Partager via

Tutoriel : Appliquer l'application automatique de l'authentification multifacteur par le biais d'Azure Policy

Azure Policy est un outil de gouvernance puissant qui vous permet de préparer votre organisation à l’application à venir de l’authentification multifacteur (MFA) entre les clients Azure. Ce guide vous guide tout au long du processus d’application des affectations Azure Policy pour appliquer automatiquement l’authentification multifacteur au sein de votre organisation.

Appliquer l’application d’Azure Policy via le portail Azure

1. Se connecter au portail Azure

Accéder au portail Azure

2. Accéder au service Azure Policy

Sélectionnez Policy sous services Azure. Si vous ne le voyez pas, tapez « Stratégie » dans la barre de recherche en haut et sélectionnez-le dans les résultats.

Capture d’écran de la vue d’affectation d’Azure Policy.

3. Choisir l’étendue de l’affectation

  1. Cliquez sur « Affectations » dans le volet gauche du tableau de bord stratégie.
  2. Cliquez sur « Affecter une stratégie » en haut de la page des affectations.
  3. Cliquez sur « Sélectionner l’étendue » dans la section Étendue.
  4. Sélectionnez le groupe de ressources, l’abonnement ou le groupe d’administration approprié dans lequel vous souhaitez appliquer la stratégie.
  5. Cliquez sur « Sélectionner » pour confirmer votre choix.

4. Configurer les sélecteurs pour le déploiement progressif de l’application de la stratégie

Note

Pour activer le déploiement sécurisé de l’application des stratégies, nous vous recommandons d’utiliser les sélecteurs de ressources d’Azure Policy pour déployer progressivement l’application de la stratégie sur vos ressources.

  1. Cliquez sur « Développer » dans la section « Sélecteurs de ressources » de l’onglet Informations de base.

  2. Cliquez sur « Ajouter un sélecteur de ressources »

    Capture d’écran de la vue de création d'une affectation de la politique Azure.

  3. Ajouter un nom pour votre sélecteur

  4. Basculez resourceLocation pour l’activer.

  5. Choisissez quelques régions à faible risque sur lesquelles vous souhaitez vous appliquer. L’attribution de stratégie évalue les ressources Azure dans ces régions.

  6. Vous pouvez mettre à jour cette affectation ultérieurement pour ajouter d’autres régions en ajoutant d’autres sélecteurs resourceLocation ou en mettant à jour le sélecteur resourceLocation existant pour ajouter d’autres régions.

Capture d’écran de la vue de création du Sélecteur de Politique Azure.

5. Sélectionner une définition de stratégie

  1. Cliquez sur Définition de stratégie sous « Informations de base ».
  2. Parcourez ou recherchez la définition de politique multifacteur : il y en a 2. Choisissez-en un pour l’instant :
  3. Sélectionnez la définition de stratégie dans la liste.

Capture d’écran de la vue de Recherche de définitions Stratégie Azure.

6. Configurer plus de détails sur l’affectation

  1. Sous « Paramètres de base », entrez un nom pour votre affectation de stratégie. Si vous le souhaitez, vous pouvez ajouter une description pour aider d’autres personnes à comprendre l’objectif de cette affectation.
  2. Sous « De base », le mode d’application doit être activé (ce mode est défini par défaut, aucune action n’est nécessaire).
  3. Accédez à l’onglet « Paramètres ». Désactivez la case à cocher « Afficher uniquement les paramètres qui nécessitent une entrée ou une révision ». La valeur du paramètre doit être à la valeur préélectionnée « AuditAction » ou « Audit » (selon la définition choisie à l’étape 4).
  4. Sous l’onglet « Messages de non-conformité », configurez un message personnalisé qui s'affiche à tout utilisateur s'il ne peut pas supprimer une ressource en raison de cette mise en application :

Exemple de texte : pour résoudre cette erreur, configurez l’authentification multifacteur à aka.ms/setupMFA. Si vous configurez l’authentification multifacteur et recevez toujours cette erreur, contactez votre administrateur Entra pour restaurer votre valeur par défaut de sécurité Azure.

Capture d’écran de l’onglet Message Azure Policy.

7. Vérifier et créer une affectation

  1. Passez en revue vos sélections et paramètres sous l’onglet « Vérifier + créer ».
  2. Si tout semble correct, cliquez sur « Créer » pour appliquer l’attribution de stratégie.

8. Déployer l’attribution de stratégie dans toutes les régions

  1. Mettez à jour le sélecteur d’affectation de stratégie pour évaluer les ressources dans d’autres régions.
  2. Répétez cette étape jusqu’à ce que l’attribution de stratégie évalue les ressources dans toutes les régions.

9. Vérifier l’existence de l’attribution de stratégie

  1. Sous l’onglet « Affectations », vérifiez que l’affectation de stratégie a été créée avec succès.
  2. Vous pouvez utiliser la barre de recherche et la barre d’étendue pour filtrer facilement.

Capture d’écran de l’affichage liste des affectations Azure Policy.

Mettre à jour l’attribution de stratégie pour son exécution

Vous pouvez activer l’application en mettant à jour l’effet de l’attribution de stratégie.

  1. Accédez à l’attribution de stratégie sous Affectations de stratégie. Cliquez sur « Modifier l’affectation ».
  2. Dans l’onglet « Fondamentaux », vous verrez « Paramètres de remplacement ». Cliquez sur Agrandir.
  3. Cliquez sur « Ajouter un remplacement d’effet de stratégie »
  4. Dans le menu déroulant, mettez à jour la Override Value valeur « DenyAction » ou « Deny » (en fonction de la définition de stratégie choisie à l’étape 4).
  5. Pour Selected Resources, choisissez quelques régions à faible risque sur lesquelles vous souhaitez appliquer. L’attribution de stratégie évalue uniquement les ressources Azure dans ces régions. Capture d’écran de la création de remplacements Azure Policy.
  6. Cliquez sur « Vérifier + enregistrer », puis sur « Créer ».
  7. Une fois que vous avez confirmé aucun impact inattendu, vous pouvez mettre à jour le remplacement existant pour ajouter d’autres régions.

Mode Audit

Découvrez les événements d’audit dans votre journal d’activité lorsque cette affectation de stratégie est appliquée en mode audit. Chaque événement représente une création, mise à jour ou suppression de ressource effectuée par un utilisateur qui ne s'est pas authentifié avec MFA.

Vous pouvez afficher les événements du journal d’activité dans le portail Azure et d’autres clients pris en charge. Voici un exemple de requête qui peut être utilisé dans l’interface CLI :

az monitor activity-log list \   --query "[?operationName.value=='Microsoft.Authorization/policies/audit/action'].{ResourceId: resourceId, Policies: properties.policies}" \   --output json | \ jq -r '"ResourceName\tResourceId\tPolicyDefinitionDisplayName", (.[] as $event | ($event.Policies | fromjson[] | "\($event.ResourceId | split("/") | last)\t\($event.ResourceId)\t\(.policyDefinitionDisplayName)"))' | \ column -t -s $'\t'

Mode d’application

Découvrez les événements de refus dans votre journal d’activité lorsque cette affectation de stratégie est appliquée en mode d’application. Chaque événement de refus représente une tentative de création, mise à jour ou suppression d'une ressource par un utilisateur qui ne s'est pas authentifié avec l'authentification multifacteur (MFA).

La section suivante montre l’expérience de certains clients sélectionnés lorsque l’attribution de stratégie est appliquée en mode d’application et qu’un compte d’utilisateur tente de créer, de mettre à jour ou de supprimer une ressource sans être authentifié avec MFA.

Note

Dans la période d’aperçu, les messages d’erreur affichés à l’utilisateur peuvent différer selon le client et la commande en cours d’exécution.

Azure portal

Lorsque vous tentez d’effectuer une opération de création, de mise à jour ou de suppression sans jeton authentifié par MFA, le portail Azure peut retourner :

Capture d’écran de la vue du portail Azure.

Azure CLI

Lorsque vous tentez d’effectuer une opération de création, de mise à jour ou de suppression sans jeton authentifié par MFA, Azure CLI peut retourner :

Capture d’écran de la vue Azure CLI lorsque l’utilisateur est bloqué par stratégie.

Azure PowerShell

Lorsque vous tentez d’effectuer une opération de création, de mise à jour ou de suppression sans jeton authentifié par MFA, Azure PowerShell peut retourner :

Capture d’écran de la vue Azure PowerShell lorsque l’utilisateur est bloqué par stratégie.

  • Last updated on