Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Comme expliqué dans l’article Qu’est-ce que l’accès conditionnel, une stratégie d’accès conditionnel est une instruction if-then des affectations et des contrôles d’accès. Une stratégie d’accès conditionnel combine des signaux pour prendre des décisions et appliquer des stratégies organisationnelles.
Comment une organisation crée-t-elle ces stratégies ? Qu’est-ce qui est requis ? Comment sont-ils appliqués ?
Plusieurs stratégies d’accès conditionnel peuvent s’appliquer à un utilisateur individuel à tout moment. Dans ce cas, toutes les stratégies applicables doivent être satisfaites. Par exemple, si une stratégie nécessite une authentification multifacteur et qu’une autre nécessite un appareil conforme, vous devez effectuer l’authentification multifacteur et utiliser un appareil conforme. Toutes les affectations sont combinées logiquement à l’aide d’AND. Si vous configurez plusieurs affectations, ces dernières doivent toutes être satisfaites pour qu’une stratégie soit déclenchée.
Si une stratégie avec « Exiger l’un des contrôles sélectionnés » est sélectionnée, les invites s’affichent dans l’ordre défini. Une fois les exigences de stratégie satisfaites, l’accès est accordé.
Toutes les stratégies sont appliquées en deux phases :
-
Phase 1 : Collecter les détails de la session
- Rassemblez les détails de session, tels que l’emplacement réseau et l’identité de l’appareil nécessaires pour l’évaluation de la stratégie.
- La phase 1 de l’évaluation de stratégie est effectuée pour les stratégies activées et celles en mode rapport uniquement.
-
Phase 2 : Application
- Utilisez les détails de la session collectés dans la phase 1 pour identifier les exigences qui ne sont pas remplies.
- Si une stratégie est configurée avec le contrôle d’octroi et de blocage, l’application s’arrête ici et l’utilisateur est bloqué.
- L’utilisateur est invité à remplir des exigences de contrôle supplémentaires d'octroi qui n’ont pas été satisfaites pendant la phase 1, dans l’ordre suivant, jusqu’à ce que la stratégie soit respectée :
- Une fois tous les contrôles d’octroi satisfaits, les contrôles de session sont appliqués (Application appliquée, Microsoft Defender pour Cloud Apps et durée de vie des jetons).
- La phase 2 de l’évaluation de stratégie se produit pour toutes les stratégies activées.
Tâches
La section affectations définit qui, quoi et où pour la stratégie d’accès conditionnel.
Utilisateurs et groupes
Les utilisateurs et les groupes attribuent qui la stratégie inclut ou exclut en cas d’application. Cette affectation peut inclure tous les utilisateurs, groupes spécifiques d’utilisateurs, rôles d’annuaire ou utilisateurs invités externes. Les organisations disposant de licences d’ID de charge de travail Microsoft Entra peuvent également cibler des identités de charge de travail .
Les stratégies ciblant des rôles ou des groupes sont évaluées uniquement lorsqu’un jeton est émis. En d’autres termes :
- Les utilisateurs nouvellement ajoutés à un rôle ou à un groupe ne sont pas soumis à la stratégie tant qu’ils n’ont pas obtenu un nouveau jeton.
- Si un utilisateur a déjà un jeton valide avant d’être ajouté au rôle ou au groupe, la stratégie ne s’applique pas rétroactivement.
La meilleure pratique consiste à déclencher l’évaluation de l’accès conditionnel pendant l’activation de rôle ou l’activation de l’appartenance au groupe à l’aide de Microsoft Entra Privileged Identity Management.
Ressources cibles
Les ressources cibles peuvent inclure ou exclure des applications cloud, des actions utilisateur ou des contextes d’authentification soumis à la stratégie.
Réseau
Le réseau contient des adresses IP, des zones géographiques et un réseau conforme aux normes de l'accès sécurisé mondial pour les décisions de stratégie d'accès conditionnel. Les administrateurs peuvent définir des emplacements et marquer certains comme approuvés, tels que les emplacements réseau principaux de leur organisation.
Conditions
Une stratégie peut contenir plusieurs conditions.
Connexion à risque
Pour les organisations avec Microsoft Entra ID Protection, les détections de risque générées peuvent influencer vos stratégies d’accès conditionnel.
Plateformes d’appareils
Les organisations disposant de plusieurs plateformes de système d’exploitation d’appareil peuvent appliquer des stratégies spécifiques sur différentes plateformes.
Les informations utilisées pour déterminer la plateforme d’appareil proviennent de sources non vérifiées, telles que les chaînes d’agent utilisateur qui peuvent être modifiées.
Applications clientes
Le logiciel que l’utilisateur utilise pour accéder à l’application cloud. Par exemple, « Navigateur » et « Applications mobiles et clients de bureau ». Par défaut, toutes les stratégies d’accès conditionnel nouvellement créées s’appliquent à tous les types d’applications clientes, même si la condition des applications clientes n’est pas configurée.
Filtre pour les appareils
Ce contrôle permet de cibler des appareils spécifiques en fonction de leurs attributs dans une stratégie.
Contrôles d’accès
La partie contrôles d’accès de la stratégie d’accès conditionnel contrôle la façon dont une stratégie est appliquée.
Accorder
Grant fournit aux administrateurs un moyen d’application de stratégie où ils peuvent bloquer ou accorder l’accès.
Bloquer l’accès
Bloquer l’accès bloque l’accès sous les affectations spécifiées. Ce contrôle est puissant et nécessite des connaissances appropriées pour utiliser efficacement.
Accorder l'accès
Le contrôle d’octroi déclenche l’application d’un ou plusieurs contrôles.
- Exiger l’authentification multifacteur
- Exiger la force de l’authentification
- Exiger que l’appareil soit marqué comme conforme (Intune)
- Exiger un appareil à jonction hybride Microsoft Entra
- Exiger une application cliente approuvée
- Exiger une stratégie de protection des applications
- Nécessite une modification du mot de passe
- Exiger des conditions d’utilisation
Les administrateurs choisissent d’exiger l’un des contrôles précédents ou tous les contrôles sélectionnés à l’aide des options suivantes. Par défaut, plusieurs contrôles nécessitent tout.
- Exiger tous les contrôles sélectionnés
- Exiger un des contrôles sélectionnés
session
Les contrôles de session peuvent limiter l’expérience des utilisateurs.
- Utilisez les restrictions appliquées à l’application :
- Fonctionne uniquement avec Exchange Online et SharePoint Online.
- Transmet les informations de l’appareil pour contrôler l’expérience, accorder un accès complet ou limité.
- Utiliser le contrôle d’application par accès conditionnel :
- Utilise les signaux de Microsoft Defender pour Cloud Apps pour effectuer des opérations telles que :
- Bloquer le téléchargement, la coupe, la copie et l’impression de documents sensibles.
- Surveiller un comportement de session à risque.
- Exiger l’étiquetage des fichiers sensibles.
- Utilise les signaux de Microsoft Defender pour Cloud Apps pour effectuer des opérations telles que :
- Fréquence de connexion :
- Possibilité de modifier la fréquence de connexion par défaut pour l’authentification moderne.
- Session de navigateur persistant :
- Permet aux utilisateurs de rester connectés après la fermeture et la réouverture de leur fenêtre de navigateur.
- Personnaliser l’évaluation de l’accès continu.
- Désactivez les valeurs par défaut de résilience.
Stratégies simples
Une stratégie d’accès conditionnel doit inclure au moins les éléments suivants à appliquer :
- Nom de la stratégie
-
Affectations
- Utilisateurs et/ou groupes auxquels appliquer la stratégie
- Cibler des ressources pour appliquer la stratégie à
-
Contrôles d’accès
- Accorder des contrôles ou les bloquer
L’article Stratégies courantes d’accès conditionnel inclut des stratégies qui peuvent être utiles à la plupart des organisations.