Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Une force d’authentification est un contrôle d’accès conditionnel Microsoft Entra qui spécifie des combinaisons de méthodes d’authentification pour l’accès à une ressource. En tant qu’administrateur, vous pouvez créer jusqu’à 15 forces d’authentification personnalisées pour répondre exactement à vos besoins.
Prerequisites
- Pour utiliser l’accès conditionnel, votre locataire doit disposer d’une licence Microsoft Entra ID P1. Si vous n’avez pas cette licence, vous pouvez commencer un essai gratuit.
Créer une force d’authentification personnalisée
Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.
Accédez à Entra ID>Méthodes d'authentification>Forces d'authentification.
Sélectionnez Nouvelle force d’authentification.
Pour Nom, indiquez un nom descriptif pour votre nouvelle force d’authentification.
Pour description, vous pouvez fournir une description facultative.
Sélectionnez les méthodes disponibles que vous souhaitez autoriser, comme celles sous MFA résistantes au hameçonnage, MFA sans mot de passe et passe d’accès temporaire.
Sélectionnez Suivant et passez en revue la configuration de la stratégie.
Mettre à jour et supprimer des forces d’authentification personnalisées
Vous pouvez modifier une force d’authentification personnalisée. Si une stratégie d’accès conditionnel fait référence à cette force d’authentification, vous ne pouvez pas la supprimer et vous devez confirmer toute modification.
Pour vérifier si une stratégie d’accès conditionnel fait référence à une force d’authentification, accédez à la colonne stratégies d’accès conditionnel .
Configurer des options avancées pour les codes d'accès (FIDO2)
Vous pouvez restreindre l’utilisation des clés d'accès (FIDO2) en fonction de leurs GUID d’attestation d’authentification (AAGUID). Vous pouvez utiliser cette fonctionnalité pour exiger une clé de sécurité FIDO2 auprès d’un fabricant spécifique pour l’accès à une ressource :
Une fois que vous avez créé une force d’authentification personnalisée, sélectionnez Passkeys (FIDO2)>Options avancées.
En regard d’Ajouter AAGUID, sélectionnez le signe plus (+), copiez la valeur AAGUID, puis sélectionnez Enregistrer.
Configurer des options avancées pour l’authentification basée sur un certificat
Dans la stratégie de liaison d’authentification, vous pouvez configurer si les certificats sont liés dans le système à des niveaux de protection d’authentification multifacteur ou monofacteur, en fonction de l’émetteur de certificat ou de l’identificateur d’objet de stratégie (OID). Vous pouvez également exiger des certificats d’authentification multifacteur ou à facteur unique pour des ressources spécifiques, en fonction d’une stratégie de force d’authentification par accès conditionnel.
En utilisant des options avancées pour la force d’authentification, vous pouvez exiger un émetteur de certificat ou un OID de stratégie spécifique pour restreindre davantage les connexions à une application.
Par exemple, supposons qu’une organisation nommée Contoso émet des cartes à puce aux employés avec trois types de certificats multifacteurs différents. Un certificat est destiné à l’autorisation confidentielle, un autre est destiné à l’autorisation secrète et un troisième est destiné à l’autorisation de premier secret. Chacun d’eux se distingue par les propriétés du certificat, telles que l’émetteur ou l’OID de stratégie. Contoso souhaite s’assurer que seuls les utilisateurs disposant du certificat multifacteur approprié peuvent accéder aux données pour chaque classification.
Les sections suivantes montrent comment configurer des options avancées pour l’authentification basée sur des certificats (CBA) à l’aide du Centre d’administration Microsoft Entra et de Microsoft Graph.
Centre d’administration Microsoft Entra
Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur.
Accédez à Entra ID>Méthodes d'authentification>Forces d'authentification.
Sélectionnez Nouvelle force d’authentification.
Pour Nom, indiquez un nom descriptif pour votre nouvelle force d’authentification.
Pour description, vous pouvez fournir une description facultative.
Sous l’option d’authentification basée sur un certificat (à facteur unique ou multifacteur), sélectionnez Options avancées.
Sélectionnez ou saisissez les émetteurs de certificats, puis saisissez les OID(s) de stratégie autorisé(e)s.
Vous pouvez configurer des émetteurs de certificats en les sélectionnant dans la liste déroulante des autorités de certification de votre espace client. La liste déroulante affiche toutes les autorités de certification du locataire, qu’elles soient à facteur unique ou multifacteur.
Pour les scénarios où le certificat que vous souhaitez utiliser n’est pas chargé vers les autorités de certification de votre locataire, vous pouvez entrer des émetteurs de certificat dans la zone Autres émetteurs de certificats par SubjectkeyIdentifier . L’un de ces exemples est des scénarios d'utilisateur externe, où l'utilisateur peut s'authentifier dans le locataire d'origine et la robustesse de l'authentification est appliquée au locataire de ressource.
Ces conditions s’appliquent :
- Si vous configurez les deux attributs (émetteurs de certificats et OID de stratégie), l’utilisateur doit utiliser un certificat qui possède au moins un des émetteurs et l’un des OI de stratégie de la liste pour satisfaire la force d’authentification.
- Si vous configurez uniquement l’attribut des émetteurs de certificats, l’utilisateur doit utiliser un certificat qui a au moins un des émetteurs pour satisfaire la force d’authentification.
- Si vous configurez uniquement l’attribut d’OID de stratégie, l’utilisateur doit utiliser un certificat qui possède au moins l’un des OID de stratégie pour satisfaire la force d’authentification.
Remarque
Vous pouvez configurer un maximum de cinq émetteurs et cinq OID pour une force d’authentification.
Sélectionnez Suivant pour passer en revue la configuration, puis sélectionnez Créer.
Microsoft Graph
Pour créer une nouvelle stratégie de force d’authentification d’accès conditionnel à l’aide d'un certificat, utilisez ce code :
POST /beta/identity/conditionalAccess/authenticationStrength/policies
{
"displayName": "CBA Restriction",
"description": "CBA Restriction with both IssuerSki and OIDs",
"allowedCombinations": [
" x509CertificateMultiFactor "
],
"combinationConfigurations": [
{
"@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
"appliesToCombinations": [
"x509CertificateMultiFactor"
],
"allowedIssuerSkis": ["9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"],
"allowedPolicyOIDs": [
"1.2.3.4.6",
"1.2.3.4.5.6"
]
}
]
}
Pour ajouter de nouvelles combinationConfiguration informations à une stratégie existante, utilisez ce code :
POST beta/identity/conditionalAccess/authenticationStrength/policies/{authenticationStrengthPolicyId}/combinationConfigurations
{
"@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
"allowedIssuerSkis": [
"9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"
],
"allowedPolicyOIDs": [],
"appliesToCombinations": [
"x509CertificateSingleFactor "
]
}
Comprendre les limitations
Options avancées pour les clés de sécurité (FIDO2)
Les options avancées pour les clés de passe (FIDO2) ne sont pas prises en charge pour les utilisateurs externes dont le locataire d'origine et le locataire de ressources sont dans différents environnements cloud Microsoft.
Options avancées pour l’authentification basée sur un certificat
Un utilisateur ne peut utiliser qu’un seul certificat dans chaque session de navigateur. Une fois que l’utilisateur se connecte avec un certificat, il est mis en cache dans le navigateur pendant la durée de la session. L’utilisateur n’est pas invité à choisir un autre certificat s’il ne répond pas aux exigences de force d’authentification. L’utilisateur doit se déconnecter et se reconnecter pour redémarrer la session, puis choisir le certificat approprié.
Les autorités de certification et les certificats utilisateur doivent être conformes à la norme X.509 v3. Plus précisément, pour appliquer des restrictions CBA pour les identificateurs de clé de sujet de l’émetteur (SKI), les certificats ont besoin d’identificateurs de clé d’autorité valides (AKIs).
Remarque
Si le certificat n’est pas conforme, l’authentification utilisateur peut réussir, mais pas satisfaire aux restrictions SKI de l’émetteur pour la politique de robustesse de l'authentification.
Lors de la connexion, Microsoft Entra ID considère les cinq premiers OID de politique à partir du certificat utilisateur et les compare aux OID de politique configurés dans la politique de robustesse d’authentification. Si le certificat utilisateur a plus de cinq OID de stratégie, l’ID Microsoft Entra prend en compte les cinq premiers OI de stratégie (dans l’ordre lexical) qui correspondent aux exigences de force d’authentification.
Pour les utilisateurs professionnels, prenons un exemple où Contoso invite les utilisateurs d’une autre organisation (Fabrikam) à son locataire. Dans ce cas, Contoso est le locataire de ressource et Fabrikam est le locataire de base. L’accès dépend du paramètre d’accès interlocataire :
- Lorsque le paramètre d’accès interlocataire est désactivé, contoso n’accepte pas l’authentification multifacteur effectuée par le locataire domestique. L’authentification basée sur un certificat sur le locataire de la ressource n’est pas prise en charge.
- Lorsque le paramètre d’accès interlocataire est activé, Les locataires Fabrikam et Contoso se trouvent sur le même cloud Microsoft (la plateforme cloud commerciale Azure ou la plateforme cloud Azure for US Government). En outre, Contoso fait confiance à l’authentification multifacteur effectuée sur le locataire principal. Dans ce cas :
- L’administrateur peut restreindre l’accès à une ressource spécifique en utilisant les OID de la politique ou la configuration autres émetteurs de certificats par subjectkeyIdentifier dans une politique de force d’authentification sur mesure.
- L’administrateur peut restreindre l’accès à des ressources spécifiques à l’aide des autres émetteurs de certificats par le paramètre SubjectkeyIdentifier dans la stratégie de force d’authentification personnalisée.
- Lorsque le paramètre d’accès interlocataire est activé, Fabrikam et Contoso ne sont pas sur le même cloud Microsoft. Par exemple, le locataire de Fabrikam se trouve sur la plateforme cloud commerciale Azure et le locataire de Contoso se trouve sur la plateforme cloud Azure for US Government. L’administrateur ne peut pas restreindre l’accès à des ressources spécifiques à l’aide de l’ID d’émetteur ou des OID de stratégie dans la stratégie de force d’authentification personnalisée.
Résoudre les problèmes d’options avancées pour les forces d’authentification
Les utilisateurs ne peuvent pas utiliser leur clé de passe (FIDO2) pour se connecter
Un administrateur d’accès conditionnel peut restreindre l’accès à des clés de sécurité spécifiques. Lorsqu’un utilisateur tente de se connecter avec une clé qu’il ne peut pas utiliser, un message « Vous ne pouvez pas y accéder à partir d’ici » s’affiche. L’utilisateur doit redémarrer la session et se connecter avec une autre clé de passe (FIDO2).
Vous devez vérifier l’émetteur de certificat ou l’OID de stratégie
Vous pouvez confirmer que les propriétés de certificat personnel correspondent à la configuration dans les options avancées pour les forces d’authentification :
Sur l’appareil de l’utilisateur, connectez-vous en tant qu’administrateur.
Sélectionnez Exécuter, tapez certmgr.msc, puis sélectionnez la touche Entrée .
SélectionnezCertificats>, cliquez avec le bouton droit sur le certificat, puis accédez à l’onglet Détails.
