Aligner l’accès conditionnel et Confiance Zéro

  • 10 minutes

Commençons par quelques principes de conception.

Accès conditionnel en tant que moteur de stratégie de Confiance Zéro

L’approche Microsoft par rapport à la Confiance Zéro comprend l’accès conditionnel en tant que moteur de stratégie principal. Voici une vue d’ensemble de cette approche :

Diagram that provides an overview of the Zero Trust model.

Téléchargez un fichier SVG de cette architecture.

L’accès conditionnel est utilisé en tant que moteur de stratégie pour une architecture de Confiance Zéro qui couvre la définition et l’application de stratégie. Sur la base de différents signaux ou conditions, l’accès conditionnel peut bloquer ou accorder un accès limité aux ressources, comme illustré ici :

Diagram that provides an overview of the Conditional Access signal, decision, enforcement path.

Voici une vue plus détaillée des éléments de l’accès conditionnel et de ce qu’il couvre :

Diagram that shows a more detailed view of Conditional Access.

Ce diagramme montre l’accès conditionnel et les éléments associés qui peuvent aider à protéger l’accès utilisateur aux ressources, par opposition à un accès non interactif ou non humain. Le diagramme suivant décrit les deux types d’identités :

Diagram that describes Conditional Access identity types.

L’accès non humain aux ressources doit également être protégé. Actuellement, vous ne pouvez pas utiliser l’accès conditionnel pour protéger l’accès non humain aux ressources cloud. Vous devez utiliser une autre méthode, par exemple des contrôles d’octroi pour l’accès basé sur OAuth.

Principes de l’accès conditionnel comparés aux principes de Confiance Zéro

Sur la base des informations ci-dessus, voici un résumé des principes recommandés. Microsoft vous recommande de créer un modèle d’accès basé sur l’accès conditionnel qui est aligné avec les trois principes principaux de la Confiance Zéro Microsoft :

Principe de Confiance Zéro Principe de l’accès conditionnel
Vérifier explicitement - Déplacer le plan de contrôle vers le cloud. Intégrez des applications à Microsoft Entra ID et protégez-les à l’aide de l’accès conditionnel.
- Considérer que tous les clients sont externes.
Utiliser le droit d’accès minimal - Évaluer l’accès en fonction de la conformité et des risques, y compris les risques liés aux utilisateurs, aux connexions et aux appareils.
- Utiliser ces priorités d’accès :
- Accéder directement à la ressource, en utilisant l’accès conditionnel pour la protection.
- Publier l’accès à la ressource avec le proxy d’application Microsoft Entra, en utilisant l’accès conditionnel pour la protection.
- Utiliser un VPN basé sur l’accès conditionnel pour accéder à la ressource. Limitez l’accès au niveau de l’application ou du nom DNS.
Supposer une violation - Infrastructure réseau de segment.
- Réduire au minimum l’utilisation de l’infrastructure à clé publique (PKI) d’entreprise.
- Migrer l’authentification unique (SSO) de AD FS vers la synchronisation de hachage du mot de passe (PHS).
- Réduire au minimum les dépendances sur les contrôleurs de domaine en utilisant KDC Kerberos dans Microsoft Entra ID.
- Déplacer le plan de gestion vers le cloud. Gérez des appareils à l’aide de Microsoft Endpoint Manager.

Voici des principes et des pratiques recommandées énoncés plus en détail pour l’accès conditionnel :

  • Appliquez les principes de la Confiance Zéro à l’accès conditionnel.
  • Utilisez le mode Rapport seul avant de placer une stratégie en production.
  • Testez les scénarios positifs et négatifs.
  • Utilisez le contrôle de modification et de révision sur les stratégies d’accès conditionnel.
  • Automatisez la gestion des stratégies d’accès conditionnel à l’aide d’outils comme Azure DevOps, Azure GitHub ou Azure Logic Apps.
  • Utilisez le mode Blocage pour un accès général, uniquement si et où vous le souhaitez.
  • Assurez-vous que toutes les applications et que votre plateforme sont protégées. L’accès conditionnel n’a pas d’option « Refuser tout » implicite
  • Protégez les utilisateurs privilégiés dans tous les systèmes de contrôle d’accès en fonction du rôle (RBAC) Microsoft 365.
  • Exigez la modification du mot de passe et l’authentification multifacteur pour les utilisateurs et les connexions à haut risque (mises en œuvre par la fréquence de connexion).
  • Limitez l’accès à partir d’appareils à haut risque. Utilisez une stratégie de conformité Intune avec une vérification de la conformité dans l’accès conditionnel.
  • Protéger les systèmes avec privilèges, comme l’accès aux portails administrateur pour Office 365, Azure, AWS et Google Cloud.
  • Empêchez les sessions de navigateur persistantes pour les administrateurs et sur les appareils non approuvés.
  • Bloquez l’authentification héritée.
  • Limitez l’accès à partir de plateformes d’appareils inconnues ou non prises en charge.
  • Exigez un appareil conforme pour l’accès aux ressources, le cas échéant.
  • Limitez l’inscription renforcée des informations d’identification.
  • Envisagez l’utilisation de la stratégie de session par défaut qui permet aux sessions de continuer en cas de panne, si avant-celle-ci, les conditions appropriées ont été satisfaites.