Travail prérequis pour l’implémentation des stratégies d’identité et d’accès aux appareils Confiance nulle
Cet article décrit les conditions préalables que les administrateurs doivent respecter pour utiliser les stratégies d’identité et d’accès aux appareils recommandées Confiance nulle, et pour utiliser l’accès conditionnel. Il décrit également les valeurs par défaut recommandées pour la configuration des plateformes clientes pour la meilleure expérience d’authentification unique (SSO).
Configuration requise
Avant d’utiliser les stratégies d’identité et d’accès aux appareils Confiance nulle recommandées, votre organization doit respecter les conditions préalables. Les exigences sont différentes pour les différents modèles d’identité et d’authentification répertoriés :
- Cloud uniquement
- Hybride avec authentification de synchronisation de hachage de mot de passe (PHS)
- Hybride avec authentification directe (PTA)
- Fédérés
Le tableau suivant détaille les fonctionnalités requises et leur configuration qui s’appliquent à tous les modèles d’identité, sauf indication contraire.
| Configuration | Exceptions | Licences |
|---|---|---|
| Configurez PHS. Cette fonctionnalité doit être activée pour détecter les informations d’identification divulguées et agir sur celles-ci pour l’accès conditionnel basé sur les risques. Note: Cela est obligatoire, que votre organization utilise ou non l’authentification fédérée. | Cloud uniquement | Microsoft 365 E3 ou E5 |
| Activez l’authentification unique transparente pour connecter automatiquement les utilisateurs lorsqu’ils se trouvent sur leurs appareils organization connectés à votre réseau organization. | Cloud uniquement et fédéré | Microsoft 365 E3 ou E5 |
| Configurez des emplacements nommés. Protection Microsoft Entra ID collecte et analyse toutes les données de session disponibles pour générer un score de risque. Nous vous recommandons de spécifier les plages d’adresses IP publiques de votre organization pour votre réseau dans la configuration Microsoft Entra ID emplacements nommés. Le trafic provenant de ces plages reçoit un score de risque réduit, et le trafic en provenance de l’extérieur de l’environnement organization reçoit un score de risque plus élevé. | Microsoft 365 E3 ou E5 | |
| Inscrivez tous les utilisateurs pour la réinitialisation de mot de passe en libre-service (SSPR) et l’authentification multifacteur (MFA). Nous vous recommandons d’inscrire les utilisateurs à Microsoft Entra’authentification multifacteur à l’avance. Protection Microsoft Entra ID utilise Microsoft Entra’authentification multifacteur pour effectuer une vérification de sécurité supplémentaire. En outre, pour une expérience de connexion optimale, nous recommandons aux utilisateurs d’installer l’application Microsoft Authenticator et l’application Microsoft Portail d'entreprise sur leurs appareils. Ceux-ci peuvent être installés à partir de l’App Store pour chaque plateforme. | Microsoft 365 E3 ou E5 | |
| Planifiez votre implémentation de jointure hybride Microsoft Entra. L’accès conditionnel garantit que les appareils se connectant aux applications sont joints à un domaine ou conformes. Pour la prendre en charge sur les ordinateurs Windows, l’appareil doit être inscrit auprès de Microsoft Entra ID. Cet article explique comment configurer l’inscription automatique des appareils. | Cloud uniquement | Microsoft 365 E3 ou E5 |
| Préparer votre équipe de support. Mettez un plan en place pour les utilisateurs qui ne parviennent pas à effectuer l’authentification multifacteur. Il peut s’agir de les ajouter à un groupe d’exclusion de stratégie ou d’inscrire de nouvelles informations MFA pour eux. Avant d’apporter l’une de ces modifications sensibles à la sécurité, vous devez vous assurer que l’utilisateur réel effectue la demande. Exiger que les responsables des utilisateurs facilitent l’approbation est une étape efficace. | Microsoft 365 E3 ou E5 | |
| Configurer la réécriture du mot de passe dans AD local. La réécriture du mot de passe permet aux Microsoft Entra ID d’exiger que les utilisateurs modifient leurs mots de passe locaux lorsqu’une compromission de compte à haut risque est détectée. Vous pouvez activer cette fonctionnalité à l’aide de Microsoft Entra Connect de l’une des deux manières suivantes : activer la réécriture du mot de passe dans l’écran des fonctionnalités facultatives de Microsoft Entra configuration de connexion, ou l’activer via Windows PowerShell. | Cloud uniquement | Microsoft 365 E3 ou E5 |
| Configurez Microsoft Entra protection par mot de passe. Microsoft Entra protection par mot de passe détecte et bloque les mots de passe faibles connus et leurs variantes, et peut également bloquer les termes faibles supplémentaires spécifiques à votre organization. Les listes de mots de passe interdits globaux par défaut sont automatiquement appliquées à tous les utilisateurs d’un locataire Microsoft Entra. Vous pouvez définir d’autres entrées dans une liste personnalisée de mots de passe interdits. Lorsque les utilisateurs modifient ou réinitialisent leurs mots de passe, ces listes sont vérifiées de façon à garantir l’utilisation de mots de passe forts. | Microsoft 365 E3 ou E5 | |
| Activez Protection Microsoft Entra ID. Protection Microsoft Entra ID vous permet de détecter les vulnérabilités potentielles affectant les identités de votre organization et de configurer une stratégie de correction automatisée pour un risque de connexion faible, moyen et élevé et un risque utilisateur. | Microsoft 365 E5 ou Microsoft 365 E3 avec le module complémentaire sécurité E5 | |
| Activez l’authentification moderne pour Exchange Online et pour Skype Entreprise Online. L’authentification moderne est une condition préalable à l’utilisation de l’authentification multifacteur. L’authentification moderne est activée par défaut pour les clients Office 2016 et 2019, SharePoint et OneDrive Entreprise. | Microsoft 365 E3 ou E5 | |
| Activez l’évaluation continue de l’accès pour Microsoft Entra ID. L’évaluation continue de l’accès met fin de manière proactive aux sessions utilisateur actives et applique les modifications de stratégie de locataire en quasi-temps réel. | Microsoft 365 E3 ou E5 |
Configurations clientes recommandées
Cette section décrit les configurations clientes de plateforme par défaut que nous recommandons pour fournir la meilleure expérience d’authentification unique à vos utilisateurs, ainsi que les prérequis techniques pour l’accès conditionnel.
Appareils Windows
Nous vous recommandons Windows 11 ou Windows 10 (version 2004 ou ultérieure), car Azure est conçu pour fournir l’expérience d’authentification unique la plus fluide possible pour les Microsoft Entra ID et les locaux. Les appareils professionnels ou scolaires doivent être configurés pour rejoindre Microsoft Entra ID directement ou, si le organization utilise la jonction de domaine AD local, ces appareils doivent être configurés pour s’inscrire automatiquement et silencieusement auprès de Microsoft Entra ID.
Pour les appareils Windows BYOD, les utilisateurs peuvent utiliser Ajouter un compte professionnel ou scolaire. Notez que les utilisateurs du navigateur Google Chrome sur les appareils Windows 11 ou Windows 10 doivent installer une extension pour bénéficier de la même expérience de connexion fluide que les utilisateurs de Microsoft Edge. En outre, si votre organization dispose d’appareils Windows 8 ou 8.1 joints à un domaine, vous pouvez installer Microsoft Workplace Join pour les ordinateurs non Windows 10. Téléchargez le package pour inscrire les appareils auprès de Microsoft Entra ID.
Périphériques iOS
Nous vous recommandons d’installer l’application Microsoft Authenticator sur les appareils des utilisateurs avant de déployer des stratégies d’accès conditionnel ou d’authentification multifacteur. Au minimum, l’application doit être installée lorsque les utilisateurs sont invités à inscrire leur appareil auprès de Microsoft Entra ID en ajoutant un compte professionnel ou scolaire, ou lorsqu’ils installent l’application Intune portail d’entreprise pour inscrire leur appareil dans la gestion. Cela dépend de la stratégie d’accès conditionnel configurée.
Périphériques Android
Nous recommandons aux utilisateurs d’installer l’application Portail d'entreprise Intune et l’application Microsoft Authenticator avant le déploiement de stratégies d’accès conditionnel ou lorsque cela est nécessaire lors de certaines tentatives d’authentification. Après l’installation de l’application, les utilisateurs peuvent être invités à s’inscrire auprès de Microsoft Entra ID ou à inscrire leur appareil avec Intune. Cela dépend de la stratégie d’accès conditionnel configurée.
Nous recommandons également que les appareils appartenant à organization soient normalisés sur les oem et les versions qui prennent en charge Android for Work ou Samsung Knox afin d’autoriser les comptes de messagerie, à être gérés et protégés par Intune stratégie MDM.
Clients de messagerie recommandés
Les clients de messagerie suivants prennent en charge l’authentification moderne et l’accès conditionnel.
| Plateforme | Client | Version/Notes |
|---|---|---|
| Fenêtres | Outlook | 2019, 2016 |
| iOS | Outlook pour iOS | La plus récente |
| Android | Outlook pour Android | La plus récente |
| MacOS | Outlook | 2019 et 2016 |
| Linux | Non pris en charge |
Plateformes clientes recommandées pour sécuriser des documents
Les clients suivants sont recommandés lorsqu’une stratégie de documents sécurisés a été appliquée.
| Plateforme | Word/Excel/PowerPoint | OneNote | Application OneDrive | Application SharePoint | Client de synchronisation OneDrive |
|---|---|---|---|---|---|
| Windows 11 ou Windows 10 | Pris en charge | Pris en charge | N/A | S/O | Pris en charge |
| Windows 8.1 | Pris en charge | Pris en charge | N/A | S/O | Pris en charge |
| Android | Pris en charge | Pris en charge | Pris en charge | Pris en charge | N/A |
| iOS | Pris en charge | Pris en charge | Pris en charge | Pris en charge | N/A |
| macOS | Pris en charge | Pris en charge | N/A | N/A | Non prise en charge |
| Linux | Non prise en charge | Non pris en charge | Non pris en charge | Non pris en charge | Non pris en charge |
Prise en charge du client Microsoft 365
Pour plus d’informations sur la prise en charge des clients dans Microsoft 365, consultez les articles suivants :
- Prise en charge des applications clientes Microsoft 365 - Accès conditionnel
- Prise en charge des applications clientes Microsoft 365 - Authentification multifacteur
Protection des comptes d’administrateur
Pour Microsoft 365 E3 ou E5 ou avec des licences Microsoft Entra ID P1 ou P2 distinctes, vous pouvez exiger l’authentification multifacteur pour les comptes d’administrateur avec une stratégie d’accès conditionnel créée manuellement. Pour plus d’informations , consultez Accès conditionnel : Exiger l’authentification multifacteur pour les administrateurs .
Pour les éditions de Microsoft 365 ou Office 365 qui ne prennent pas en charge l’accès conditionnel, vous pouvez activer les paramètres de sécurité par défaut pour exiger l’authentification multifacteur pour tous les comptes.
Voici quelques recommandations supplémentaires :
- Utilisez Microsoft Entra Privileged Identity Management pour réduire le nombre de comptes d’administration persistants.
- Utilisez la gestion des accès privilégiés pour protéger vos organization contre les violations susceptibles d’utiliser des comptes d’administrateur privilégiés existants avec un accès permanent aux données sensibles ou un accès aux paramètres de configuration critiques.
- Create et utiliser des comptes distincts auxquels sont attribués des rôles d’administrateur Microsoft 365uniquement pour l’administration. Les administrateurs doivent avoir leur propre compte d’utilisateur pour une utilisation normale non administrative et utiliser un compte d’administrateur uniquement lorsque cela est nécessaire pour effectuer une tâche associée à leur rôle ou à leur fonction de travail.
- Suivez les bonnes pratiques pour sécuriser les comptes privilégiés dans Microsoft Entra ID.
Étape suivante
Configurer les stratégies d’identité et d’accès aux appareils Confiance nulle courantes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour