Implémenter des contrôles et des affectations de stratégie d’accès conditionnel

Effectué

Visual Studio App Center prend en charge l’accès conditionnel Microsoft Entra, une fonctionnalité avancée de Microsoft Entra ID qui vous permet de spécifier des stratégies détaillées qui contrôlent les utilisateurs pouvant accéder à vos ressources. Avec l’accès conditionnel, vous pouvez protéger vos applications en limitant l’accès des utilisateurs en fonction d’éléments tels que le groupe, le type d’appareil, l’emplacement et le rôle.

Configuration de l’accès conditionnel

Il s’agit d’un guide abrégé de la configuration de l’accès conditionnel. La documentation complète est disponible dans Qu’est-ce que l’accès conditionnel ?

Dans le portail Azure, ouvrez votre locataire Active Directory, ouvrez les paramètres Sécurité, puis sélectionnez Accès conditionnel.

Dans les paramètres Accès conditionnel, sélectionnez Nouvelle stratégie pour créer une stratégie.

Capture d’écran de l’écran d’accès conditionnel Microsoft Entra, répertoriant les stratégies qui existent actuellement.

Dans les paramètres Nouvelle stratégie, sélectionnez Applications ou actions cloud, puis Visual Studio App Center comme cible de la stratégie. Sélectionnez ensuite les autres conditions que vous souhaitez appliquer, activez la stratégie, puis sélectionnez Créer pour l’enregistrer.

Capture d’écran de l’accès conditionnel Microsoft Entra : page d’applications ou d’actions pour la configuration.

Accès conditionnel basé sur les risques de connexion

La plupart des utilisateurs ont un comportement normal qui peut être suivi. Lorsqu’ils ne suivent pas cette norme, il peut être risqué de les autoriser à se connecter. Vous souhaitez bloquer ces utilisateurs ou leur demander d’effectuer une authentification multifacteur pour prouver qu’ils sont vraiment ceux qu’ils prétendent être.

Un risque de connexion reflète la probabilité qu’une requête d’authentification donnée soit rejetée par le propriétaire de l'identité. Des organisations disposant de licences Microsoft Entra ID Premium P2 peuvent créer des stratégies d’accès conditionnel englobant les détections de risques de connexion de Microsoft Entra Identity Protection.

Cette stratégie peut être affectée au moyen de l’accès conditionnel lui-même ou de Microsoft Entra Identity Protection. Les organisations doivent choisir l’une de deux options pour activer une stratégie d’accès conditionnel basé sur les risques de connexion qui nécessite un changement de mot de passe sécurisé.

Accès conditionnel basé sur les risques d’utilisateur

Microsoft travaille avec des chercheurs, les forces de l’ordre, les différentes équipes de sécurité de Microsoft et d’autres sources approuvées pour rechercher les paires nom d’utilisateur/mot de passe divulguées. Des organisations disposant des licences Microsoft Entra ID Premium P2 peuvent créer des stratégies d’accès conditionnel englobant des détections de risques pour des utilisateurs Microsoft Entra Identity Protection.

À l’instar de l’accès conditionnel basé sur les risques de connexion, cette stratégie peut être affectée au moyen de l’accès conditionnel lui-même ou de Microsoft Entra Identity Protection.

Sécurisation de l’inscription des informations de sécurité

La sécurisation de l’inscription des utilisateurs pour l’authentification multifacteur et la réinitialisation de mot de passe en libre-service est désormais possible avec des actions de l’utilisateur dans une stratégie d’accès conditionnel. Cette fonctionnalité en préversion est à la disposition des organisations qui ont activé l’inscription combinée. Cette fonctionnalité peut être activée dans des organisations aux emplacements où elles souhaitent utiliser des conditions, telles qu’un emplacement réseau approuvé, afin de limiter l’accès, pour s’inscrire à l’authentification multifacteur et à la réinitialisation de mot de passe en libre-service (SSPR).

Créer une stratégie pour exiger l’inscription à partir d’un emplacement approuvé

La stratégie suivante s’applique à tous les utilisateurs sélectionnés qui tentent de s’inscrire à l’aide de l’expérience d’inscription combinée ; elle leur bloque l’accès sauf s’ils se connectent à partir d’un emplacement réseau approuvé.

  1. Dans le Centre d’administration Microsoft Entra, accédez à Identité, Protection, puis à l’Accès conditionnel.

  2. Sélectionnez + Créer une nouvelle stratégie.

  3. Dans Nom, entrez un nom pour cette stratégie. Par exemple, Inscription d’informations de sécurité combinée sur les réseaux approuvés.

  4. Sous Affectations, sélectionnez Utilisateurs et groupes, puis sélectionnez les utilisateurs et les groupes auxquels vous souhaitez appliquer cette stratégie.

    1. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
    2. Sélectionnez Terminé.
  5. Sous Applications cloud ou actions, sélectionnez Actions utilisateur, cochez Inscrire des informations de sécurité.

  6. Sous Conditions, sélectionnez Emplacements.

    1. Configurez Oui.
    2. Incluez N’importe quel emplacement.
    3. Excluez Tous les emplacements approuvés.
    4. Sélectionnez Terminé dans l’écran Emplacements.
    5. Sélectionnez Terminé dans l’écran Conditions.
  7. Sous Conditions, dans Applications clientes (préversion), affectez à Configurer la valeur Oui, puis sélectionnez Terminé.

  8. Sous Contrôles d’accès, sélectionnez Accorder.

    1. Sélectionnez Bloquer l’accès.
    2. Utilisez ensuite l’option Sélectionner.
  9. Définissez l’option Appliquer la stratégie sur Activé.

  10. Ensuite, sélectionnez Enregistrer.

À l’étape 6 de cette stratégie, les organisations ont la possibilité d’effectuer des choix. La stratégie ci-dessus requiert l’inscription à partir d’un emplacement réseau approuvé. Les organisations peuvent choisir d’utiliser les conditions disponibles à la place des Emplacements. N'oubliez pas que cette stratégie est une stratégie de blocage, donc tout ce qui est inclus est bloqué.

Vous pouvez choisir d’utiliser l’état de l’appareil au lieu de l’emplacement à l’étape 6 ci-dessus :

  1. Sous Conditions, sélectionnez État de l’appareil (version préliminaire).
  2. Configurez Oui.
  3. Incluez Tous les états d'appareils.
  4. Excluez un Appareil à jointure hybride Microsoft Entra et/ou un Appareil marqué comme conforme.
  5. Sélectionnez Terminé dans l’écran Emplacements.
  6. Sélectionnez Terminé dans l’écran Conditions.

Bloquer l’accès par emplacement

Avec la condition d’emplacement dans l’accès conditionnel, vous pouvez contrôler l’accès à vos applications cloud basées sur l’emplacement réseau d’un utilisateur. La condition d’emplacement est couramment utilisée pour bloquer l’accès à partir des pays/régions d’où votre organisation sait que le trafic ne doit pas provenir.

Définir des emplacements

  1. Connectez-vous au portail d’administration Microsoft Entra en tant qu’administrateur général, administrateur de la sécurité ou administrateur de l’accès conditionnel.

  2. Accédez à Identité, Protection, puis Accès conditionnel et Emplacements nommés.

  3. Choisissez Nouvel emplacement.

  4. Donnez un nom à votre emplacement.

  5. Choisissez Plages d’adresses IP si vous connaissez les plages d’adresses IPv4 accessibles de l’extérieur qui composent cet emplacement ou ces pays/régions.

    1. Fournissez les plages d’adresses IP ou sélectionnez Pays/régions pour l’emplacement que vous spécifiez.
    • Si vous choisissez Pays/régions, vous pouvez éventuellement choisir d’inclure les zones inconnues.
  6. Choisissez Enregistrer.

Créer une stratégie d’accès conditionnel

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur général, administrateur de la sécurité ou administrateur de l’accès conditionnel.

  2. Accédez à Identity, puis Protection, enfin à Accès conditionnel.

  3. Sélectionnez + Créer une nouvelle stratégie.

  4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.

  5. Sous Affectations, sélectionnez Utilisateurs et groupes.

    1. Sous Inclure, sélectionnez Tous les utilisateurs.
    2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
    3. Sélectionnez Terminé.
  6. Sous Applications cloud ou actions, sélectionnez Inclure, puis Toutes les applications cloud.

  7. Sous Conditions, puis Emplacement.

    1. Définissez Configurer sur Oui.
    2. Sous Inclure, sélectionnez Emplacements sélectionnés.
    3. Sélectionnez l’emplacement bloqué que vous avez créé pour votre organisation.
    4. Choisissez Sélectionner.
  8. Sous Contrôles d'accès, sélectionnez Bloquer l’accès, puis Sélectionner.

  9. Confirmez vos paramètres et réglez Activer la stratégie sur Activé.

  10. Sélectionnez Créer pour appliquer la stratégie d’accès conditionnel.

Exiger un appareil conforme

Les organisations qui ont déployé Microsoft Intune peuvent utiliser les informations retournées par leurs appareils pour identifier les appareils qui répondent aux exigences de conformité, par exemple :

  • Exiger un code PIN pour le déverrouillage.
  • Exiger le chiffrement de l’appareil.
  • Exiger une version minimale ou maximale du système d’exploitation.
  • Exiger qu’un appareil ne soit ni jailbroken ni rooté.

Ces informations de conformité de la stratégie sont transmises à Microsoft Entra ID où l’accès conditionnel peut prendre des décisions pour accorder ou bloquer l’accès aux ressources.

Créer une stratégie d’accès conditionnel

Les étapes suivantes vous aideront à créer une stratégie d’accès conditionnel pour exiger que les appareils qui accèdent aux ressources soient marqués comme conformes aux stratégies de conformité Intune de votre organisation.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur général, administrateur de la sécurité ou administrateur de l’accès conditionnel.

  2. Accédez à Identity, puis Protection, enfin à Accès conditionnel.

  3. Sélectionnez + Créer une nouvelle stratégie.

  4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.

  5. Sous Affectations, sélectionnez Utilisateurs et groupes.

    1. Sous Inclure, sélectionnez Tous les utilisateurs.
    2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
    3. Sélectionnez Terminé.
  6. Sous Applications cloud ou actions, sélectionnez Inclure, puis Toutes les applications cloud.

    1. Si vous devez exclure des applications spécifiques de votre stratégie, vous pouvez les choisir dans l'onglet Exclure sous Sélectionner les applications cloud exclues, puis choisir Sélectionner.
    2. Sélectionnez Terminé.
  7. Sous Conditions, Applications clientes (préversion), puis Sélectionner les applications clientes auxquelles cette stratégie s’applique, laissez toutes les valeurs par défaut sélectionnées, puis sélectionnez Terminé.

  8. Sous Contrôles d’accès, puis Octroyer, sélectionnez Exiger que l’appareil soit marqué comme conforme.

    1. Sélectionnez Sélectionner.
  9. Confirmez vos paramètres et réglez Activer la stratégie sur Activé.

  10. Sélectionnez Créer pour créer votre stratégie.

    Notes

    Vous pouvez inscrire vos nouveaux appareils auprès d’Intune même si vous sélectionnez Exiger que l’appareil soit marqué comme conforme pour Tous les utilisateurs et Toutes les applications Cloud en procédant de la manière d’écrite ci-dessus. Le contrôle Exiger que l’appareil soit marqué comme conforme ne bloque pas l’inscription auprès d’Intune.

Comportement connu

Sur Windows 7, iOS, Android, macOS et certains navigateurs web tiers, Microsoft Entra ID identifie l’appareil à l’aide d’un certificat client provisionné lorsque l’appareil est inscrit auprès de Microsoft Entra ID. Lorsqu’un utilisateur se connecte pour la première fois via le navigateur, l’utilisateur est invité à sélectionner le certificat. L’utilisateur final doit sélectionner ce certificat pour pouvoir continuer à utiliser le navigateur.

Bloquer l’accès

Pour les organisations utilisant une approche de migration vers le cloud conservatrice, la stratégie Bloquer tout est une option possible.

Avertissement

Une mauvaise configuration de stratégie de blocage peut entraîner l’exclusion des organisations du portail Azure.

Ce type de stratégie peut avoir des effets secondaires imprévus. Des opérations appropriées de test et de validation sont essentielles avant l’activation. Les administrateurs doivent utiliser des outils tels que le mode rapport uniquement d’accès conditionnel et l’outil What If dans l’accès conditionnel.

Exclusions d’utilisateurs

Les stratégies d’accès conditionnel sont des outils puissants. Nous vous recommandons d’exclure les comptes suivants de votre stratégie :

  • Comptes d’accès d’urgence ou de secours pour empêcher le verrouillage du compte sur l’ensemble du locataire. Dans le scénario improbable où tous les administrateurs seraient verrouillés hors de votre locataire, votre compte administratif d’accès d’urgence peut être utilisé pour vous connecter au locataire et prendre les mesures nécessaires pour récupérer l’accès.

  • Comptes de service et principaux de service, tels que le compte de synchronisation Microsoft Entra Connect. Les comptes de service sont des comptes non interactifs qui ne sont pas liés à un utilisateur particulier. Ils sont généralement utilisés par les services principaux autorisant l’accès par programme aux applications, mais ils sont également utilisés pour se connecter aux systèmes à des fins administratives. Les comptes de service comme ceux-ci doivent être exclus, car l’authentification MFA ne peut pas être effectuée par programme. Les appels effectués par les principaux de service ne sont pas bloqués par l’accès conditionnel.

    • Si votre organisation utilise ces comptes dans des scripts ou du code, envisagez de les remplacer par des identités managées. Pour contourner provisoirement le problème, vous pouvez exclure ces comptes spécifiques de la stratégie de base.

Conditions d’utilisation de l’accès conditionnel

capture d’écran de la boîte de dialogue Identity Governance dans laquelle créer des conditions d’utilisation pour vos solutions cloud.

Vous pouvez créer des conditions d’utilisation (TOU) pour votre site dans les outils de gouvernance des identités (Identity Governance). Lancez l’application de gouvernance des identités et choisissez Conditions d’utilisation dans le menu. Vous devez fournir un fichier PDF avec les conditions pour l’utilisateur. Vous pouvez configurer plusieurs règles, comme lorsque le délai d’expiration des conditions ou la nécessité pour l’utilisateur de les ouvrir avant de les accepter. Une fois qu’une règle est créée, vous pouvez élaborer une règle conditionnelle personnalisée directement dans la gouvernance de l’identité. Vous pouvez également enregistrer les conditions et utiliser l’accès conditionnel dans Microsoft Entra ID. Pour créer des conditions d’utilisation, vous renseignez la boîte de dialogue ci-dessus.

Capture d’écran de la page de configuration de l’accès conditionnel Microsoft Entra qui montre comment ajouter des règles de conditions d’utilisation pour pouvoir accéder aux ressources.

La liaison du consentement (accepter les conditions d’utilisation avant l’accès) et l’accès conditionnel prennent de plus en plus d’ampleur. Les organisations ont la possibilité de contraindre un utilisateur à accepter les conditions d’utilisation. En outre, les organisations peuvent faire expirer le consentement donné, ou modifier les conditions d’utilisation et redemander l’accord de l’utilisateur.

Si vous souhaitez obtenir le consentement des utilisateurs avant qu’ils ne puissent accéder à certaines applications cloud de votre environnement, vous pouvez demander à ce qu’ils acceptent vos conditions d’utilisation. L’accès conditionnel Microsoft Entra vous fournit les éléments suivants :

  • Une méthode simple pour configurer les conditions d’utilisation
  • La possibilité d’exiger l’acceptation de vos conditions d’utilisation à l’aide d’une stratégie d’accès conditionnel