Ajouter, tester ou supprimer des actions protégées dans Microsoft Entra ID

Les actions protégées dans Microsoft Entra ID sont des autorisations attribuées à des stratégies d’accès conditionnel qui sont appliquées lorsqu’un utilisateur tente d’effectuer une action. Cet article explique comment ajouter, tester ou supprimer des actions protégées.

Notes

Vous devez effectuer ces étapes en suivant la chronologie suivante pour vous assurer que les actions protégées sont correctement configurées et appliquées. Si vous ne suivez pas cet ordre, vous risquez d’obtenir un comportement inattendu, par exemple des demandes répétées de réauthentification.

Prérequis

Pour ajouter ou supprimer des actions protégées, vous devez disposer des éléments suivants :

Étape 1 : configurez la stratégie d’accès conditionnel

Les actions protégées utilisent un contexte d’authentification d’accès conditionnel. Vous devez donc configurer un contexte d’authentification et l’ajouter à une stratégie d’accès conditionnel. Si vous disposez déjà d’une stratégie avec un contexte d’authentification, vous pouvez passer à la section suivante.

  1. Connectez-vous au Centre d’administration Microsoft Entra.

  2. Sélectionnez Protection>Accès conditionnel>Contexte d’authentification>Contexte d’authentification.

  3. Sélectionnez Nouveau contexte d’authentification pour ouvrir le volet Ajouter un contexte d’authentification.

  4. Entrez un nom et une description, puis sélectionnez Enregistrer.

    Screenshot of Add authentication context pane to add a new authentication context.

  5. Sélectionnez Stratégies>Nouvelle stratégie pour créer une stratégie.

  6. Créez une stratégie et sélectionnez votre contexte d’authentification.

    Pour plus d’informations, consultez Accès conditionnel : applications cloud, actions et contexte d’authentification.

    Screenshot of New policy page to create a new policy with an authentication context.

Étape 2 : ajoutez des actions protégées

Pour ajouter des actions de protection, attribuez une stratégie d’accès conditionnel à une ou plusieurs autorisations à l’aide d’un contexte d’authentification d’accès conditionnel.

  1. Sélectionnez Protection>Accès conditionnel>Stratégies.

  2. Assurez-vous que l’état de la stratégie d’accès conditionnel que vous prévoyez d’utiliser avec votre action protégée est défini sur Activé et non sur Désactivé ou sur Rapport seul.

  3. Sélectionnez Identité>Rôles et administrateurs>Actions protégées.

    Screenshot of Add protected actions page in Roles and administrators.

  4. Sélectionnez Ajouter des actions protégées pour ajouter une nouvelle action protégée.

    Si l’option Ajouter des actions protégées est désactivée, assurez-vous que le rôle Administrateur de l’accès conditionnel ou Administrateur de la sécurité vous est attribué. Pour plus d’informations, consultez Résoudre les problèmes liés aux actions protégées.

  5. Sélectionnez un contexte d’authentification d’accès conditionnel configuré.

  6. Sélectionnez Sélectionner des autorisations et sélectionnez les autorisations à protéger avec l’accès conditionnel.

    Screenshot of Add protected actions page with permissions selected.

  7. Sélectionnez Ajouter.

  8. Lorsque vous avez terminé, sélectionnez Enregistrer.

    Les nouvelles actions protégées apparaissent dans la liste des actions protégées

Étape 3 : testez les mesures de protection

Lorsqu’un utilisateur effectue une action protégée, il doit satisfaire aux exigences de stratégie d’accès conditionnel. Cette section montre l’expérience d’un utilisateur invité à satisfaire une stratégie. Dans cet exemple, l’utilisateur doit s’authentifier avec une clé de sécurité FIDO avant de pouvoir mettre à jour les stratégies d’accès conditionnel.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’utilisateur qui doit satisfaire à la stratégie.

  2. Sélectionnez Protection>Accès conditionnel.

  3. Sélectionnez une stratégie d’accès conditionnel pour l’afficher.

    La modification de stratégie est désactivée, car les conditions d’authentification n’ont pas été remplies. En bas de la page se trouve la note suivante :

    La modification est protégée par une exigence d’accès supplémentaire. Cliquez ici pour vous authentifier à nouveau.

    Screenshot of a disabled Conditional Access policy with a note indicating to reauthenticate.

  4. Sélectionnez Cliquez ici pour vous authentifier à nouveau.

  5. Remplissez les exigences d’authentification lorsque le navigateur est redirigé vers la page de connexion Microsoft Entra.

    Screenshot of a sign-in page to reauthenticate.

    Une fois les exigences d’authentification satisfaites, la stratégie peut être modifiée.

  6. Modifiez la stratégie et enregistrez les modifications.

    Screenshot of an enabled Conditional Access policy that can be edited.

Supprimer les actions protégées

Pour supprimer les actions de protection, annulez l’attribution des exigences de stratégie d’accès conditionnel d’une autorisation.

  1. Sélectionnez Identité>Rôles et administrateurs>Actions protégées.

  2. Recherchez et sélectionnez la stratégie d’accès conditionnel d’autorisation pour annuler l’attribution.

    Screenshot of Protected actions page with permission selected to remove.

  3. Dans la barre d’outils, sélectionnez Supprimer.

    Une fois l’action protégée supprimée, l’autorisation n’a pas d’exigence d’accès conditionnel. Une nouvelle stratégie d’accès conditionnel peut être attribuée à l’autorisation.

Microsoft Graph

Ajouter des actions protégées

Les actions protégées sont ajoutées en attribuant une valeur de contexte d’authentification à une autorisation. Les valeurs de contexte d’authentification disponibles dans le locataire peuvent être découvertes en appelant l’API authenticationContextClassReference.

Le contexte d’authentification peut être attribué à une autorisation à l’aide du point de terminaison bêta de l’API unifiedRbacResourceAction :

https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/

L’exemple suivant montre comment obtenir l’ID de contexte d’authentification qui a été défini sur l’autorisation microsoft.directory/conditionalAccessPolicies/delete.

GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable

Les actions de ressource avec la propriété isAuthenticationContextSettable définie sur true prennent en charge le contexte d’authentification. Actions de ressource avec la valeur de la propriété authenticationContextId est l’ID de contexte d’authentification qui a été attribué à l’action.

Pour afficher les propriétés isAuthenticationContextSettable et authenticationContextId, elles doivent être incluses dans l’instruction select lors de la demande à l’API d’action de ressource.

Résoudre les problèmes liés aux actions protégées

Symptôme : aucune valeur de contexte d’authentification ne peut être sélectionnée

Lorsque vous tentez de sélectionner un contexte d’authentification d’accès conditionnel, aucune valeur n’est disponible.

Screenshot of Add protected actions page with no authentication context to select.

Cause

Aucune valeur de contexte d’authentification d’accès conditionnel n’a été activée dans le locataire.

Solution

Activez le contexte d’authentification pour le locataire en ajoutant un nouveau contexte d’authentification. Vérifiez que l’option Publier sur les applications est cochée, de sorte que la valeur est disponible pour être sélectionnée. Pour plus d’informations, consultez Contexte d’authentification.

Symptôme : la stratégie ne se déclenche pas

Dans certains cas, une fois qu’une action protégée a été ajoutée, les utilisateurs peuvent ne pas voir les invites comme prévu. Par exemple, si la stratégie nécessite une authentification multifacteur, il se peut qu’un utilisateur ne voit pas d’invite de connexion.

Cause 1

L’utilisateur n’a pas été attribué aux stratégies d’accès conditionnel utilisées pour l’action protégée.

Solution 1

Utilisez l’outil What If d’accès conditionnel pour vérifier si la stratégie a été attribuée à l’utilisateur. Lorsque vous utilisez l’outil, sélectionnez l’utilisateur et le contexte d’authentification qui a été utilisé avec l’action protégée. Sélectionnez What If et vérifiez que la stratégie attendue est répertoriée dans la table Stratégies qui vont s’appliquer. Si la stratégie ne s’applique pas, vérifiez la condition d’attribution d’utilisateur de stratégie et ajoutez l’utilisateur.

Cause 2

L’utilisateur a déjà satisfait la stratégie. Par exemple, il a effectué l’authentification multifacteur plus tôt dans la même session.

Solution 2

Vérifiez les événements de connexion Microsoft Entra pour résoudre des problèmes. Les événements de connexion incluent des détails sur la session, notamment si l’utilisateur a déjà terminé l’authentification multifacteur. Lors de la résolution des problèmes avec les journaux de connexion, il est également utile de vérifier la page des détails de la stratégie pour confirmer qu’un contexte d’authentification a été demandé.

Symptôme : la stratégie n’est jamais satisfaite

Lorsque vous souhaitez répondre aux exigences de la stratégie d’accès conditionnel, celle-ci n’est jamais satisfaite et vous recevez toujours une demande de réauthentification.

Cause

La stratégie d’accès conditionnel n’a pas été créée ou l’état de la stratégie est Désactivé ou Rapport seul.

Solution

Si la stratégie d’accès conditionnel n’existe pas, créez-la et définissez l’état surActivé.

Si vous ne parvenez pas à accéder à la page Accès conditionnel en raison de l’action protégée et des demandes répétées de réauthentification, utilisez le lien suivant pour ouvrir la page Accès conditionnel.

Symptôme : aucun accès pour ajouter des actions protégées

Une fois connecté, vous ne disposez pas des autorisations nécessaires pour ajouter ou supprimer des actions protégées.

Cause

Vous n’avez pas l’autorisation de gérer les actions protégées.

Solution

Assurez-vous que le rôle Administrateur de l’accès conditionnel ou Administrateur de la sécurité vous est attribué.

Symptôme : erreur retournée à l’aide de PowerShell pour effectuer une action protégée

Lorsque vous utilisez PowerShell pour effectuer une action protégée, une erreur est retournée et aucune invite n’est requise pour satisfaire la stratégie d’accès conditionnel.

Cause

Microsoft Graph PowerShell prend en charge l’authentification de niveau supérieur, qui est nécessaire pour autoriser les invites de stratégie. Azure et Azure AD Graph PowerShell ne sont pas pris en charge pour l’authentification de niveau supérieur.

Solution

Vérifiez que vous utilisez Microsoft Graph PowerShell.

Étapes suivantes