Partager via

Utiliser les stratégies d’accès conditionnel

  • Article

L’accès conditionnel est la protection du contenu réglementé dans un système en imposant la satisfaction de certains critères avant d’accorder l’accès au contenu. Les stratégies d’accès conditionnel à leur niveau le plus simple sont des instructions if-then. Si (if) un utilisateur souhaite accéder à une ressource, alors (then) il doit effectuer une action. Par exemple, un gestionnaire de paie souhaite accéder à l’application de paie et doit effectuer l’authentification multifacteur (MFA) pour ce faire.

L’accès conditionnel vous permet d’atteindre deux objectifs principaux :

  • Permettre aux utilisateurs d’être productifs partout et à tout moment.
  • Protéger les ressources de votre organisation.

En utilisant les politiques d'accès conditionnel, vous pouvez appliquer les contrôles d'accès appropriés lorsque cela est nécessaire pour assurer la sécurité de votre organisation et rester à l'écart de vos utilisateurs lorsque cela n'est pas nécessaire.

La fréquence à laquelle un utilisateur est invité à se réauthentifier dépend des paramètres de configuration de la durée de vie de la session Microsoft Entra. Bien que la mémorisation des informations d’identification soit pratique, elle peut également rendre les déploiements pour les scénarios d’entreprise utilisant des appareils personnels moins sécurisés. Pour protéger vos utilisateurs, vous pouvez vous assurer que le client demande plus fréquemment des informations d’identification d’authentification multifacteur Microsoft Entra. Vous pouvez utiliser la fréquence de connexion de l’accès conditionnel pour configurer ce comportement.

Affecter une stratégie d’accès conditionnel pour les PC cloud

Les stratégies d’accès conditionnel ne sont pas définies pour votre locataire par défaut. Vous pouvez cibler des stratégies d’autorité de certification vers l’application de première partie de PC Cloud en utilisant l’une des plateformes suivantes :

Quelle que soit la méthode utilisée, les stratégies seront appliquées sur le portail de l’utilisateur final du PC cloud et la connexion au PC cloud.

  1. Connectez-vous au Centre d’administration Microsoft Intune, sélectionnez Sécurité despoints de terminaison >Accès> conditionnelCréer une stratégie.

  2. Fournissez un nom pour votre stratégie d’accès conditionnel spécifique.

  3. Sous Utilisateurs, sélectionnez 0 utilisateurs et groupes sélectionnés.

  4. Sous l’onglet Inclure , sélectionnez Sélectionner des utilisateurs et des groupes> cochez Utilisateurs et groupes> sous Sélectionner, choisissez 0 utilisateurs et groupes sélectionnés.

  5. Dans le nouveau volet qui s’ouvre, recherchez et sélectionnez l’utilisateur ou le groupe spécifique que vous souhaitez cibler avec la stratégie d’autorité de certification, puis choisissez Sélectionner.

  6. Sous Ressources cibles, sélectionnez Aucune ressource cible sélectionnée.

  7. Sous l’onglet Inclure, choisissez Sélectionner des applications> sous Sélectionner, aucune.

  8. Dans le volet Sélectionner , recherchez et sélectionnez les applications suivantes en fonction des ressources que vous essayez de protéger :

    • Windows 365 (ID d’application 0af06dc6-e4b5-4f28-818e-e78e62d137a5). Vous pouvez également rechercher « cloud » pour trouver cette application. Cette application est utilisée lors de la récupération de la liste des ressources pour l’utilisateur et lorsque les utilisateurs lancent des actions sur leur PC cloud telles que Redémarrer.
    • Azure Virtual Desktop (ID d’application 9cdead84-a844-4324-93f2-b2e6bb768d07). Cette application peut également apparaître en tant que Windows Virtual Desktop. Cette application est utilisée pour s’authentifier auprès de la passerelle Azure Virtual Desktop pendant la connexion et lorsque le client envoie des informations de diagnostic au service.
    • Bureau à distance Microsoft (ID d’application a4a365df-50f1-4397-bc59-1a1564b8bb9c) et Connexion cloud Windows (ID d’application 270efc09-cd0d-444b-a71f-39af4910ec45). Ces applications ne sont nécessaires que lorsque vous configurez l’authentification unique dans une stratégie d’approvisionnement. Ces applications sont utilisées pour authentifier les utilisateurs sur le PC cloud.

    Il est recommandé de faire correspondre les stratégies d’accès conditionnel entre ces applications. Cela garantit que la stratégie s’applique au portail de l’utilisateur final du PC cloud, à la connexion à la passerelle et au PC cloud pour une expérience cohérente. Si vous souhaitez exclure des applications, vous devez également choisir toutes ces applications.

    Importante

    Avec l’authentification unique activée, l’authentification auprès du PC cloud utilise l’application Microsoft Remote Desktop Entra ID aujourd’hui. Une modification à venir fera passer l’authentification à l’application d’ID Entra de connexion cloud Windows . Pour garantir une transition en douceur, vous devez ajouter les deux applications d’ID Entra à vos stratégies d’autorité de certification.

    Remarque

    Si vous ne voyez pas l’application Windows Cloud Login lors de la configuration de votre stratégie d’accès conditionnel, suivez les étapes ci-dessous pour créer l’application. Vous devez disposer des autorisations Propriétaire ou Contributeur sur l’abonnement pour effectuer ces modifications :

    1. Connectez-vous au portail Azure.
    2. Sélectionnez Abonnements dans la liste des services Azure.
    3. Sélectionnez votre nom d’abonnement.
    4. Sélectionnez Fournisseurs de ressources , puis Microsoft.DesktopVirtualization.
    5. Sélectionnez Inscrire en haut.

    Une fois le fournisseur de ressources inscrit, l’application Connexion au cloud Windows apparaît dans la configuration de la stratégie d’accès conditionnel lors de la sélection des applications auxquelles appliquer la stratégie. Si vous n’utilisez pas Azure Virtual Desktop, vous pouvez annuler l’inscription du fournisseur de ressources Microsoft.DesktopVirtualization une fois que l’application De connexion au cloud Windows est disponible.

  9. Si vous souhaitez affiner votre stratégie, sous Accorder, choisissez 0 contrôles sélectionnés.

  10. Dans le volet Accorder , choisissez les options d’octroi ou de blocage d’accès que vous souhaitez appliquer à tous les objets affectés à cette stratégie >Sélectionnez.

  11. Si vous souhaitez d’abord tester votre stratégie, sous Activer la stratégie, sélectionnez Rapport uniquement. Si vous lui affectez la valeur Activé, la stratégie sera appliquée dès que vous la créerez.

  12. Sélectionnez Créer pour créer la stratégie.

Vous pouvez voir votre liste de stratégies actives et inactives dans la vue Stratégies de l’interface utilisateur de l’accès conditionnel.

Configurer la fréquence de connexion

Les stratégies de fréquence de connexion vous permettent de configurer la fréquence à laquelle les utilisateurs doivent se connecter lors de l’accès aux ressources basées sur Microsoft Entra. Cela peut vous aider à sécuriser votre environnement et est particulièrement important pour les appareils personnels, où le système d’exploitation local peut ne pas nécessiter d’authentification multifacteur ou ne pas se verrouiller automatiquement après l’inactivité. Les utilisateurs sont invités à s’authentifier uniquement lorsqu’un nouveau jeton d’accès est demandé à l’ID Microsoft Entra lors de l’accès à une ressource.

Les stratégies de fréquence de connexion entraînent un comportement différent en fonction de l’application Microsoft Entra sélectionnée :

Nom de l'application ID de l’application Comportement
Windows 365 0af06dc6-e4b5-4f28-818e-e78e62d137a5 Applique une nouvelle authentification lorsqu’un utilisateur récupère sa liste de PC cloud et quand les utilisateurs lancent des actions sur leur PC cloud telles que Redémarrer.
Azure Virtual Desktop 9cdead84-a844-4324-93f2-b2e6bb768d07 Applique la réauthentification lorsqu’un utilisateur s’authentifie auprès de la passerelle Azure Virtual Desktop pendant une connexion.
Bureau à distance Microsoft

Connexion au cloud Windows		 a4a365df-50f1-4397-bc59-1a1564b8bb9c

270efc09-cd0d-444b-a71f-39af4910ec45		 Applique la réauthentification lorsqu’un utilisateur se connecte au PC cloud quand l’authentification unique est activée.

Les deux applications doivent être configurées ensemble, car les clients passeront bientôt de l’application Bureau à distance Microsoft à l’application Windows Cloud Login pour s’authentifier auprès du PC cloud.

Pour configurer la période après laquelle un utilisateur est invité à se reconnecter :

  1. Ouvrez la stratégie que vous avez créée précédemment.
  2. Sous Session, sélectionnez 0 contrôles sélectionnés.
  3. Dans le volet Session , sélectionnez Fréquence de connexion.
  4. Sélectionnez Réauthentification périodique ou À chaque fois.
    • Si vous sélectionnez Réauthentification périodique, définissez la valeur de la période après laquelle un utilisateur est invité à se reconnecter lors de l’exécution d’une action qui nécessite un nouveau jeton d’accès, puis sélectionnez Sélectionner. Par exemple, définir la valeur sur 1 et l’unité sur Heures nécessite une authentification multifacteur si une connexion est lancée plus d’une heure après la dernière authentification utilisateur.
    • L’option Chaque fois est actuellement disponible en préversion et n’est prise en charge qu’en cas d’application aux applications Bureau à distance Microsoft et Connexion au cloud Windows lorsque l’authentification unique est activée pour vos PC cloud. Si vous sélectionnez Chaque fois, les utilisateurs sont invités à s’authentifier à nouveau lors du lancement d’une nouvelle connexion après une période de 5 à 10 minutes depuis leur dernière authentification.
  5. En bas de la page, sélectionnez Enregistrer.

Remarque

  • La réauthentification se produit uniquement lorsqu’un utilisateur doit s’authentifier auprès d’une ressource et qu’un nouveau jeton d’accès est nécessaire. Une fois la connexion établie, les utilisateurs ne sont pas invités, même si la connexion dure plus longtemps que la fréquence de connexion que vous avez configurée.
  • Les utilisateurs doivent se ré-authentifier en cas d’interruption du réseau qui force la session à être rétablie après la fréquence de connexion que vous avez configurée. Cela peut entraîner des demandes d’authentification plus fréquentes sur des réseaux instables.

Prochaines étapes

Gérer les redirections d’appareils RDP