Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Entra ID prend en charge différents flux d’authentification et d’autorisation pour offrir une expérience transparente sur tous les types d’applications et d’appareils. Certains flux d’authentification sont plus risqués que d’autres. Pour vous donner davantage de contrôle sur votre posture de sécurité, l’accès conditionnel vous permet de contrôler certains flux d’authentification. Ce contrôle commence par cibler explicitement le flux de code de l’appareil.
Flux de code d’appareil
Le flux de code d’appareil vous permet de vous connecter à des appareils qui ne disposent pas d’appareils d’entrée locaux, tels que les appareils partagés ou la signalisation numérique. Le flux de code d’appareil est une méthode d’authentification à haut risque qui peut faire partie d’une attaque par hameçonnage ou utilisée pour accéder aux ressources d’entreprise sur des appareils non gérés. Configurez le contrôle du flux de codes des appareils avec d'autres contrôles dans les politiques d'accès conditionnel. Par exemple, si le flux de code appareil est utilisé pour les appareils de salle de conférence Android, bloquez partout le flux de code appareil, sauf pour les appareils Android dans un emplacement réseau spécifique.
Autorisez le flux de code de l’appareil uniquement si nécessaire. Microsoft recommande de bloquer le flux de code d’appareil dans la mesure du possible.
Transfert d’authentification
Le transfert d’authentification est un flux qui permet aux utilisateurs de transférer en toute transparence l’état authentifié d’un appareil vers un autre. Par exemple, les utilisateurs peuvent voir un code QR dans la version de bureau d’Outlook qui, lorsqu'il est scanné sur leur appareil mobile, transfère son état authentifié à l’appareil mobile. Cette fonctionnalité offre une expérience simple et intuitive qui réduit les frictions pour les utilisateurs.
Suivi de protocole
Pour garantir l’application correcte des stratégies d’accès conditionnel sur certains flux d’authentification, nous utilisons une fonctionnalité appelée suivi de protocole. Ce suivi s’applique aux sessions utilisant le flux de code de l’appareil ou le transfert d’authentification. Ces sessions sont alors considérées comme suivies par protocole. Toute session suivie par protocole est soumise à l’application de la stratégie, si une stratégie existe. L'état de suivi du protocole est maintenu à travers des actualisations successives, ce qui signifie qu'il est possible que les flux d'authentification, notamment ceux sans code d'appareil, soient soumis à l'application rigoureuse des politiques de flux d'authentification.
Par exemple :
- Vous configurez une stratégie pour bloquer le flux de code de l’appareil partout, sauf pour SharePoint.
- Vous utilisez le flux de code de l’appareil pour vous connecter à SharePoint, comme autorisé par la stratégie configurée. À ce stade, la session est considérée comme suivie par le protocole.
- Vous tentez de vous connecter à Exchange dans le cadre de cette même session, en utilisant n’importe quel flux d’authentification, et pas seulement le flux de code de l’appareil.
- Vous êtes bloqué par la stratégie configurée en raison de l'état de suivi par protocole de la session.
Journaux d’activité de connexion
Lorsque vous configurez une stratégie visant à restreindre ou à bloquer le flux de code d’un appareil, il est important de comprendre si et comment ce flux est utilisé dans votre organisation. Pour cela, vous pouvez créer une stratégie d’accès conditionnel en mode rapport uniquement, ou filtrer les journaux de connexion à l’aide du filtre de protocole d’authentification pour repérer les événements liés au flux de code de l’appareil.
Pour faciliter la résolution des erreurs liées au suivi des protocoles, nous avons ajouté une nouvelle propriété appelée méthode de transfert d’origine à la section détails de l’activité des journaux de connexion à l’accès conditionnel. Cette propriété indique l’état de suivi du protocole de la requête en question. Par exemple, pour une session dans laquelle le flux de code d’appareil a été effectué précédemment, la méthode de transfert d’origine est définie sur flux de code d’appareil.
Application des stratégies de flux d’authentification sur la ressource du service d’inscription d’appareil
À compter du début de septembre 2024, Microsoft a commencé à appliquer des stratégies de flux d’authentification sur le service d’inscription d’appareil. Cela s’applique uniquement aux stratégies qui ciblent toutes les ressources dans le sélecteur de ressources. Si votre organisation utilise actuellement le flux de code d’appareil à des fins d’inscription d’appareil et que vous disposez d’une stratégie de flux d’authentification ciblant toutes les ressources, vous devez exempter la ressource d’inscription d’appareil de l’étendue de votre stratégie d’accès conditionnel pour éviter tout impact. Vous trouverez la ressource du service d’inscription d’appareil dans l’option Ressources cibles présente dans l’expérience de configuration de la stratégie d’accès conditionnel. Pour exempter le Service d'inscription des appareils via l'UX d'accès conditionnel, vous devez accéder aux ressources cibles>Exclure>Sélectionnez les applications cloud exclues>Service d'inscription des appareils. Pour l’API, vous devez mettre à jour votre stratégie en excluant l’ID client du service d’inscription d’appareil : 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.
Si vous ne savez pas si votre organisation utilise le flux de code de l'appareil avec le Service d'inscription d'appareil, vous pouvez le vérifier dans les journaux de connexion Microsoft Entra. Là, vous pouvez filtrer l’ID client du Service d'enregistrement des appareils dans le filtre ID de ressource et limiter les résultats à l'utilisation du Flux du code de l'appareil en utilisant l’option Code de l'appareil dans le filtre Protocole d’authentification.
Dépannage des blocages inattendus
Si vous avez une connexion bloquée de manière inattendue par une stratégie d’accès conditionnel ou si vous êtes déconnecté de manière inattendue d’un appareil, vous devez confirmer si la cause racine était une stratégie de flux d’authentification. Vous pouvez effectuer cette confirmation en accédant aux journaux de connexion, en cliquant sur la connexion bloquée, puis en accédant à l’onglet Accès conditionnel dans les détails de l’activité : volet Connexions . Si la politique appliquée est une politique de flux d’authentification, sélectionnez la politique pour identifier le type de flux d’authentification correspondant.
Si le flux de code de l’appareil a été détecté, alors que ce n’est pas le flux utilisé pour cette tentative de connexion, cela signifie que le jeton d’actualisation a été suivi par protocole. Vous pouvez vérifier ce cas en cliquant sur la connexion bloquée et en recherchant la propriété de méthode de transfert d’origine dans la partie Informations de base du volet Détails de l’activité : connexions . Si votre stratégie configurée est appliquée à toutes les applications, vous pouvez également déterminer une erreur liée au suivi du protocole en recherchant le code d’erreur et le message suivants : AADSTS530036: The refresh token is invalid due to authentication flow checks by Conditional Access. Additionally, since the authentication flows policy applies to all applications, the token will never be usable and should be deleted.
Note
Les blocages liés aux sessions suivies par protocole sont des comportements attendus pour cette stratégie. Parmi les impacts possibles, on peut noter l’impossibilité d’accéder à certaines ressources ou une déconnexion complète de l’appareil. Aucune action corrective n'est recommandée lorsque l'état de la stratégie est enabled. Si la stratégie a été définie sur disabled ou report-only, vous pourriez avoir besoin d'obtenir un nouveau jeton pour pouvoir utiliser l'appareil à nouveau.