Implémenter des contrôles et des affectations de stratégie d’accès conditionnel

Effectué

Visual Studio App Center prend en charge l’accès conditionnel Azure AD, une fonctionnalité avancée d’Azure AD qui vous permet de spécifier des stratégies détaillées qui contrôlent qui peut accéder à vos ressources. Avec l’accès conditionnel, vous pouvez protéger vos applications en limitant l’accès des utilisateurs en fonction d’éléments tels que le groupe, le type d’appareil, l’emplacement et le rôle.

Configuration de l’accès conditionnel

Il s’agit d’un guide abrégé de la configuration de l’accès conditionnel. La documentation complète est disponible dans Qu’est-ce que l’accès conditionnel ?

Dans le portail Azure, ouvrez votre locataire Active Directory, ouvrez les paramètres Sécurité, puis sélectionnez Accès conditionnel.

Dans les paramètres Accès conditionnel, sélectionnez Nouvelle stratégie pour créer une stratégie.

Capture de l’écran Accès conditionnel Azure Active Directory, répertoriant les stratégies existantes.

Dans les paramètres Nouvelle stratégie, sélectionnez Applications ou actions cloud, puis Visual Studio App Center comme cible de la stratégie. Sélectionnez ensuite les autres conditions que vous souhaitez appliquer, activez la stratégie, puis sélectionnez Créer pour l’enregistrer.

Capture d’écran de l’Accès conditionnel Azure AD : page d’applications ou actions cloud pour la configuration.

Accès conditionnel basé sur les risques de connexion

La plupart des utilisateurs ont un comportement normal qui peut être suivi. Lorsqu’ils ne suivent pas cette norme, il peut être risqué de les autoriser à se connecter. Vous pouvez bloquer ces utilisateurs ou simplement leur demander d’effectuer une authentification multifacteur pour prouver qu’ils sont vraiment ceux qu’ils prétendent être.

Un risque de connexion reflète la probabilité qu’une requête d’authentification donnée soit rejetée par le propriétaire de l'identité. Les organisations disposant de licences Azure AD Premium P2 peuvent créer des stratégies d’accès conditionnel incorporant les détections de risques de connexion d’Azure AD Identity Protection.

Cette stratégie peut être affectée par le biais de l’accès conditionnel lui-même ou par le biais d’Azure AD Identity Protection. Les organisations doivent choisir l’une de deux options pour activer une stratégie d’accès conditionnel basé sur les risques de connexion qui nécessite un changement de mot de passe sécurisé.

Accès conditionnel basé sur les risques d’utilisateur

Microsoft travaille avec des chercheurs, les forces de l’ordre, les différentes équipes de sécurité de Microsoft et d’autres sources approuvées pour rechercher les paires nom d’utilisateur/mot de passe divulguées. Les organisations disposant des licences Azure AD Premium P2 peuvent créer des stratégies d’accès conditionnel incorporant des détections de risques des utilisateurs Azure AD Identity Protection.

À l’instar de l’accès conditionnel basé sur les risques, cette stratégie peut être affectée par le biais de l’accès conditionnel lui-même ou par le biais d’Azure AD Identity Protection.

Sécurisation de l’inscription des informations de sécurité

La sécurisation de l’inscription des utilisateurs à Azure AD Multi-Factor Authentication et à la réinitialisation de mot de passe en libre-service est désormais possible avec les actions de l’utilisateur dans la stratégie d’accès conditionnel. Cette fonctionnalité en préversion est à la disposition des organisations qui ont activé l’inscription combinée. Cette fonctionnalité peut être activée dans les organisations qui souhaitent utiliser des conditions telles qu’un emplacement réseau approuvé afin de limiter l’accès pour s’inscrire à Azure AD Multi-Factor Authentication et à la réinitialisation de mot de passe en libre-service (SSPR).

Créer une stratégie pour exiger l’inscription à partir d’un emplacement approuvé

La stratégie suivante s’applique à tous les utilisateurs sélectionnés qui tentent de s’inscrire à l’aide de l’expérience d’inscription combinée ; elle leur bloque l’accès sauf s’ils se connectent à partir d’un emplacement réseau approuvé.

  1. Dans le portail Azure, accédez à Azure Active Directory, Sécurité, puis Accès conditionnel.
  2. Sélectionnez Nouvelle stratégie.
  3. Dans Nom, entrez un nom pour cette stratégie. Par exemple, Inscription d’informations de sécurité combinée sur les réseaux approuvés.
  4. Sous Affectations, sélectionnez Utilisateurs et groupes, puis sélectionnez les utilisateurs et les groupes auxquels vous souhaitez appliquer cette stratégie.
    1. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
    2. Sélectionnez Terminé.
  5. Sous Applications cloud ou actions, sélectionnez Actions utilisateur, cochez Inscrire des informations de sécurité.
  6. Sous Conditions, sélectionnez Emplacements.
    1. Configurez Oui.
    2. Incluez N’importe quel emplacement.
    3. Excluez Tous les emplacements approuvés.
    4. Sélectionnez Terminé dans l’écran Emplacements.
    5. Sélectionnez Terminé dans l’écran Conditions.
  7. Sous Conditions, dans Applications clientes (préversion), affectez à Configurer la valeur Oui, puis sélectionnez Terminé.
  8. Sous Contrôles d’accès, sélectionnez Accorder.
    1. Sélectionnez Bloquer l’accès.
    2. Utilisez ensuite l’option Sélectionner.
  9. Définissez l’option Appliquer la stratégie sur Activé.
  10. Ensuite, sélectionnez Enregistrer.

À l’étape 6 de cette stratégie, les organisations ont la possibilité d’effectuer des choix. La stratégie ci-dessus requiert l’inscription à partir d’un emplacement réseau approuvé. Les organisations peuvent choisir d’utiliser les conditions disponibles à la place des Emplacements. N'oubliez pas que cette stratégie est une stratégie de blocage, donc tout ce qui est inclus est bloqué.

Certains peuvent choisir d’utiliser l’état de l’appareil au lieu de l’emplacement à l’étape 6 ci-dessus :

  1. Sous Conditions, sélectionnez État de l’appareil (version préliminaire).
  2. Configurez Oui.
  3. Incluez Tous les états d'appareils.
  4. Excluez Appareil joint à une version Azure AD Hybride et/ou Appareil marqué comme conforme.
  5. Sélectionnez Terminé dans l’écran Emplacements.
  6. Sélectionnez Terminé dans l’écran Conditions.

Bloquer l’accès par emplacement

Avec la condition d’emplacement dans l’accès conditionnel, vous pouvez contrôler l’accès à vos applications cloud basées sur l’emplacement réseau d’un utilisateur. La condition d’emplacement est couramment utilisée pour bloquer l’accès à partir des pays/régions d’où votre organisation sait que le trafic ne doit pas provenir.

Définir des emplacements

  1. Connectez-vous au portail Azure en tant qu’administrateur général, administrateur de sécurité ou administrateur de l’accès conditionnel.

  2. Accédez à Azure Active Directory, Sécurité, Accès conditionnel, puis Emplacements nommés.

  3. Choisissez Nouvel emplacement.

  4. Donnez un nom à votre emplacement.

  5. Choisissez Plages d’adresses IP si vous connaissez les plages d’adresses IPv4 accessibles de l’extérieur qui composent cet emplacement ou ces pays/régions.

    1. Fournissez les plages d’adresses IP ou sélectionnez Pays/régions pour l’emplacement que vous spécifiez.
    • Si vous choisissez Pays/régions, vous pouvez éventuellement choisir d’inclure les zones inconnues.
  6. Choisissez Enregistrer.

Créer une stratégie d’accès conditionnel

  1. Connectez-vous au portail Azure en tant qu’administrateur général, administrateur de sécurité ou administrateur de l’accès conditionnel.
  2. Accédez à Azure Active Directory, Sécurité, puis Accès conditionnel.
  3. Sélectionnez Nouvelle stratégie.
  4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
  5. Sous Affectations, sélectionnez Utilisateurs et groupes.
    1. Sous Inclure, sélectionnez Tous les utilisateurs.
    2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
    3. Sélectionnez Terminé.
  6. Sous Applications cloud ou actions, sélectionnez Inclure, puis Toutes les applications cloud.
  7. Sous Conditions, puis Emplacement.
    1. Définissez Configurer sur Oui.
    2. Sous Inclure, sélectionnez Emplacements sélectionnés.
    3. Sélectionnez l’emplacement bloqué que vous avez créé pour votre organisation.
    4. Choisissez Sélectionner.
  8. Sous Contrôles d'accès, sélectionnez Bloquer l’accès, puis Sélectionner.
  9. Confirmez vos paramètres et réglez Activer la stratégie sur Activé.
  10. Sélectionnez Créer pour appliquer la stratégie d’accès conditionnel.

Exiger un appareil conforme

Les organisations qui ont déployé Microsoft Intune peuvent utiliser les informations retournées par leurs appareils pour identifier les appareils qui répondent aux exigences de conformité, par exemple :

  • Exiger un code PIN pour le déverrouillage.
  • Exiger le chiffrement de l’appareil.
  • Exiger une version minimale ou maximale du système d’exploitation.
  • Exiger qu’un appareil ne soit ni jailbroken ni rooté.

Ces informations de conformité de la stratégie sont transmises à Azure AD, où l’accès conditionnel peut prendre des décisions pour accorder ou bloquer l’accès aux ressources.

Créer une stratégie d’accès conditionnel

Les étapes suivantes vous aideront à créer une stratégie d’accès conditionnel pour exiger que les appareils qui accèdent aux ressources soient marqués comme conformes aux stratégies de conformité Intune de votre organisation.

  1. Connectez-vous au portail Azure en tant qu’administrateur général, administrateur de sécurité ou administrateur de l’accès conditionnel.

  2. Accédez à Azure Active Directory, Sécurité, puis Accès conditionnel.

  3. Sélectionnez Nouvelle stratégie.

  4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.

  5. Sous Affectations, sélectionnez Utilisateurs et groupes.

    1. Sous Inclure, sélectionnez Tous les utilisateurs.
    2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
    3. Sélectionnez Terminé.
  6. Sous Applications cloud ou actions, sélectionnez Inclure, puis Toutes les applications cloud.

    1. Si vous devez exclure des applications spécifiques de votre stratégie, vous pouvez les choisir dans l'onglet Exclure sous Sélectionner les applications cloud exclues, puis choisir Sélectionner.
    2. Sélectionnez Terminé.
  7. Sous Conditions, Applications clientes (préversion), puis Sélectionner les applications clientes auxquelles cette stratégie s’applique, laissez toutes les valeurs par défaut sélectionnées, puis sélectionnez Terminé.

  8. Sous Contrôles d’accès, puis Octroyer, sélectionnez Exiger que l’appareil soit marqué comme conforme.

    1. Sélectionnez Sélectionner.
  9. Confirmez vos paramètres et réglez Activer la stratégie sur Activé.

  10. Sélectionnez Créer pour créer votre stratégie.

    Notes

    Vous pouvez inscrire vos nouveaux appareils auprès d’Intune même si vous sélectionnez Exiger que l’appareil soit marqué comme conforme pour Tous les utilisateurs et Toutes les applications Cloud en procédant de la manière d’écrite ci-dessus. Le contrôle Exiger que l’appareil soit marqué comme conforme ne bloque pas l’inscription auprès d’Intune.

Comportement connu

Sur des systèmes Windows 7, iOS, Android, macOS, et dans certains navigateurs web tiers, Azure AD identifie l’appareil à l’aide d’un certificat client, qui est approvisionné lorsque l’appareil est inscrit auprès d’Azure AD. Lorsqu’un utilisateur se connecte pour la première fois via le navigateur, l’utilisateur est invité à sélectionner le certificat. L’utilisateur final doit sélectionner ce certificat pour pouvoir continuer à utiliser le navigateur.

Bloquer l’accès

Pour les organisations utilisant une approche de migration vers le cloud conservatrice, la stratégie Bloquer tout est une option possible.

Avertissement

Une mauvaise configuration de stratégie de blocage peut entraîner l’exclusion des organisations du portail Azure.

Ce type de stratégie peut avoir des effets secondaires imprévus. Des opérations appropriées de test et de validation sont essentielles avant l’activation. Les administrateurs doivent utiliser des outils tels que le mode rapport uniquement d’accès conditionnel et l’outil What If dans l’accès conditionnel.

Exclusions d’utilisateurs

Les stratégies d’accès conditionnel sont des outils puissants. Nous vous recommandons d’exclure les comptes suivants de votre stratégie :

  • Comptes d’accès d’urgence ou de secours pour empêcher le verrouillage du compte sur l’ensemble du locataire. Dans le scénario improbable où tous les administrateurs seraient verrouillés hors de votre locataire, votre compte administratif d’accès d’urgence peut être utilisé pour vous connecter au locataire et prendre les mesures nécessaires pour récupérer l’accès.

  • Les comptes de service et les principaux de service, comme le compte de synchronisation Azure AD Connect. Les comptes de service sont des comptes non interactifs qui ne sont pas liés à un utilisateur particulier. Ils sont généralement utilisés par les services principaux autorisant l’accès par programme aux applications, mais ils sont également utilisés pour se connecter aux systèmes à des fins administratives. Les comptes de service comme ceux-ci doivent être exclus, car l’authentification MFA ne peut pas être effectuée par programme. Les appels effectués par les principaux de service ne sont pas bloqués par l’accès conditionnel.

    • Si votre organisation utilise ces comptes dans des scripts ou du code, envisagez de les remplacer par des identités managées. Pour contourner provisoirement le problème, vous pouvez exclure ces comptes spécifiques de la stratégie de base.

Conditions d’utilisation de l’accès conditionnel

capture d’écran de la boîte de dialogue Identity Governance dans laquelle créer des conditions d’utilisation pour vos solutions cloud.

Vous pouvez créer des conditions d’utilisation (TOU) pour votre site dans les outils de gouvernance des identités (Identity Governance). Lancez l’application de gouvernance des identités et choisissez Conditions d’utilisation dans le menu. Vous devez fournir un fichier PDF avec les conditions pour l’utilisateur. Vous pouvez configurer plusieurs règles, comme lorsque le délai d’expiration des conditions ou la nécessité pour l’utilisateur de les ouvrir avant de les accepter. Une fois qu’une règle est créée, vous pouvez élaborer une règle conditionnelle personnalisée directement dans la gouvernance de l’identité. Vous pouvez également enregistrer les conditions et utiliser l’Accès conditionnel dans Azure AD. Pour créer des conditions d’utilisation, vous renseignez la boîte de dialogue ci-dessus.

Capture d’écran de la page de configuration de l’accès conditionnel Azure AD, montrant comment ajouter des règles de conditions d’utilisation pour pouvoir accéder aux ressources.

La liaison du consentement (accepter les conditions d’utilisation avant l’accès) et l’accès conditionnel prennent de plus en plus d’ampleur. Les organisations ont la possibilité de contraindre un utilisateur à accepter les conditions d’utilisation. En outre, les organisations peuvent faire expirer le consentement donné, ou modifier les conditions d’utilisation et redemander l’accord de l’utilisateur.

Si vous souhaitez obtenir le consentement des utilisateurs avant qu’ils ne puissent accéder à certaines applications cloud de votre environnement, vous pouvez demander à ce qu’ils acceptent vos conditions d’utilisation. L’accès conditionnel Azure Active Directory (Azure AD) vous offre les avantages suivants :

  • Une méthode simple pour configurer les conditions d’utilisation
  • La possibilité d’exiger l’acceptation de vos conditions d’utilisation à l’aide d’une stratégie d’accès conditionnel