Stratégies de durée de vie de session adaptative d’accès conditionnel

Les stratégies de durée de vie de session adaptative d’accès conditionnel permettent aux organisations de restreindre les sessions d’authentification dans des déploiements complexes. Il s’agit entre autres des scénarios suivants :

• Accès aux ressources à partir d’un appareil non managé ou partagé
• Accès à des informations sensibles depuis un réseau externe
• Utilisateurs à fort impact
• Applications métier critiques

L’accès conditionnel fournit des contrôles de stratégie de durée de vie de session adaptatifs. Vous pouvez donc créer des stratégies qui ciblent des cas d’usage spécifiques au sein de votre organisation sans affecter tous les utilisateurs.

Avant d’explorer comment configurer la stratégie, examinez la configuration par défaut.

Fréquence de connexion de l’utilisateur

La fréquence de connexion spécifie la durée pendant laquelle un utilisateur peut accéder à une ressource avant d’être invité à se reconnecter.

La configuration par défaut de Microsoft Entra ID pour la fréquence de connexion utilisateur est une fenêtre dynamique de 90 jours. Il peut sembler judicieux de demander fréquemment aux utilisateurs leurs informations d’identification, mais cette approche peut avoir des effets négatifs. Les utilisateurs qui entrent habituellement des informations d’identification sans réfléchir peuvent involontairement fournir ces informations à des invites malveillantes.

Ne pas demander à un utilisateur de se reconnecter peut sembler alarmant, mais toute violation de stratégie informatique révoque la session. Par exemple, il s’agit d’une modification de mot de passe, d’un appareil non conforme ou d’un compte désactivé. Vous pouvez aussi explicitement révoquer les sessions des utilisateurs à l’aide de Microsoft Graph PowerShell. La configuration par défaut de l’ID Microsoft Entra est : ne demandez pas aux utilisateurs de fournir leurs informations d’identification si la posture de sécurité de leurs sessions n’a pas changé.

Le paramètre de fréquence de connexion fonctionne avec les applications qui ont implémenté les protocoles OAuth2 ou OIDC conformément aux normes. La plupart des applications natives Microsoft, telles que celles pour Windows, Mac et Mobile, y compris les applications web suivantes sont conformes au paramètre.

• Word, Excel, PowerPoint en ligne
• OneNote en ligne
• Office.com
• Portail d’administration Microsoft 365
• Échange en ligne
• SharePoint et OneDrive
• Client web Teams
• Dynamics CRM en ligne
• Portail Azure

La fréquence de connexion (SIF) fonctionne avec les applications et applications SAML non-Microsoft qui utilisent des protocoles OAuth2 ou OIDC, tant qu’elles ne suppriment pas leurs propres cookies et redirigent régulièrement vers Microsoft Entra ID pour l’authentification.

Fréquence de connexion des utilisateurs et authentification multifacteur

Auparavant, la fréquence de connexion s’appliquait uniquement à l’authentification de premier facteur sur les appareils associés, hybrides associés, et enregistrés dans Microsoft Entra. Vous n’avez pas pu facilement renforcer l’authentification multifacteur sur ces appareils. En fonction des commentaires des clients, la fréquence de connexion s’applique désormais à l’authentification multifacteur (MFA).

Fréquence de connexion des utilisateurs et identités des appareils

Sur les appareils joints à Microsoft Entra et joints hybrides, le déverrouillage de l'appareil ou la connexion de manière interactive actualise le jeton d’actualisation principal (PRT) toutes les quatre heures. Le dernier timestamp d’actualisation enregistré pour le jeton d’actualisation principal (PRT) par rapport au timestamp actuel doit se trouver dans le délai imparti dans la stratégie de fréquence de connexion (SIF) pour le PRT afin de satisfaire le SIF et d’accorder l’accès au PRT qui a une revendication MFA existante. Sur les appareils inscrits à Microsoft Entra, le déverrouillage ou la connexion ne satisfait pas la stratégie SIF, car l’utilisateur n’accède pas à un appareil inscrit Microsoft Entra via un compte Microsoft Entra. Toutefois, le plug-in Microsoft Entra WAM peut actualiser un PRT pendant l’authentification d’application native à l’aide de WAM.

Exemple 1 : lorsque vous continuez de travailler sur le même document dans SharePoint Online pendant une heure

• À 00h00, un utilisateur se connecte à son appareil Windows 11 joint à Microsoft Entra et commence à travailler sur un document stocké sur SharePoint Online.
• L’utilisateur continue à travailler au même document sur son appareil pendant une heure.
• À 01h00, l’utilisateur est invité à se reconnecter. Cette invite est basée sur l’exigence de fréquence de connexion dans la stratégie d’accès conditionnel configurée par son administrateur.

Exemple 2 : lorsque vous faites une pause avec une tâche en arrière-plan s’exécutant dans le navigateur, puis interagissez de nouveau une fois que le délai de la stratégie SIF s’est écoulé

• À 00h00, un utilisateur se connecte à son appareil Windows 11 joint à Microsoft Entra et commence à charger un document stocké sur SharePoint Online.
• À 00:10, l’utilisateur verrouille son appareil. Le chargement en arrière-plan continue vers SharePoint Online.
• À 02:45, l’utilisateur déverrouille l’appareil. Le chargement en arrière-plan indique l’achèvement.
• À 02h45, l’utilisateur est invité à se connecter lorsqu’il interagit à nouveau. Cette invite est basée sur la fréquence de connexion requise dans la stratégie d’accès conditionnel configurée par son administrateur, car la dernière connexion s’est faite à 00h00.

Si l’application cliente (sous détails de l’activité) est un navigateur, le système reporte l'application de la fréquence de connexion des événements et des politiques sur les services en arrière-plan jusqu'à la prochaine interaction utilisateur. Sur les clients confidentiels, le système reporte l’application de la fréquence de connexion sur les connexions non interactives jusqu’à la prochaine connexion interactive.

Exemple 3 : avec un cycle d’actualisation de quatre heures du jeton d’actualisation principal à partir du déverrouillage

Scénario 1 : l’utilisateur retourne dans le cycle

• À 00h00, un utilisateur se connecte à son appareil Windows 11 joint à Microsoft Entra et commence à travailler sur un document stocké sur SharePoint Online.
• À 00h30, l’utilisateur verrouille son appareil.
• À 00:45, l’utilisateur déverrouille l’appareil.
• À 01h00, l’utilisateur est invité à se reconnecter. Cette invite est basée sur l’exigence de fréquence de connexion dans la stratégie d’accès conditionnel configurée par son administrateur, une heure après la connexion initiale.

Scénario 2 : l’utilisateur revient en dehors du cycle

• À 00h00, un utilisateur se connecte à son appareil Windows 11 joint à Microsoft Entra et commence à travailler sur un document stocké sur SharePoint Online.
• À 00h30, l’utilisateur verrouille son appareil.
• À 04:45, l’utilisateur déverrouille l’appareil.
• À 05h45, l’utilisateur est invité à se reconnecter. Cette invite est basée sur l’exigence de fréquence de connexion dans la stratégie d’accès conditionnel configurée par son administrateur. Il est maintenant une heure après l’actualisation du PRT à 04:45, et plus de quatre heures depuis la connexion initiale à 00:00.

Exiger une réauthentification à chaque fois

Dans certains scénarios, vous souhaiterez peut-être exiger une nouvelle authentification chaque fois qu’un utilisateur effectue des actions spécifiques, telles que :

• Accès aux applications sensibles.
• Sécurisation des ressources derrière des fournisseurs VPN ou Réseau en tant que service (NaaS).
• Sécurisation de l’élévation de rôle privilégié dans PIM.
• Protection des connexions utilisateur aux machines Azure Virtual Desktop.
• Protection des utilisateurs à risque et des connexions risquées identifiée par la protection de Microsoft Entra ID.
• Sécurisation des actions d’utilisateur sensibles telles que l’inscription Microsoft Intune.

Lorsque vous sélectionnez Chaque fois, la stratégie nécessite une réauthentification complète lorsque la session est évaluée. Cette exigence signifie que si l’utilisateur ferme et ouvre son navigateur pendant la durée de vie de la session, il se peut qu’il ne soit pas invité à réauthentication. La définition de la fréquence de connexion à chaque fois fonctionne le mieux lorsque la ressource a la logique d’identifier quand un client doit obtenir un nouveau jeton. Ces ressources redirigent l’utilisateur vers Microsoft Entra une seule fois que la session expire.

Limitez le nombre d’applications qui appliquent une stratégie demandant aux utilisateurs de se réauthentifier à chaque fois. Le déclenchement de la réauthentification trop fréquemment peut augmenter les frictions de sécurité à un point où les utilisateurs subissent la fatigue de l’authentification multifacteur et ouvrent la porte au hameçonnage. Les applications web fournissent généralement une expérience moins perturbante que leurs homologues de bureau lorsqu’elles nécessitent une réauthentification chaque fois qu’elles sont activées. Les règles de la politique prennent en compte une asymétrie de l'horloge de cinq minutes chaque fois qu'une heure est sélectionnée, afin de ne pas solliciter les utilisateurs plus d'une fois toutes les cinq minutes.

• Pour les applications de la pile Microsoft 365, utilisez la fréquence de connexion des utilisateurs en fonction du temps pour une meilleure expérience utilisateur.
• Pour le portail Azure et le Centre d’administration Microsoft Entra, utilisez la fréquence de connexion utilisateur basée sur le temps ou exigez une réauthentification sur l’activation PIM à l’aide du contexte d’authentification pour une meilleure expérience utilisateur.

Persistance des sessions de navigation

Une session de navigateur persistant permet aux utilisateurs de rester connectés après la fermeture et la réouverture de leur fenêtre de navigateur.

Microsoft Entra ID par défaut pour la persistance de session de navigateur permet aux utilisateurs sur les appareils personnels de décider s’il faut conserver la session en affichant une invite Rester connecté ? une fois l’authentification réussie. Si vous configurez la persistance du navigateur dans AD FS en suivant les instructions fournies dans les paramètres d’authentification unique AD FS, la stratégie est suivie et la session Microsoft Entra est également conservée. Vous configurez si les utilisateurs de votre locataire voient l’invite Rester connecté ? En modifiant le paramètre approprié dans le volet de personnalisation de l’entreprise.

Dans les navigateurs persistants, les cookies restent stockés sur l’appareil de l’utilisateur même après la fermeture du navigateur. Ces cookies peuvent accéder aux artefacts Microsoft Entra, qui restent utilisables jusqu’à l’expiration du jeton, quelles que soient les stratégies d’accès conditionnel appliquées à l’environnement de ressources. La mise en cache du jeton peut ainsi être en violation directe des stratégies de sécurité souhaitées pour l’authentification. Le stockage de jetons au-delà de la session actuelle peut sembler pratique, mais il peut créer une vulnérabilité de sécurité en autorisant un accès non autorisé aux artefacts Microsoft Entra.

Configuration des contrôles de la session d’authentification

L’accès conditionnel est une fonctionnalité Microsoft Entra ID P1 ou P2 qui nécessite une licence Premium. Pour plus d’informations sur l’accès conditionnel, consultez Qu’est-ce que l’accès conditionnel dans l’ID Microsoft Entra ?.

Étapes suivantes

• Configurer les durées de vie de session dans les stratégies d’accès conditionnel
• Planifier un déploiement d’accès conditionnel