Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les modèles d’accès conditionnel fournissent une méthode pratique de déploiement de nouvelles stratégies alignées sur les recommandations de Microsoft. Ces modèles sont conçus pour fournir une protection maximale alignée sur des stratégies couramment utilisées pour différents types de clients et emplacements.
Catégories de modèles
Les modèles de stratégie d'accès conditionnel sont structurés selon les catégories suivantes :
Microsoft recommande l’utilisation de ces stratégies comme base pour toutes les organisations. Déployez ces stratégies en tant que groupe.
- Exiger l’authentification multifacteur pour les administrateurs
- Sécurisation de l’inscription des informations de sécurité
- Bloquer l’authentification héritée
- Exiger l’authentification multifacteur pour les administrateurs accédant aux portails d’administration Microsoft
- Exiger l’authentification multifacteur pour tous les utilisateurs
- Exiger l’authentification multifacteur pour la gestion Azure
- Exiger une authentification multifacteur ou d’appareil joint hybride ou conforme à Microsoft Entra pour tous les utilisateurs
- Exiger un appareil conforme
Recherchez ces modèles dans le Centre d’administration Microsoft Entra>Entra ID>Accès conditionnel>Créer une nouvelle stratégie à partir de modèles. Sélectionnez Afficher plus pour afficher tous les modèles de stratégie dans chaque catégorie.
Important
Les stratégies de modèle d’accès conditionnel ciblant les utilisateurs excluent uniquement l’utilisateur qui crée la stratégie à partir du modèle. Si votre organisation doit exclure d’autres comptes, modifiez la stratégie après sa création. Vous trouverez ces stratégies dans le
Par défaut, chaque stratégie est créée en mode rapport uniquement. Nous recommandons aux organisations de tester et de surveiller l’utilisation pour garantir le résultat prévu avant d’activer chaque stratégie.
Les organisations peuvent sélectionner des modèles de stratégie individuels et :
- Afficher un résumé des paramètres de stratégie.
- Les modifier pour les personnaliser en fonction des besoins de l’organisation.
- Exporter la définition JSON pour une utilisation dans des workflows programmatiques.
- Ces définitions JSON peuvent être modifiées, puis importées sur la page principale des stratégies d’accès conditionnel à l’aide de l’option Charger le fichier de stratégie .
Autres stratégies courantes
- Exiger l’authentification multifacteur pour l’inscription de l’appareil
- Bloquer l’accès par emplacement
- Bloquer l’accès à l’exception d’applications spécifiques
Exclusions d’utilisateurs
Les stratégies d’accès conditionnel sont des outils puissants. Nous vous recommandons d’exclure les comptes suivants de vos stratégies :
-
Accès d’urgence ou comptes break-glass pour empêcher le verrouillage en raison d’une configuration incorrecte de la stratégie. Dans le scénario peu probable où tous les administrateurs sont verrouillés, votre compte d’administration d’accès d’urgence peut être utilisé pour se connecter et récupérer l’accès.
- Vous trouverez plus d’informations dans l’article, Gérer les comptes d’accès d’urgence dans Microsoft Entra ID.
-
Comptes de service et principaux de service, tels que le compte Microsoft Entra Connect Sync. Les comptes de service sont des comptes non interactifs qui ne sont pas liés à un utilisateur spécifique. Ils sont généralement utilisés par les services principaux pour autoriser l’accès programmatique aux applications, mais ils sont également utilisés pour se connecter aux systèmes à des fins administratives. Les appels effectués par les principaux de service ne sont pas bloqués par les stratégies d’accès conditionnel délimitées aux utilisateurs. Utilisez l’accès conditionnel pour les identités de charge de travail pour définir des stratégies qui ciblent des principaux de service.
- Si votre organisation utilise ces comptes dans des scripts ou du code, remplacez-les par des identités managées.