Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Si le service d’authentification principal n’est pas disponible, le service d’authentification de sauvegarde Microsoft Entra émet automatiquement des jetons d’accès aux applications pour les sessions existantes. Cette fonctionnalité améliore considérablement la résilience de Microsoft Entra, car les réauthentifications pour les sessions existantes comptent plus de 90% d’authentifications auprès de Microsoft Entra ID. Le service d’authentification de sauvegarde ne prend pas en charge les nouvelles sessions ou les authentifications par les utilisateurs invités.
Pour les authentifications protégées par l’accès conditionnel, les stratégies sont réévaluées avant l’émission des jetons d’accès pour déterminer les éléments suivants :
- Quelles stratégies d’accès conditionnel s’appliquent ?
- Pour les stratégies qui s’appliquent, les contrôles requis sont-ils satisfaits ?
Pendant une panne, le service d’authentification de sauvegarde ne peut pas évaluer toutes les conditions en temps réel pour déterminer si une stratégie d’accès conditionnel s’applique. Les valeurs par défaut de résilience de l’accès conditionnel sont un nouveau contrôle de session qui permet aux administrateurs de choisir entre :
- S’il faut bloquer les authentifications pendant une panne quand une condition de stratégie ne peut pas être évaluée en temps réel.
- Autoriser l’évaluation des stratégies à l’aide des données collectées au début de la session de l’utilisateur.
Importante
Les valeurs par défaut de résilience sont automatiquement activées pour toutes les stratégies nouvelles et existantes. Microsoft recommande de conserver les valeurs par défaut de résilience activées pour réduire l’impact d’une panne. Les administrateurs peuvent désactiver les valeurs par défaut de résilience pour les stratégies d’accès conditionnel individuelles.
Comment fonctionne-t-il ?
Pendant une panne, le service d’authentification de sauvegarde réédite les jetons d’accès pour des sessions spécifiques :
| Description de la session | Accès accordé |
|---|---|
| Nouvelle session | Non |
| Session existante : Aucune stratégie d’accès conditionnel n’est configurée | Oui |
| Session existante : Des stratégies d’accès conditionnel configurées et les contrôles requis, comme l’authentification multifacteur, ont été effectués précédemment | Oui |
| Session existante : Des stratégies d’accès conditionnel configurées et les contrôles requis, comme l’authentification multifacteur, n’ont pas été effectués précédemment | Déterminé par les valeurs de résilience par défaut |
Lorsqu’une session existante expire lors d’une panne Microsoft Entra, la demande d’un nouveau jeton d’accès achemine vers le service d’authentification de sauvegarde et toutes les stratégies d’accès conditionnel sont réévaluées. S’il n’existe aucune stratégie d’accès conditionnel ou si tous les contrôles requis, tels que l’authentification multifacteur, ont été satisfaits au début de la session, le service d’authentification de sauvegarde émet un nouveau jeton d’accès pour étendre la session.
Si les contrôles requis d’une stratégie n’ont pas été effectués précédemment, la stratégie est réévaluée pour déterminer si l’accès doit être accordé ou refusé. Toutes les conditions ne peuvent pas être réévaluées en temps réel pendant une panne. Ces conditions sont les suivantes :
- Appartenance au groupe
- Appartenance au rôle
- Connexion à risque
- Utilisateur à risque
- Localisation du pays/de la région (résolution des nouvelles coordonnées IP ou GPS)
- Forces d’authentification
Lorsqu’il est actif, le service d’authentification de sauvegarde n’évalue pas les méthodes d’authentification requises par les forces d’authentification. i vous avez utilisé une méthode d’authentification non résistante au hameçonnage avant une panne, pendant une panne, vous n’êtes pas invité à effectuer une authentification multifacteur même si vous accédez à une ressource protégée par une stratégie d’accès conditionnel avec une force d’authentification résistante au hameçonnage.
Valeurs de résilience par défaut activées
Lorsque les valeurs par défaut de résilience sont activées, le service d’authentification de sauvegarde utilise les données collectées au début de la session pour déterminer si la stratégie s’applique sans données en temps réel. Par défaut, les valeurs par défaut de résilience sont activées pour toutes les stratégies. Vous pouvez désactiver le paramètre pour les stratégies individuelles lorsque l’évaluation de stratégie en temps réel est nécessaire pour accéder aux applications sensibles lors d’une panne.
Exemple : une stratégie avec des valeurs par défaut de résilience activées nécessite que tous les utilisateurs ayant un rôle privilégié accèdent aux portails d’administration Microsoft pour faire une authentification multifacteur. Avant une panne, si un utilisateur sans rôle d’administrateur accède au portail Azure, la stratégie ne s’applique pas et l’utilisateur obtient l’accès sans invite MFA. Pendant une panne, le service d’authentification de sauvegarde réévalue la stratégie pour déterminer si l’utilisateur a besoin d’une invite MFA. Étant donné que le service d’authentification de sauvegarde ne peut pas évaluer l’appartenance au rôle en temps réel, il utilise les données collectées au début de la session de l’utilisateur pour décider que la stratégie ne s’applique toujours pas. Par conséquent, l'utilisateur obtient l'accès sans qu'on lui demande de passer par l'authentification à plusieurs facteurs.
Valeurs de résilience par défaut désactivées
Lorsque les valeurs par défaut de résilience sont désactivées, le service d’authentification de sauvegarde n’utilise pas les données collectées au début de la session pour évaluer les conditions. Lors d’une panne, si une condition de stratégie ne peut pas être évaluée en temps réel, l’accès est refusé.
Exemple : une stratégie avec la désactivation des options par défaut de résilience nécessite que tous les utilisateurs auxquels est attribué un rôle privilégié terminent l’authentification multifacteur pour accéder aux portails d’administration Microsoft. Avant une panne, si un utilisateur qui n’est pas affecté à un rôle d’administrateur accède au portail Azure, la stratégie ne s’applique pas et l’utilisateur reçoit l’accès sans être invité à entrer l’authentification multifacteur. Pendant une panne, le service d’authentification de secours réévalue la stratégie pour déterminer si l’utilisateur doit être invité à utiliser l’authentification multifacteur. Étant donné que le service d’authentification de sauvegarde ne peut pas évaluer l’appartenance au rôle en temps réel, il empêche l’utilisateur d’accéder au portail Azure.
Warning
La désactivation des valeurs par défaut de résilience pour une politique qui s’applique à un groupe ou à un rôle réduit la résilience pour tous les utilisateurs de l’espace locataire. Étant donné que l’appartenance au groupe et au rôle ne peut pas être évaluée en temps réel pendant une panne, même les utilisateurs qui n’appartiennent pas au groupe ou au rôle dans l’attribution de stratégie sont refusés à l’accès à l’application dans l’étendue de la stratégie. Pour éviter de réduire la résilience pour tous les utilisateurs qui ne se trouvent pas dans l’étendue de la stratégie, appliquez la stratégie à des utilisateurs individuels au lieu de groupes ou de rôles.
Test des valeurs de résilience par défaut
Vous ne pouvez pas effectuer une exécution sèche à l’aide du service d’authentification de sauvegarde ou simuler le résultat d’une stratégie avec des valeurs par défaut de résilience activées ou désactivées. Microsoft Entra exécute des tests mensuels à l’aide du service d’authentification de sauvegarde. L’étendue de ces tests varie. Nous ne testons pas chaque locataire chaque mois. Pour vérifier si des jetons ont été émis via le Service d'authentification de secours dans votre instance, vous pouvez consulter les journaux de connexion. Dans Entra ID>Surveillance et intégrité>Journaux de connexion, ajoutez le filtre « Type d’émetteur de jeton == Microsoft Entra Backup Auth » pour afficher les journaux traités par le service d’authentification de sauvegarde Microsoft Entra.
Configuration des valeurs de résilience par défaut
Configurez les valeurs par défaut de résilience de l’accès conditionnel à l’aide du Centre d’administration Microsoft Entra, des API Microsoft Graph ou de PowerShell.
Centre d'administration Microsoft Entra
- Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’accès conditionnel au moins.
- Accédez à Entra ID>Accès conditionnel>Stratégies.
- Créez une stratégie ou sélectionnez une stratégie existante.
- Ouvrez les paramètres de contrôle de session.
- Sélectionnez Désactiver les valeurs par défaut de résilience pour désactiver le paramètre de cette stratégie. Les connexions dans l’étendue de la stratégie sont bloquées en cas de défaillance de Microsoft Entra.
- Enregistrez les modifications apportées à la stratégie.
API Microsoft Graph
Gérez les valeurs par défaut de résilience pour vos stratégies d’accès conditionnel à l’aide de l’API MS Graph et de l’Explorateur Microsoft Graph.
Exemple d’URL de la demande :
PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId
Exemple de corps de la demande :
{
"sessionControls": {
"disableResilienceDefaults": true
}
}
PowerShell
Déployez cette opération de correctif à l’aide de Microsoft PowerShell après avoir installé le module Microsoft.Graph.Authentication. Installez ce module en ouvrant une invite PowerShell avec élévation de privilèges et en exécutant
Install-Module Microsoft.Graph.Authentication
Connectez-vous à Microsoft Graph et demandez les étendues requises :
Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>
Connectez-vous lorsque vous y êtes invité.
Créez un corps JSON pour la requête PATCH :
$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'
Exécutez l’opération de correctif :
Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody
Recommandations
Microsoft recommande d’activer les valeurs de résilience par défaut. Bien qu’il n’y ait pas de problèmes de sécurité directs, évaluez s’il faut laisser le service d’authentification de sauvegarde évaluer les stratégies d’accès conditionnel lors d’une panne à l’aide de données collectées au début de la session plutôt qu’en temps réel.
Il est possible que l’appartenance d’un utilisateur à un rôle ou à un groupe ait changé depuis le début de la session. Avec l’évaluation continue de l’accès (CAE), les jetons d’accès restent valides pendant 24 heures, mais sont soumis à des événements de révocation instantanés. Le service d’authentification de secours s’abonne aux mêmes événements de révocation Évaluation continue de l’accès. Si le jeton d’un utilisateur est révoqué dans le cadre de l’AUTORITÉ de certification, l’utilisateur ne peut pas se connecter lors d’une panne. Lorsque les valeurs par défaut de résilience sont activées, les sessions qui expirent pendant une panne sont étendues. Les sessions sont étendues même si la stratégie est configurée avec un contrôle de session pour appliquer une fréquence de connexion. Par exemple, une stratégie dont les valeurs de résilience par défaut sont activées peut exiger que les utilisateurs se réauthentifient toutes les heures pour accéder à un site SharePoint. Pendant une panne, la session de l’utilisateur est étendue même si l’ID Microsoft Entra peut ne pas être disponible pour réauthentifier l’utilisateur.
Étapes suivantes
- En savoir plus sur l’évaluation continue de l’accès (CAE)