégie en suivant les étapes décrites ci-dessous ou à l’aide des modèles d’accès conditionnel.

Créer une stratégie pour sécuriser l’inscription

La politique suivante s’applique aux utilisateurs sélectionnés, qui tentent de s’inscrire en utilisant l’expérience d’inscription combinée. La stratégie exige que les utilisateurs qui ne se trouvent pas sur un réseau approuvé effectuent une authentification multifacteur. Les utilisateurs des réseaux approuvés sont exclus de cette stratégie.

Avertissement

Si vous utilisez des méthodes d’authentification externes, celles-ci sont actuellement incompatibles avec la force d’authentification et vous devez utiliser le contrôle Exiger l’octroi d’authentification multifacteur .

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’accès conditionnel au moins.
  2. Accédez à Entra ID>l’accès conditionnel>stratégies.
  3. Sélectionnez Nouvelle stratégie.
  4. Dans Nom, entrez un nom pour cette stratégie. Par exemple, inscription combinée des informations de sécurité avec TAP.
  5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.

    1. Sous Inclure, sélectionnez Tous les utilisateurs.

      Avertissement

      Les utilisateurs doivent être activés pour l’inscription combinée.

    2. Sous Exclure.

      1. Sélectionnez Tous les utilisateurs invités et externes.

        Remarque

        Le Passe d’accès temporaire ne fonctionne pas pour les utilisateurs invités.

      2. Sélectionnez Utilisateurs et groupes et choisissez l'accès d'urgence ou les comptes 'break-glass' de votre organisation.

  6. Sous Ressources cibles>Actions utilisateur, vérifiez l'enregistrement des informations de sécurité.
  7. Sous Conditions>Emplacements.
    1. Définir Configurer à Oui.
      1. Incluez n’importe quel emplacement.
      2. Excluez tous les emplacements approuvés.
  8. Sous Contrôles d’accès>Accorder, sélectionnez Accorder l’accès.
    1. Sélectionnez Exiger la force d’authentification, puis sélectionnez la force d’authentification intégrée ou personnalisée appropriée dans la liste.
    2. Sélectionnez.
  9. Confirmez vos paramètres et réglez Configurer la stratégie sur Mode rapport uniquement.
  10. Sélectionnez Créer pour créer pour activer votre stratégie.

Une fois que les administrateurs évaluent les paramètres de stratégie à l’aide de l’impact de la stratégie ou du mode rapport uniquement, ils peuvent déplacer le bouton bascule Activer la stratégie de rapport uniquement vers Activé.

Les administrateurs doivent émettre des codes d'accès temporaires aux nouveaux utilisateurs pour qu'ils puissent satisfaire aux exigences de l'authentification multifacteur lors de leur inscription. Les étapes à suivre pour accomplir cette tâche se trouvent dans la section Créer un passe d’accès temporaire dans le Centre d’administration Microsoft Entra.

Les organisations peuvent choisir d’exiger d’autres contrôles d’octroi avec ou à la place de l’authentification multifacteur à l’étape 8a. Lorsque vous sélectionnez plusieurs contrôles, veillez à sélectionner le bouton radio approprié pour exiger l’ensemble ou l’un des contrôles sélectionnés lorsque vous effectuez cette modification.

Inscription des utilisateurs invités

Pour les utilisateurs invités qui doivent s’inscrire à l’authentification multifacteur dans votre annuaire, vous pouvez choisir de bloquer l’inscription en dehors des emplacements réseau approuvés à l’aide du guide suivant.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’accès conditionnel au moins.
  2. Accédez à Entra ID>l’accès conditionnel>stratégies.
  3. Sélectionnez Nouvelle stratégie.
  4. Dans Nom, entrez un nom pour cette stratégie. Par exemple, inscription combinée des informations de sécurité sur les réseaux approuvés.
  5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
    1. Sous Inclure, sélectionnez Tous les utilisateurs invités et externes.
  6. Sous Ressources cibles>Actions utilisateur, vérifiez l'enregistrement des informations de sécurité.
  7. Sous Conditions>Emplacements.
    1. Configurez Oui.
    2. Incluez n’importe quel emplacement.
    3. Excluez tous les emplacements approuvés.
  8. Sous Contrôles d’accès>Attribution.
    1. Sélectionnez Bloquer l’accès.
    2. Ensuite, choisissez Sélectionner.
  9. Confirmez vos paramètres et réglez Configurer la stratégie sur Mode rapport uniquement.
  10. Sélectionnez Créer pour créer pour activer votre stratégie.

Une fois que les administrateurs évaluent les paramètres de stratégie à l’aide de l’impact de la stratégie ou du mode rapport uniquement, ils peuvent déplacer le bouton bascule Activer la stratégie de rapport uniquement vers Activé.

Contenu connexe