Configurer l’accès conditionnel et l’authentification multifacteur pour Microsoft Teams
Lorsque les utilisateurs se connectent à votre système Teams à l’aide de leur appareil, ils peuvent introduire par inadvertance des failles de sécurité en raison des applications et des configurations présentes sur cet appareil. L’une des approches permettant d’éviter ce type de blocage consiste à définir des stratégies qui testent les appareils et les utilisateurs, puis à décider de leur niveau d’accès en fonction des résultats. Vous pouvez implémenter une telle approche à l’aide de l’accès conditionnel dans Microsoft Teams.
Accès conditionnel
L’accès conditionnel est une fonctionnalité de sécurité d’Azure Active Directory. L’accès conditionnel utilise plusieurs signaux pour déterminer si un utilisateur ou un appareil est fiable. Vous utilisez des stratégies d’accès conditionnel pour déterminer la fiabilité de quelque chose.
Les politiques d'accès conditionnel sont des instructions de type « si-alors » qui permettent aux professionnels de la sécurité d'assurer une défense en profondeur et sont appliquées une fois l'authentification à premier facteur terminée. Microsoft Teams est pris en charge séparément en tant qu’application cloud dans les stratégies d’accès conditionnel d’Azure Active Directory.
Une stratégie d’accès conditionnel est constituée d’instructions de type « si-alors » des Affectations et de Contrôles d’accès. La partie affectation de la stratégie contrôle le qui, le quoi et le où de la stratégie d'accès conditionnel. La partie d’accès de la stratégie contrôle la façon dont elle est appliquée. En fonction des affectations, il peut accorder l’accès, bloquer l’accès ou accorder l'accès à un ou plusieurs conditions supplémentaires est remplie.
Authentification multifacteur
L’authentification multifacteur (MFA) est le processus qui consiste à demander à un utilisateur une forme supplémentaire d’identification lors de la connexion. Il peut être invité à entrer un code sur son téléphone portable ou à fournir une empreinte digitale. L’authentification multifacteur réduit considérablement les risques de compromission des comptes d’utilisateurs. Exiger l’authentification multifacteur pour tous les utilisateurs améliorera considérablement la sécurité des identités pour votre organisation.
Application de la stratégie d’accès conditionnel
Les stratégies d’accès conditionnel peuvent être définies pour Teams. Toutefois, Teams est intégré à d’autres applications Microsoft pour implémenter des fonctionnalités telles que les réunions, les calendriers, les conversations d’interopérabilité et le partage de fichiers. Des stratégies d’accès conditionnel peuvent également être définies pour ces applications. Lorsqu’un utilisateur se connecte à Microsoft Teams, sur n’importe quel client, les stratégies d’accès conditionnel définies pour Teams et l’une des applications cloud intégrées sont appliquées. Il est important de noter que même si des stratégies d’accès conditionnel peuvent être configurées pour Teams, sans les stratégies appropriées sur d’autres applications telles qu’Exchange Online et SharePoint, les utilisateurs peuvent toujours être en mesure d’accéder directement aux ressources. Si vous avez configuré une dépendance de service, la stratégie peut être appliquée à l’aide de l’application à liaison anticipée ou à liaison tardive :
L’application de la stratégie à liaison anticipée signifie qu’un utilisateur doit satisfaire à la stratégie de service dépendante avant d’accéder à l’application appelante. Par exemple, un utilisateur doit satisfaire à la stratégie SharePoint avant de se connecter à Teams.
L’application de la stratégie à liaison tardive se produit une fois que l’utilisateur se connecte à l’application appelante. L’application est différée lorsque l’application appelante demande un jeton pour le service en aval, tel que Teams accédant au Planificateur.
Le diagramme suivant illustre les dépendances du service Teams. Les flèches pleines indiquent l’application à liaison anticipée ; la flèche en pointillés du Planificateur indique l’application à liaison tardive.
Configurer l’authentification multifacteur pour Teams
Voici des exemples d’étapes permettant de créer une stratégie d’accès conditionnel pour les utilisateurs du service Ventes tout en utilisant Microsoft Teams en fonction des conditions spécifiées :
Connectez-vous au centre d’administration Azure Active Directory en tant qu’administrateur général.
Dans le volet gauche, sélectionnez Tous les services et recherchez Accès conditionnel, puis sélectionnez Accès conditionnel Azure AD.
Dans la page Accès conditionnel – Stratégies, sélectionnez + Nouvelle stratégie > Créer une stratégie.
Dans la page Nouveau, insérez les informations suivantes dans les champs correspondants dans les sections du menu de navigation de gauche :
Dans le champ Nom, tapez le nom de la stratégie, par exemple « Sales_ConditionalAccess ».
Dans la section Affectation, configurez les paramètres suivants :
Sélectionnez les Utilisateurs et groupes auxquels vous souhaitez appliquer cette stratégie, par exemple groupe de Ventes.
Sélectionnez les Applications ou actions cloud auxquelles vous souhaitez appliquer la stratégie. Dans la liste des applications, choisissez Microsoft Teams.
Sélectionnez les Conditions que vous souhaitez inclure dans la stratégie, telles que le niveau de risque de connexion, la plateforme de l’appareil, les emplacements physiques, les applications clientes et l’état de l’appareil.
Choisissez le type de contrôle d’accès que vous souhaitez déployer pour les paramètres que vous avez configurés dans la section affectations.
Sélectionnez Accorder pour choisir les contrôles à appliquer, tels que l’authentification multifacteur.
Sélectionnez Session si vous devez configurer une expérience limitée au sein d’une application cloud, telle que la restriction appliquée par l’application.
Activez la stratégie en sélectionnant Activé dans la section Activer la stratégie, puis cliquez sur Créer.