Partager via


Gérer les risques avec le contrôle d’accès conditionnel

Concepts clés : contrôle d’accès conditionnel dans AD FS

La fonction globale des services AD FS consiste à émettre un jeton d’accès qui contient un ensemble de revendications. La décision concernant les revendications acceptées, puis émises par AD FS est gouvernée par les règles de revendication.

Le contrôle d’accès dans AD FS est implémenté avec des règles de revendication d’autorisation d’émission qui permettent d’émettre des revendications d’autorisation ou de refus qui déterminent si un utilisateur ou un groupe d’utilisateurs est autorisé ou non à accéder à des ressources sécurisées par AD FS. Les règles d’autorisation ne peuvent être définies que sur des approbations de partie de confiance.

Option de règle Logique de règle
Autoriser tous les utilisateurs Si le type de revendication entrante est égal à tout type de revendication et que la valeur est égale à toute valeur, la revendication émise avec la valeur est égale à Autoriser
Autoriser l’accès aux utilisateurs avec cette revendication entrante Si le type de revendication entrante est égal à type de revendication spécifié et que la valeur est égale à valeur de revendication spécifiée, la revendication émise avec la valeur est égale à Autoriser
Refuser l’accès aux utilisateurs avec cette revendication entrante Si le type de revendication entrante est égal à type de revendication spécifié et que la valeur est égale à valeur de revendication spécifiée, la revendication émise avec la valeur est égale àRefuser

Pour plus d’informations sur ces options et logique de règle, voir Quand utiliser une règle de revendication d’autorisation.

Dans AD FS dans Windows Server 2012 R2, le contrôle d'accès a été amélioré avec plusieurs facteurs, notamment les données d'authentification, d'emplacement, d'appareil et d'utilisateur. Cela est possible grâce à une plus grande diversité de types de revendication disponibles pour les règles de revendication d’autorisation. Autrement dit, dans AD FS dans Windows Server 2012 R2, vous pouvez appliquer le contrôle d’accès conditionnel en fonction de l’identité de l’utilisateur ou de l’appartenance à un groupe, de l’emplacement réseau, de l’appareil (pour savoir s’il est rattaché à un espace de travail, voir Rejoindre un espace de travail à partir d’un appareil pour l’authentification unique et l’authentification à deux facteurs transparente entre les applications d’entreprise), et de l’état d’authentification (si l’authentification multifacteur a été ou non effectuée).

Le contrôle d’accès conditionnel dans AD FS dans Windows Server 2012 R2 offre les avantages suivants :

  • Stratégies d’autorisation par application souples et expressives, par lesquelles vous pouvez autoriser ou refuser l’accès selon l’utilisateur, l’appareil, l’emplacement réseau et l’état d’authentification

  • Création de règles d’autorisation d’émission pour les applications de partie de confiance

  • Expérience de l’interface utilisateur améliorée pour les scénarios de contrôle d’accès conditionnel courants

  • Langage des revendications riche et prise en charge de Windows PowerShell pour les scénarios de contrôle d’accès conditionnel avancés

  • Messages « Accès refusé » personnalisés (par application de partie de confiance). Pour plus d’informations, consultez Personnalisation des pages de connexion AD FS. En étant en mesure de personnaliser ces messages, vous pouvez expliquer pourquoi l’accès est refusé à un utilisateur et également faciliter la mise à jour libre-service lorsque cela est possible, par exemple demander aux utilisateurs de rattacher leurs appareils à l’espace de travail. Pour plus d'informations, voir Join to Workplace from Any Device for SSO and Seamless Second Factor Authentication Across Company Applications.

Le tableau suivant répertorie tous les types de revendications disponibles dans AD FS dans Windows Server 2012 R2 à utiliser pour l’implémentation du contrôle d’accès conditionnel.

Type de revendication Description
Adresse de messagerie Adresse e-mail de l’utilisateur.
Prénom Prénom de l’utilisateur.
Nom Nom unique de l’utilisateur.
UPN Nom d’utilisateur principal (UPN) de l’utilisateur.
Nom commun Nom commun de l’utilisateur.
Adresse de messagerie AD FS 1.x Adresse de messagerie de l’utilisateur lorsqu’il interagit avec AD FS 1.1 ou AD FS 1.0.
Groupe Groupe auquel appartient l’utilisateur.
UPN AD FS 1.x UPN de l’utilisateur lorsqu’il interagit avec AD FS 1.1 ou AD FS 1.0.
Rôle Un rôle de l’utilisateur.
Surname Nom de l’utilisateur.
PPID Identificateur privé de l’utilisateur.
ID de nom Identificateur de nom SAML de l’utilisateur.
Horodatage de l’authentification Permet d’afficher l’heure et la date auxquelles l’utilisateur a été authentifié.
Méthode d'authentification Méthode qui permet d’authentifier l’utilisateur.
SID de groupe en refus seul SID de groupe en refus seul de l’utilisateur.
SID principal en refus seul SID principal en refus seul de l’utilisateur.
SID de groupe principal en refus seul SID de groupe principal en refus seul de l’utilisateur.
SID de groupe SID de groupe de l’utilisateur.
SID de groupe principal SID de groupe principal de l’utilisateur.
SID principal SID principal de l’utilisateur.
Nom de compte Windows Nom du compte de domaine de l’utilisateur sous la forme domaine\utilisateur.
Est un utilisateur inscrit L’utilisateur a été inscrit pour utiliser cet appareil.
Identificateur de l’appareil Identificateur de l’appareil.
Identificateur d’inscription de l’appareil Identificateur pour l’inscription de l’appareil.
Nom complet d’inscription d’appareil Nom complet de l’inscription de l’appareil.
Type de système d’exploitation de l’appareil Type de système d’exploitation de l’appareil.
Version du système d’exploitation de l’appareil Version du système d’exploitation de l’appareil.
Est un appareil géré L’appareil est géré par un service de gestion.
IP transférée du client Adresse IP de l’utilisateur.
Application cliente Type de l’application cliente.
Agent utilisateur du client Type d’appareil utilisé par le client pour accéder à l’application.
IP du client Adresse IP du client.
Chemin du point de terminaison Chemin absolu du point de terminaison, pouvant être utilisé pour distinguer les clients actifs des clients passifs.
Proxy Nom DNS du serveur proxy de fédération qui a transmis la demande.
Identificateur d’application Identificateur de la partie de confiance.
Stratégies d’application Stratégies d’application du certificat.
Identificateur de clé d’autorité Extension d’identificateur de clé d’autorité du certificat signataire d’un certificat émis.
Contrainte de base L’une des contraintes de base du certificat.
Utilisation améliorée de la clé Décrit l’une des principales utilisations améliorées de la clé du certificat.
Émetteur Nom de l'autorité de certification qui a émis le certificat X.509 v.3.
Nom de l’émetteur Nom unique de l’émetteur du certificat.
Utilisation de la clé L’une des utilisations de la clé du certificat.
Pas après Date après laquelle un certificat n’est plus valide, en heure locale.
Pas avant Date à laquelle un certificat devient valide, en heure locale.
Stratégies du certificat Stratégies sous lesquelles le certificat a été émis.
Clé publique Clé publique du certificat.
Données brutes du certificat Données brutes du certificat.
Autre nom de l'objet L’un des autres noms du certificat.
Numéro de série Numéro de série du certificat.
Algorithme de signature Algorithme utilisé pour créer la signature d’un certificat.
Objet Sujet du certificat.
Identificateur de la clé du sujet Identificateur de la clé du sujet du certificat.
Nom de sujet Nom unique du sujet d’un certificat.
Nom du modèle V2 Nom du modèle de certificat version 2 utilisé lors de l’émission ou du renouvellement d’un certificat. Il s’agit d’une valeur spécifique à Microsoft.
Nom du modèle V1 Nom du modèle de certificat version 1 utilisé lors de l’émission ou du renouvellement d’un certificat. Il s’agit d’une valeur spécifique à Microsoft.
Empreinte numérique Empreinte numérique du certificat.
Version X.509 Version du certificat au format X.509.
Dans le périmètre du réseau d’entreprise Permet d’indiquer si une demande provient ou non du réseau d’entreprise.
Heure d’expiration du mot de passe Permet d’afficher l’heure d’expiration du mot de passe.
Jours avant expiration du mot de passe Permet d’afficher le nombre de jours avant l’expiration du mot de passe.
Mettre à jour l’URL du mot de passe Permet d’afficher l’adresse Web du service de mise à jour du mot de passe.
Références des méthodes d’authentification Permet d’indiquer toutes les méthodes d’authentification utilisées pour authentifier l’utilisateur.

Gestion des risques avec le contrôle d’accès conditionnel

À l’aide des paramètres disponibles, il existe de nombreuses façons de gérer les risques en implémentant le contrôle d’accès conditionnel.

Scénarios courants

Par exemple, imaginons un scénario simple d’implémentation du contrôle d’accès conditionnel basé sur les données d’appartenance au groupe de l’utilisateur pour une application particulière (approbation de partie de confiance). En d’autres termes, vous pouvez configurer une règle d’autorisation d’émission sur votre serveur de fédération pour permettre aux utilisateurs qui appartiennent à un certain groupe de votre domaine Active Directory d’accéder à une application particulière sécurisée par AD FS. Les instructions pas à pas détaillées (avec l’interface utilisateur et Windows PowerShell) pour l’implémentation de ce scénario sont abordées dans Walkthrough Guide: Manage Risk with Conditional Access Control. Afin d’effectuer les étapes de cette procédure pas à pas, vous devez configurer un environnement lab et suivre les étapes dans Configuration de l’environnement lab pour AD FS dans Windows Server 2012 R2.

Scénarios avancés

Parmi les autres exemples de l’implémentation du contrôle d’accès conditionnel dans AD FS dans Windows Server 2012 R2 figurent les éléments suivants :

  • Autoriser l’accès à une application sécurisée par AD FS uniquement si l’identité de cet utilisateur a été validée avec l’authentification multifacteur

    Vous pouvez utiliser le code suivant :

    @RuleTemplate = "Authorization"
    @RuleName = "PermitAccessWithMFA"
    c:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)https://schemas\.microsoft\.com/claims/multipleauthn$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
    
    
  • Autoriser l’accès à une application sécurisée par AD FS uniquement si la demande d’accès provient d’un appareil rattaché à un espace de travail qui est inscrit auprès de l’utilisateur

    Vous pouvez utiliser le code suivant :

    @RuleTemplate = "Authorization"
    @RuleName = "PermitAccessFromRegisteredWorkplaceJoinedDevice"
    c:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
    
    
  • Autoriser l’accès à une application sécurisée par AD FS uniquement si la demande d’accès provient d’un appareil rattaché à un espace de travail qui est inscrit auprès d’un utilisateur dont l’identité a été validée avec l’authentification multifacteur

    Vous pouvez utiliser le code suivant :

    @RuleTemplate = "Authorization"
    @RuleName = "RequireMFAOnRegisteredWorkplaceJoinedDevice"
    c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] &&
    c2:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
    
    
  • Autoriser l’accès extranet à une application sécurisée par AD FS uniquement si la demande d’accès provient d’un utilisateur dont l’identité a été validée avec l’authentification multifacteur.

    Vous pouvez utiliser le code suivant :

    @RuleTemplate = "Authorization"
    @RuleName = "RequireMFAForExtranetAccess"
    c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] &&
    c2:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value =~ "^(?i)false$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
    
    

Voir aussi

Guide pas à pas : Gérer les risques avec des Access ControlConfigurer l’environnement lab pour AD FS dans Windows Server 2012 R2