Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans une stratégie d’accès conditionnel, les administrateurs utilisent un ou plusieurs signaux pour améliorer les décisions de stratégie.
Les administrateurs combinent plusieurs conditions pour créer des stratégies d’accès conditionnel spécifiques et affinées.
Lorsque les utilisateurs accèdent à une application sensible, les administrateurs peuvent prendre en compte plusieurs conditions dans leurs décisions d’accès, telles que :
- Informations sur les risques de Microsoft Entra ID Protection
- Emplacement réseau
- Informations sur les appareils
Risque de l’agent logiciel (aperçu)
Les administrateurs disposant d’un accès à ID Protection peuvent évaluer le risque de l’agent dans le cadre d’une stratégie d’accès conditionnel. Le risque de l’agent indique la probabilité qu’un agent soit compromis.
Utilisateur à risque
Les administrateurs disposant d’un accès à ID Protection peuvent évaluer les risques des utilisateurs dans le cadre d’une stratégie d’accès conditionnel. Le risque utilisateur indique la probabilité qu’une identité ou un compte soit compromis. En savoir plus sur le risque utilisateur dans What is risk and How to configure and enable risk policies.
Connexion à risque
Les administrateurs disposant d’un accès à ID Protection peuvent évaluer le risque de connexion dans le cadre d’une stratégie d’accès conditionnel. Le risque de connexion indique la probabilité qu’une demande d’authentification ne soit pas effectuée par le propriétaire de l’identité. Pour en savoir plus sur les risques de connexion, consultez les articles Qu'est-ce que le risque et Comment configurer et activer les politiques de risque.
Risque interne
Les administrateurs disposant d’un accès à la protection adaptative Microsoft Purview peuvent incorporer des signaux de risque de Microsoft Purview dans les décisions de stratégie d’accès conditionnel. Les risques internes prennent en compte la gouvernance de vos données, leur sécurité, ainsi que les configurations de risque et de conformité provenant de Microsoft Purview. Ces signaux sont basés sur des facteurs contextuels tels que :
- Comportement de l’utilisateur
- Les tendances historiques
- Les détections d'anomalie
Cette condition permet aux administrateurs d’utiliser des stratégies d’accès conditionnel pour prendre des mesures telles que le blocage de l’accès, la nécessité de méthodes d’authentification plus fortes ou l’acceptation des conditions d’utilisation.
Cette fonctionnalité intègre des paramètres qui répondent spécifiquement aux risques potentiels découlant d’une organisation. La configuration de l’accès conditionnel pour prendre en compte les risques internes permet aux administrateurs d’adapter les autorisations d’accès en fonction de facteurs contextuels tels que le comportement de l’utilisateur, les modèles historiques et la détection d’anomalies.
Pour plus d’informations, consultez configurer et activer une stratégie basée sur les risques internes.
Plateformes d’appareils
L’accès conditionnel identifie la plateforme d’appareil à l’aide d’informations fournies par l’appareil, telles que des chaînes d’agent utilisateur. Étant donné que les chaînes de l’agent utilisateur peuvent être modifiées, ces informations ne sont pas vérifiées. Utilisez la plate-forme d'appareils avec des stratégies de conformité des appareils Microsoft Intune ou dans le cadre d'une déclaration de blocage. Par défaut, elle s’applique à toutes les plateformes d’appareils.
L’accès conditionnel prend en charge ces plateformes d’appareils :
- Android
- Ios
- Fenêtres
- macOS
- Linux
Si vous bloquez l’authentification héritée à l’aide de la condition Autres clients, vous pouvez également définir la condition de plateforme de l’appareil.
La sélection de plateformes d’appareils macOS ou Linux n’est pas prise en charge lorsque vous sélectionnez Exiger une application cliente approuvée ou exiger une stratégie de protection des applications comme seul contrôle d’octroi, ou lorsque vous sélectionnez Exiger tous les contrôles sélectionnés.
Importante
Microsoft recommande de créer une stratégie d’accès conditionnel pour les plateformes d’appareils non prises en charge. Par exemple, pour bloquer l’accès aux ressources d’entreprise à partir de Chrome OS ou d’autres clients non pris en charge, configurez une stratégie avec une condition de plateformes d’appareils qui inclut n’importe quel appareil, exclut les plateformes d’appareils prises en charge et définit le contrôle Autoriser à Bloquer l’accès.
Emplacements
Le critère des emplacements a été déplacé.
Applications clientes
Par défaut, toutes les stratégies d'accès conditionnel nouvellement créées s'appliquent à tous les types d'applications clientes, même si la condition des applications clientes n'est pas configurée.
Note
Le comportement de la condition des applications clientes a été mis à jour en août 2020. Si vous avez des stratégies d’accès conditionnel existantes, elles restent inchangées. Toutefois, si vous sélectionnez une stratégie existante, le bouton bascule Configurer est supprimé et les applications clientes auxquelles la stratégie s’applique sont sélectionnées.
Importante
Les connexions à partir des clients d'authentification hérités ne prennent pas en charge l'authentification multifacteur (MFA) ni ne transmettent d'informations relatives à l'état de l'appareil. Elles sont donc bloquées par les contrôles d'octroi d'accès conditionnel, comme le fait d'exiger MFA ou des appareils conformes. Si vous avez des comptes qui doivent utiliser l’authentification héritée, vous devez exclure ces comptes de la stratégie ou configurer la stratégie pour qu’elle s’applique uniquement aux clients d’authentification modernes.
Lorsqu’il est réglé sur Oui, le bouton bascule Configuration s’applique aux éléments cochés, tandis que lorsqu’il est réglé sur Non, il s’applique à toutes les applications clientes, y compris les clients d’authentification modernes et hérités. Ce bouton bascule n’apparaît pas dans les stratégies créées avant août 2020.
- Clients d'authentification moderne
- Navigateur
- Ces clients incluent des applications web qui utilisent des protocoles tels que SAML, WS-Federation, OpenID Connect ou des services inscrits en tant que client confidentiel OAuth.
- Applications mobiles et clients de bureau
- Cette option inclut les applications comme les applications de bureau et de téléphone Office.
- Navigateur
- Clients d'authentification hérités
- Clients Exchange ActiveSync
- Cette sélection inclut toute utilisation du protocole EAS (Exchange ActiveSync). Lorsque la stratégie bloque l’utilisation d’Exchange ActiveSync, l’utilisateur affecté reçoit un e-mail de quarantaine unique. Cet e-mail fournit des informations sur la raison pour laquelle ils sont bloqués et inclut des instructions de correction si possible.
- Les administrateurs peuvent appliquer une stratégie uniquement aux plateformes prises en charge (par exemple, iOS, Android et Windows) via l’API Microsoft Graph d’accès conditionnel.
- Autres clients
- Cette option inclut les clients qui utilisent des protocoles d’authentification de base/hérités qui ne prennent pas en charge l’authentification moderne.
- SMTP : utilisé par les clients POP et IMAP pour envoyer des e-mails.
- Découverte automatique : utilisé par les clients Outlook et EAS pour rechercher des boîtes aux lettres dans Exchange Online et s’y connecter.
- Exchange Online PowerShell : utilisé pour se connecter à Exchange Online à l’aide de PowerShell à distance. Si vous bloquez l’authentification de base pour Exchange Online PowerShell, vous devez utiliser le module Exchange Online PowerShell pour vous connecter. Pour obtenir des instructions, consultez Se connecter à Exchange Online PowerShell à l’aide de l’authentification multifacteur.
- Services Web Exchange (EWS) : interface de programmation utilisée par Outlook, Outlook pour Mac et les applications non-Microsoft.
- IMAP4 : utilisé par les clients de messagerie IMAP.
- MAPI sur HTTP (MAPI/HTTP) : utilisé par Outlook 2010 et versions ultérieures.
- Carnet d’adresses hors connexion (OAB) : copie des collections de listes d’adresses qui sont téléchargées et utilisées par Outlook.
- Outlook Anywhere (RPC sur HTTP) : utilisé par Outlook 2016 et antérieur.
- Service Outlook : utilisé par l’application Courrier et calendrier pour Windows 10.
- POP3 : utilisé par les clients de messagerie POP.
- Reporting Web Services : utilisé pour récupérer des données de rapports dans Exchange Online.
- Cette option inclut les clients qui utilisent des protocoles d’authentification de base/hérités qui ne prennent pas en charge l’authentification moderne.
- Clients Exchange ActiveSync
Ces conditions sont couramment utilisées pour :
- Exiger un appareil géré.
- Bloquer l’authentification héritée
- Bloquer les applications web, mais autoriser les applications mobiles ou de bureau
Navigateurs pris en charge
Ce paramètre fonctionne avec tous les navigateurs. Toutefois, pour satisfaire à une stratégie d’appareil, telle qu’une exigence d’appareil conforme, les systèmes d’exploitation et navigateurs suivants sont pris en charge. Les systèmes d'exploitation et navigateurs qui ne sont pas pris en charge par le support standard ne sont pas répertoriés dans cette liste :
| Systèmes d'exploitation | Navigateurs |
|---|---|
| Windows 10 + | Microsoft Edge, Chrome, Firefox 91+ |
| Windows Server 2025 | Microsoft Edge, Chrome |
| Windows Server 2022 | Microsoft Edge, Chrome |
| Windows Server 2019 | Microsoft Edge, Chrome |
| Ios | Microsoft Edge, Safari (voir les notes) |
| Android | Microsoft Edge, Chrome |
| macOS | Microsoft Edge, Chrome, Firefox 133+, Safari |
| Appareil de bureau Linux | Microsoft Edge |
Ces navigateurs prennent en charge l’authentification des appareils, ce qui permet de les identifier et de les valider par rapport à une stratégie. La vérification de l’appareil se solde par un échec si le navigateur s’exécute en mode privé, ou si les cookies sont désactivés.
Note
Microsoft Edge 85+ exige que l’utilisateur soit connecté au navigateur pour transmettre correctement l’identité de l’appareil. Sinon, il se comporte comme Chrome sans l'extension Authentification unique Microsoft. Cette connexion peut ne pas se produire automatiquement dans un scénario de jonction d'appareils hybrides.
Safari est pris en charge pour un accès conditionnel basé sur appareil à condition d'être sur un appareil géré, mais ne peut pas satisfaire aux conditions Exiger une application cliente approuvée et Exiger une stratégie de protection des applications. Un navigateur géré tel que Microsoft Edge satisfait aux exigences de stratégie de protection des applications et des applications approuvées. Sur iOS avec des solutions GPM autres que Microsoft, seul le navigateur Microsoft Edge prend en charge la stratégie d'appareil.
Firefox 91+ est pris en charge pour l'accès conditionnel basé sur les appareils, mais l'option « Autoriser l'authentification unique Windows pour les comptes Microsoft, professionnels et scolaires » doit être activée.
Chrome 111+ est pris en charge pour l'accès conditionnel basé sur les appareils mais la fonction « CloudApAuthEnabled » doit être activée.
Les appareils macOS utilisant le plug-in Enterprise SSO nécessitent l'extension Authentification unique Microsoft pour prendre en charge l'authentification unique et l'accès conditionnel basé sur les appareils dans Google Chrome.
Les appareils macOS utilisant le navigateur Firefox doivent exécuter macOS version 10.15 ou ultérieure et disposer du plug-in Microsoft Enterprise SSO installé et configuré de manière appropriée.
Pourquoi une invite de saisie de certificat s’affiche-t-elle dans mon navigateur ?
Sur Windows 7, les appareils iOS, Android et macOS sont identifiés à l'aide d'un certificat client. Ce certificat est fourni lorsque l'appareil est inscrit. Lorsqu’un utilisateur se connecte pour la première fois via le navigateur, l’utilisateur est invité à sélectionner le certificat. Il doit sélectionner ce certificat avant d’utiliser le navigateur.
Prise en charge Chrome
Fenêtres
Pour la prise en charge de Chrome dans Windows 10 Creators Update (version 1703) ou version ultérieure, installez l'extension Authentification unique Microsoft ou activez la fonction CloudAPAuthEnabled de Chrome. Ces configurations sont nécessaires lorsqu'une stratégie d'accès conditionnel exige des informations spécifiques à l'appareil, spécifiquement pour les plateformes Windows.
Pour activer automatiquement la stratégie CloudAPAuthEnabled dans Chrome, créez la clé de Registre suivante :
- Chemin d’accès :
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome - Nom :
CloudAPAuthEnabled - Valeur :
0x00000001 - PropertyType :
DWORD
Pour déployer automatiquement l'extension Authentification unique Microsoft sur les navigateurs Chrome, créez la clé de Registre suivante à l'aide de la stratégie ExtensionInstallForcelist dans Chrome :
- Chemin d’accès :
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist - Nom :
1 - Entrez :
REG_SZ (String) - Données :
ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx
Pour la prise en charge de Chrome dans Windows 8.1 et 7, créez la clé de Registre suivante :
- Chemin d’accès :
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls - Nom :
1 - Entrez :
REG_SZ (String) - Données :
{"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
macOS
Les appareils macOS utilisant le plug-in Enterprise SSO nécessitent l'extension Authentification unique Microsoft pour prendre en charge l'authentification unique et l'accès conditionnel basé sur les appareils dans Google Chrome.
Pour les déploiements basés sur GPM de Google Chrome et la gestion des extensions, reportez-vous à Configurer le navigateur Chrome sur Mac et ExtensionInstallForcelist.
Applications mobiles et clients de bureau pris en charge
Les administrateurs peuvent sélectionner des applications mobiles et des clients de bureau en tant qu’application cliente.
Ce paramètre a des effets sur les tentatives d'accès provenant des applications mobiles et des clients de bureau suivants :
| Applications clientes | Service cible | Plateforme |
|---|---|---|
| Application Dynamics CRM | Dynamics CRM | Windows 10, Windows 8.1, iOS et Android |
| Application de messagerie/calendrier/contacts, Outlook 2016, Outlook 2013 (avec l’authentification moderne) | Échange en ligne | Windows 10 |
| Stratégie MFA et d’emplacement pour les applications. Les stratégies basées sur les appareils ne sont pas prises en charge. | Tout service d’application Mes applications | Android et iOS |
| Services Microsoft Teams, cette application cliente contrôle tous les services qui prennent en charge Microsoft Teams et toutes ses applications clientes : Bureau Windows, iOS, Android, WP et client web | Microsoft Teams | Windows 10, Windows 8.1, Windows 7, iOS, Android et macOS |
| Applications Office 2016, Office 2013 (avec authentification moderne), client de synchronisation OneDrive | SharePoint | Windows 8.1, Windows 7 |
| Applications Office 2016, Universal Office, Office 2013 (avec authentification moderne), client de synchronisation OneDrive | SharePoint en ligne | Windows 10 |
| Office 2016 (Word, Excel, PowerPoint, OneNote uniquement). | SharePoint | macOS |
| Office 2019 | SharePoint | Windows 10, macOS |
| Applications mobiles Office | SharePoint | Android, iOS |
| Application Yammer Office | Yammer | Windows 10, iOS, Android |
| Outlook 2019 | SharePoint | Windows 10, macOS |
| Outlook 2016 (Office pour Mac OS) | Échange en ligne | macOS |
| Outlook 2016, Outlook 2013 (avec authentification moderne), Skype Entreprise (avec authentification moderne) | Échange en ligne | Windows 8.1, Windows 7 |
| Application Outlook Mobile | Échange en ligne | Android, iOS |
| Application Power BI | Service Power BI | Windows 10, Windows 8.1, Windows 7, Android et iOS |
| Skype Entreprise | Échange en ligne | Android, iOS |
| L'application Azure DevOps Services (anciennement Visual Studio Team Services, ou VSTS) | Azure DevOps Services (anciennement Visual Studio Team Services, ou VSTS) | Windows 10, Windows 8.1, Windows 7, iOS, Android |
Clients Exchange ActiveSync
- Les administrateurs ne peuvent sélectionner que les clients Exchange ActiveSync lors de l’attribution d’une stratégie à des utilisateurs ou des groupes. La sélection des options Tous les utilisateurs, Tous les utilisateurs invités et externes ou Rôles de répertoire a pour effet de soumettre tous les utilisateurs à la stratégie.
- Lorsque les administrateurs créent une stratégie affectée aux clients Exchange ActiveSync, Exchange Online doit être la seule application cloud affectée à la stratégie.
- Les administrateurs peuvent limiter l’étendue de cette stratégie à des plateformes spécifiques à l’aide de la condition des plateformes d’appareil .
Si le contrôle d’accès affecté à la stratégie a l’option Demander une application cliente approuvée activée, l’utilisateur est invité à installer et à utiliser le client mobile Outlook. Dans le cas où l'authentification multifacteur, les conditions d'utilisation ou les contrôles personnalisés sont requis, les utilisateurs affectés sont bloqués, car l'authentification de base ne prend pas en charge ces contrôles.
Si vous souhaitez en savoir plus, consultez les articles suivants :
- Bloquer l'authentification héritée avec l'accès conditionnel
- Exiger des applications clientes approuvées avec l'accès conditionnel
Autres clients
En sélectionnant Autres clients, vous pouvez spécifier une condition affectant les applications qui utilisent l’authentification de base avec des protocoles de messagerie comme IMAP, MAPI, POP et SMTP ainsi que les applications Office plus anciennes qui n’utilisent pas l’authentification moderne.
État de l’appareil (déconseillé)
Cette condition est déconseillée. Les clients doivent utiliser la condition Filtrer pour les appareils dans la stratégie d’accès conditionnel pour satisfaire les scénarios obtenus précédemment à l’aide de la condition d’état de l’appareil.
Importante
L'état de l'appareil et les filtres pour appareils ne peuvent pas être utilisés ensemble dans la stratégie d'accès conditionnel. Les filtres pour les appareils fournissent un ciblage granulaire plus précis, notamment la prise en charge des informations d’état de l’appareil par le biais de la propriété trustType et de la propriété isCompliant.
Filtre pour les appareils
Lorsque les administrateurs configurent le filtre pour les appareils en tant que condition, ils peuvent inclure ou exclure des appareils en fonction d’un filtre à l’aide d’une expression de règle sur les propriétés de l’appareil. Vous pouvez créer l’expression de règle pour filtrer les appareils à l’aide du générateur de règles ou de la syntaxe de règle. Ce processus est similaire à celui utilisé pour les règles pour les groupes d’appartenances dynamiques. Pour plus d’informations, consultez Accès conditionnel : Filtrer pour les appareils.
Flux d'authentification (préversion)
Les flux d'authentification contrôlent la façon dont votre organisation utilise certains protocoles et octrois d'authentification et d'autorisation. Ces flux peuvent fournir une expérience transparente pour les appareils qui n’ont pas d’entrée locale, comme les appareils partagés ou la signalisation numérique. Utilisez ce contrôle pour configurer des méthodes de transfert telles que le flux de code d'appareil ou le transfert d'authentification.