Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Avertissement
Si vous utilisez la fonctionnalité de durée de vie des jetons configurable actuellement en préversion publique, nous ne prenons pas en charge la création de deux stratégies différentes pour la même combinaison d’utilisateurs ou d’applications : une avec cette fonctionnalité et une autre avec la fonctionnalité de durée de vie de jeton configurable. Microsoft a supprimé la fonctionnalité de durée de vie des jetons configurables pour les durées de vie des jetons d’actualisation et de session le 30 janvier 2021 et l’a remplacée par la fonctionnalité de gestion de session d’authentification par accès conditionnel.
Avant d’activer la fréquence de connexion, assurez-vous que les autres paramètres de réauthentification sont désactivés dans votre locataire. Si l’option « Mémoriser l’authentification multifacteur sur les appareils approuvés » est activée, désactivez-la avant d’utiliser la fréquence de connexion, car l’utilisation de ces deux paramètres peut inviter les utilisateurs de manière inattendue. Pour en savoir plus sur les invites de réauthentification et la durée de vie des sessions, consultez l’article Optimiser les invites de réauthentification et comprendre le fonctionnement de la durée de vie des sessions pour l’authentification multifacteur Microsoft Entra.
Déploiement de stratégie
Pour vous assurer que votre stratégie fonctionne comme prévu, testez-la avant de la déployer en production. Utilisez un locataire de test pour vérifier que votre nouvelle stratégie fonctionne comme prévu. Pour plus d’informations, consultez l’article Planifier un déploiement d’accès conditionnel.
Stratégie 1 : Contrôle de la fréquence de connexion
Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
Accédez à Entra ID>Accès conditionnel>Politiques.
Sélectionnez Nouvelle stratégie.
Donnez un nom à votre stratégie. Créez une norme significative pour les stratégies d’affectation de noms.
Choisissez toutes les conditions nécessaires à l’environnement du client, y compris les applications de cloud cibles.
Notes
Il est recommandé de définir une fréquence d’invite d’authentification égale pour les applications Microsoft 365 clés telles qu’Exchange Online et SharePoint Online pour une expérience utilisateur optimale.
Sous Contrôles d’accès>Session.
- Sélectionnez Fréquence de connexion.
- Choisissez Réauthentification périodique et entrez une valeur en heures ou en jours, ou sélectionnez À chaque fois.
- Sélectionnez Fréquence de connexion.
Enregistrez votre stratégie.
Stratégie 2 : Session de navigateur persistante
Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
Accédez à Entra ID>Accès conditionnel>Politiques.
Sélectionnez Nouvelle stratégie.
Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
Choisissez toutes les conditions nécessaires.
Notes
Ce contrôle nécessite la sélection de « Toutes les applications cloud » comme condition. La persistance de la session de navigateur est contrôlée par le jeton de session d’authentification. Tous les onglets d’une session de navigateur partagent un jeton de session unique, ils doivent donc tous partager l’état de persistance.
Sous Contrôles d’accès>Session.
Sélectionnez Session de navigateur persistante.
Notes
La configuration de session de navigateur persistant dans l’accès conditionnel Microsoft Entra remplace le paramètre « Rester connecté » dans le volet de personnalisation de l’entreprise pour le même utilisateur si les deux stratégies sont configurées.
Sélectionnez une valeur dans la liste déroulante.
Enregistrez votre stratégie.
Notes
Les paramètres de durée de vie de session, y compris la fréquence de connexion et les sessions de navigateur persistantes, déterminent la fréquence à laquelle les utilisateurs doivent se réauthentifier et si les sessions persistent entre les redémarrages du navigateur. Les durées de vie plus courtes améliorent la sécurité des applications à haut risque, tandis que les plus longues améliorent la commodité pour les appareils approuvés ou gérés.
Stratégie 3 : Contrôle de fréquence de connexion À chaque fois pour un utilisateur à risque
- Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
- Naviguez vers Entra ID>Accès Conditionnel.
- Sélectionnez Nouvelle stratégie.
- Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
- Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
- Sous Inclure, sélectionnez Tous les utilisateurs.
- Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
- Sélectionnez Terminé.
- Sous Ressources cibles>Inclure, sélectionnez Toutes les ressources (anciennement « Toutes les applications cloud »).
- Sous Conditions>Risque d’utilisateur, définissez Configurer sur Oui.
- Sous Configurer les niveaux de risque utilisateur nécessaires à l’application de la stratégie, sélectionnez Élevé. Cette aide se base sur les recommandations de Microsoft et peut être différente pour chaque organisation
- Sélectionnez Terminé.
- Sous Contrôles d’accès>Accorder, sélectionnez Accorder l’accès.
- Sélectionnez Exiger une force d’authentification, puis sélectionnez la force d’authentification intégrée Authentification multifacteur dans la liste.
- Sélectionnez Exiger la modification du mot de passe.
- Sélectionnez Sélectionner.
- Sous Session.
- Sélectionnez Fréquence de connexion.
- Vérifiez que À chaque fois est sélectionné.
- Sélectionnez Sélectionner.
- Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
- Sélectionnez Créer pour créer votre stratégie.
Après avoir confirmé vos paramètres à l’aide du mode rapport uniquement, déplacez le bouton bascule Activer la stratégie de rapport uniquement sur Activé.
Vérification
Utilisez l’outil What If pour simuler une connexion à l’application cible et d’autres conditions en fonction de votre configuration de stratégie. Les contrôles de gestion de session d’authentification s’affichent dans le résultat de l’outil.
Tolérance d’invite
Nous prenons en compte cinq minutes d’asymétrie de l’horloge lorsque chaque fois est sélectionné dans la stratégie. Nous n’invitons donc pas les utilisateurs plus souvent qu’une fois toutes les cinq minutes. Si l’utilisateur termine l’authentification multifacteur au cours des 5 dernières minutes et rencontre une autre stratégie d’accès conditionnel qui nécessite une réauthentification, nous n’invitons pas l’utilisateur. L’invite d’utilisateurs trop souvent pour la réauthentification peut affecter leur productivité et augmenter le risque d’approbation des demandes MFA qu’ils n’ont pas lancées. Utilisez la « fréquence de connexion à chaque fois » uniquement lorsqu’il existe des besoins métier spécifiques.
Problèmes connus
- Si vous configurez la fréquence de connexion pour les appareils mobiles : l’authentification après chaque intervalle de fréquence de connexion peut être lent et peut prendre 30 secondes en moyenne. Ce problème peut également se produire simultanément sur différentes applications.
- Sur les appareils iOS : si une application configure des certificats en tant que premier facteur d’authentification et que les stratégies de gestion des applications mobiles Intune sont appliquées, les utilisateurs sont bloqués de se connecter à l’application lorsque la stratégie se déclenche.
- Microsoft Entra Private Access ne prend pas en charge la définition de la fréquence de connexion à chaque fois.
Étapes suivantes
- Prêt à configurer des stratégies d’accès conditionnel pour votre environnement ? Consultez Planifier un déploiement d’accès conditionnel.