Partager via


Atténuer les risques et débloquer les utilisateurs

Une fois votre investigation terminée, vous devez prendre des mesures pour corriger les utilisateurs à risque ou les débloquer. Les organisations peuvent activer une correction automatisée en configurant des stratégies basées sur les risques. Les organisations doivent essayer d’investiguer et de corriger tous les utilisateurs à risque dans un délai qui convient à votre organisation. Microsoft recommande d’agir rapidement, car le temps compte en matière de risques.

Mesures de correction des risques

Toutes les détections de risque actives sont prises en compte dans le calcul du niveau de risque de l’utilisateur. Le niveau de risque de l’utilisateur est un indicateur (faible, moyen, élevé) de la probabilité que le compte de l’utilisateur soit compromis. Après avoir examiné les utilisateurs à risque et les détections et connexions à risque correspondantes, vous devez corriger les utilisateurs à risque afin qu’ils ne soient plus à risque et bloqués d’accès.

Protection Microsoft Entra ID marque certaines détections de risques et les connexions risquées correspondantes comme ignorées avec l’état de risque Ignoré et le détail du risque Protection Microsoft Entra ID a évalué la connexion comme étant sécurisée. Cette action est due au fait que ces événements ne sont plus jugés à risque.

Pour corriger, les administrateurs disposent des options suivantes :

  • Configurer des stratégies basées sur les risques pour permettre aux utilisateurs de corriger eux-mêmes leurs risques
  • Réinitialiser manuellement leur mot de passe
  • Ignorer le risque lié à l’utilisateur
  • Afficher dans Microsoft Defender pour Identity

Auto-correction avec une stratégie basée sur les risques

Vous pouvez autoriser les utilisateurs à corriger eux-mêmes leurs risques de connexion et leurs propres risques en configurant des stratégies basées sur les risques. Si les utilisateurs passent le contrôle d’accès requis, tel que l’authentification multifacteur ou un changement de mot de passe sécurisé, leurs risques sont automatiquement corrigés. Les détections de risques correspondantes, les connexions risquées et les utilisateurs à risque correspondants sont signalés avec l’état de risque Corrigé au lieu de À risque.

Les prérequis pour les utilisateurs avant que des stratégies basées sur les risques puissent être appliquées pour permettre l’auto-correction des risques sont les suivantes :

  • Pour effectuer une authentification MFA afin de corriger soi-même une connexion à risque :
    • L’utilisateur doit être inscrit pour l’authentification multifacteur Microsoft Entra.
  • Pour effectuer un changement de mot de passe sécurisé afin de corriger soi-même un utilisateur risque :
    • L’utilisateur doit être inscrit pour l’authentification multifacteur Microsoft Entra.
    • Pour les utilisateurs hybrides synchronisés entre un emplacement local et le cloud, la réécriture du mot de passe doit être activée.

Si une stratégie basée sur les risques est appliquée à un utilisateur pendant la connexion avant que les conditions préalables ci-dessus ne soient remplies, l’utilisateur est bloqué. Cette action de blocage est due au fait que l’utilisateur n’est pas en mesure d’effectuer le contrôle d’accès requis et qu’une intervention de l’administrateur est nécessaire pour le débloquer.

Les stratégies basées sur les risques sont configurées en fonction des niveaux de risque et s’appliquent seulement si le niveau de risque de la connexion ou de l’utilisateur correspond au niveau configuré. Certaines détections peuvent ne pas élever le risque au niveau où la stratégie s’applique. Les administrateurs doivent gérer ces utilisateurs à risque manuellement. Les administrateurs peuvent juger que des mesures supplémentaires sont nécessaires, comme bloquer l’accès à partir de certains emplacements ou abaisser le niveau de risque acceptable dans leurs stratégies.

Auto-correction avec la réinitialisation de mot de passe en libre-service

Si un utilisateur est inscrit à la réinitialisation de mot de passe en libre-service (SSPR), il peut corriger son propre risque utilisateur en procédant à une réinitialisation de mot de passe en libre-service.

Réinitialisation manuelle du mot de passe

Si l’obligation de réinitialiser le mot de passe à l’aide d’une stratégie de risque utilisateur n’est pas envisageable, ou que le temps presse, les administrateurs peuvent corriger un utilisateur à risque en demandant une réinitialisation du mot de passe.

Les administrateurs disposent d’options parmi lesquelles ils peuvent choisir :

Générer un mot de passe temporaire

La génération d’un mot de passe temporaire vous permet de rétablir immédiatement la sécurité d’une identité. Cette méthode nécessite de contacter les utilisateurs affectés, car ceux-ci ont besoin de connaître le mot de passe temporaire. Étant donné que le mot de passe est temporaire, l’utilisateur est invité à le modifier lors de sa prochaine connexion.

  • Ils peuvent générer des mots de passe pour les utilisateurs cloud et hybrides dans le centre d’administration Microsoft Entra.

  • Ils peuvent générer des mots de passe pour les utilisateurs hybrides à partir d’un répertoire local lorsque la synchronisation de hachage de mot de passe et le paramètre Autoriser la modification du mot de passe localement pour réinitialiser le risque utilisateur est activé.

    Avertissement

    Ne sélectionnez pas l’option L’utilisateur doit changer le mot de passe à la prochaine ouverture de session. Cela n'est pas pris en charge.

Exiger que l’utilisateur réinitialise le mot de passe

Exiger que les utilisateurs réinitialisent les mots de passe entraîne une récupération automatique qui ne nécessite aucun contact avec le support technique ou un administrateur.

  • Les utilisateurs cloud et hybrides peuvent effectuer une modification de mot de passe sécurisée. Cette méthode s’applique uniquement aux utilisateurs qui peuvent déjà effectuer l’authentification multifacteur. Pour les utilisateurs non inscrits, cette option n’est pas disponible.
  • Les utilisateurs hybrides peuvent effectuer une modification de mot de passe en à partir d’un appareil Windows local ou à jonction hybride, lorsque la synchronisation de hachage de mot de passe et le paramètre Autoriser la modification du mot de passe localement pour réinitialiser le risque utilisateur est activé.

Autoriser la réinitialisation de mot de passe localement pour corriger les risques utilisateur

Les organisations qui ont activé la synchronisation de hachage du mot de passe peuvent autoriser les changements de mot de passe localement pour corriger les risques de sécurité liés aux utilisateurs.

Cette configuration fournit aux organisations deux nouvelles fonctionnalités :

  • Les utilisateurs hybrides à risque peuvent se corriger automatiquement sans intervention des administrateurs. Lorsqu’un mot de passe est modifié localement, le risque utilisateur est désormais corrigé automatiquement dans Protection Microsoft Entra ID, réinitialisant l’état actuel du risque utilisateur.
  • Les organisations peuvent déployer de manière proactive les stratégies de risque utilisateur qui nécessitent des modifications de mot de passe afin de protéger en toute confiance leurs utilisateurs hybrides. Cette option permet de renforcer la posture de sécurité de votre organisation et simplifie la gestion de la sécurité en garantissant la résolution rapide des risques utilisateur, même dans des environnements hybrides complexes.

Capture d’écran montrant l’emplacement de la case à cocher Autoriser la modification du mot de passe localement pour réinitialiser le risque utilisateur.

Pour configurer ce paramètre

  1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’Opérateur de sécurité.
  2. Accédez à Protection>Protection des identités>Paramètres.
  3. Cochez la case pour Autoriser la modification du mot de passe localement pour réinitialiser le risque utilisateur.
  4. Sélectionnez Enregistrer.

Remarque

L’autorisation de modifier le mot de passe local pour réinitialiser le risque utilisateur est une fonctionnalité avec option d’acceptation uniquement. Les clients doivent évaluer cette fonctionnalité avant l’activation dans les environnements de production. Nous recommandons aux clients de sécuriser les flux de modification ou de réinitialisation de mot de passe locaux. Par exemple, exiger une authentification multifacteur avant d’autoriser les utilisateurs à modifier leur mot de passe local à l’aide d’un outil tel que le portail de réinitialisation de mot de passe libre-service de Microsoft Identity Manager.

Ignorer le risque lié à l’utilisateur

Si, après investigation et confirmation que le compte d’utilisateur ne risque pas d’être compromis, vous pouvez choisir d’ignorer l’utilisateur à risque.

Pour ignorer le risque utilisateur en tant qu'au moins opérateur de sécurité dans le centre d'administration Microsoft Entra, accédez à Protection>Protection de l'identité>Utilisateurs à risque, sélectionnez l'utilisateur concerné, puis sélectionnez Ignorer le risque utilisateur.

Lorsque vous sélectionnez Ignorer le risque lié à l’utilisateur, l’utilisateur n’est plus à risque, et toutes les connexions risquées de cet utilisateur ainsi que les détections de risques correspondantes sont également ignorées.

Étant donné que cette méthode n’a pas d’incidence sur le mot de passe existant de l’utilisateur, elle ne rétablit pas son identité à un état sécurisé.

État et détail du risque basés sur un risque ignoré

  • Utilisateurs à risque :
    • État du risque : « À risque  » -> « Ignoré »
    • Détail du risque (détail de la correction du risque) : « - » -> « L’administrateur a ignoré l’ensemble des risques pour l’utilisateur »
  • Toutes les connexions à risque de cet utilisateur et les détections de risques correspondantes :
    • État du risque : « À risque  » -> « Ignoré »
    • Détail du risque (détail de la correction du risque) : « - » -> « L’administrateur a ignoré l’ensemble des risques pour l’utilisateur »

Confirmer qu’un utilisateur est compromis

Si, après investigation, un compte est confirmé compromis :

  1. Sélectionnez l’événement ou l’utilisateur dans les rapports Connexions risquées ou Utilisateurs à risque, puis choisissez « Confirmer la compromission ».
  2. Si une stratégie basée sur les risques n’a pas été déclenchée et que le risque n’a pas été corrigé automatiquement, effectuez une ou plusieurs des actions suivantes :
    1. Demander la réinitialisation du mot de passe.
    2. Bloquez l’utilisateur si vous pensez que l’attaquant peut réinitialiser le mot de passe ou procéder à l’authentification multifacteur pour l’utilisateur.
    3. Révoquez les jetons d’actualisation.
    4. Désactivez tous les appareils qui sont considérés comme compromis.
    5. Si vous utilisez l’évaluation de l’accès continu, révoquez tous les jetons d’accès.

Pour plus d’informations sur ce qui se passe lors de la confirmation d’une compromission, consultez la section Comment laisser des commentaires sur les risques ?.

Utilisateurs supprimés

Il n’est pas possible pour les administrateurs de rejeter les risques pour les utilisateurs supprimés de l’annuaire. Pour supprimer les utilisateurs supprimés, ouvrez un dossier de support Microsoft.

Déblocage des utilisateurs

Un administrateur peut choisir de bloquer une connexion en fonction de sa stratégie en matière de risque ou de ses investigations. Un blocage peut se produire en fonction d’une connexion ou d’un risque utilisateur.

Déblocage basé sur le risque utilisateur

Pour débloquer un compte bloqué en raison d’un risque utilisateur, les administrateurs disposent des options suivantes :

  1. Réinitialiser le mot de passe réinitialisé : vous pouvez réinitialiser le mot de passe de l’utilisateur. Si un utilisateur a été compromis ou risque de l’être, son mot de passe doit être réinitialisé pour protéger son compte et votre organisation.
  2. Ignorer le risque lié à l’utilisateur : la stratégie de gestion du risque utilisateur bloque un utilisateur lorsque le niveau de risque utilisateur configuré pour bloquer l’accès est atteint. Si, après investigation, vous êtes certain que l’utilisateur ne risque pas d’être compromis et que vous pouvez autoriser son accès en toute sécurité, vous pouvez réduire le niveau de risque de l’utilisateur en ignorant son risque.
  3. Exclure l’utilisateur de la stratégie : Si vous pensez que la configuration actuelle de votre stratégie de connexion entraîne des problèmes pour certains utilisateurs et que vous pouvez sans risque leur accorder l’accès sans leur appliquer cette stratégie, vous pouvez les exclure de cette stratégie. Pour plus d’informations, consultez la section Exclusions de l’article Guide pratique : Configurer et activer des stratégies de risque.
  4. Désactiver la stratégie : si vous pensez que votre configuration de la stratégie est à l’origine des problèmes pour tous vos utilisateurs, vous pouvez désactiver la stratégie. Pour plus d’informations, consultez l’article Guide pratique : Configurer et activer des stratégies de risque.

Déblocage basé sur le risque de connexion

Pour débloquer un compte en fonction du risque de connexion, les administrateurs disposent des options suivantes :

  1. Connexion à partir d’un emplacement ou d’un appareil connu : les connexions suspectes bloquées sont généralement des tentatives de connexion effectuées à partir d’un emplacement ou d’un appareil inconnu. Vos utilisateurs peuvent déterminer rapidement s’il s’agit bien de la raison du blocage en essayant de se connecter à partir d’un appareil ou d’un emplacement connu.
  2. Exclure l’utilisateur de la stratégie : si vous pensez que la configuration actuelle de votre stratégie d’authentification occasionne des problèmes pour certains utilisateurs, vous pouvez les en exclure. Pour plus d’informations, consultez la section Exclusions de l’article Guide pratique : Configurer et activer des stratégies de risque.
  3. Désactiver la stratégie : si vous pensez que votre configuration de la stratégie est à l’origine des problèmes pour tous vos utilisateurs, vous pouvez désactiver la stratégie. Pour plus d’informations, consultez l’article Guide pratique : Configurer et activer des stratégies de risque.

Blocage automatique en raison d’un niveau de confiance élevé de risque

La protection Microsoft Entra ID bloque automatiquement les connexions dont le niveau de confiance de risque est très élevé. Ce blocage se produit le plus souvent sur les connexions effectuées via des protocoles d’authentification hérités et qui présentent les propriétés d’une tentative malveillante.

Lorsqu’un utilisateur est bloqué avec ce dispositif, il reçoit une erreur d’authentification 50053. L’examen des journaux de connexion affiche la raison de blocage suivante : « La connexion a été bloquée par des protections intégrées en raison d’un niveau de confiance élevée de risque ».

Pour débloquer un compte concerné par un niveau de confiance élevé de risque de connexion, les administrateurs disposent des options suivantes :

  1. Ajouter l’adresse IP utilisée pour la connexion aux paramètres d’emplacements approuvés : si la connexion est effectuée à partir d’un emplacement connu de votre entreprise, vous pouvez ajouter l’adresse IP comme adresse de confiance. Pour plus d’informations, consultez la section « Emplacements approuvés » dans l’article Accès conditionnel : attribution de réseau.
  2. Utilisez un protocole d’authentification moderne : si la connexion est effectuée via un protocole hérité, basculer vers un protocole moderne débloquera la tentative.

Avec une mise à jour récente de notre architecture de détection, nous ne corrigeons plus automatiquement les sessions avec des revendications MFA lorsqu’un vol de jeton ou une détection nationale d’IP du Microsoft Threat Intelligence Center (MSTIC) se déclenche pendant la connexion.

Les détections de protection des ID suivantes qui identifient une activité de jeton suspecte et la détection nationale d’IP du MSTIC ne sont plus automatiquement corrigées :

  • Veille des menaces Microsoft Entra
  • Jeton anormal
  • Attaquant du milieu
  • Détection nationale d’IP du MSTIC
  • Anomalie de l’émetteur du jeton

La protection d’ID affiche désormais les détails de session dans le volet Détails de la détection des risques pour les détections qui émettent des données de connexion. Cette modification garantit que nous ne fermons pas les sessions contenant des détections où il existe des risques liés à l’authentification multifacteur. Fournir des détails de session avec des détails sur les risques au niveau de l’utilisateur offre des informations précieuses pour faciliter l’investigation. Ces informations comprennent :

  • Type d’émetteur de jeton
  • Heure de connexion
  • Adresse IP
  • Emplacement de connexion
  • Client de connexion
  • ID de demande de connexion
  • ID de corrélation de connexion

Si vous avez configuré des stratégies d’accès conditionnel basées sur les risques utilisateur et l’une des détections qui indiquent une activité de jeton suspecte est déclenchée sur un utilisateur, l’utilisateur final doit effectuer une modification de mot de passe sécurisée et réauthentifier son compte avec l’authentification multifacteur pour effacer le risque.

PowerShell en préversion

Le module Microsoft Graph PowerShell SDK Preview permet aux organisations de gérer les risques à l'aide de PowerShell. Les modules disponibles en préversion et les exemples de code se trouvent dans le référentiel GitHub Microsoft Entra.

Le script Invoke-AzureADIPDismissRiskyUser.ps1 inclus dans le référentiel permet aux organisations de rejeter tous les utilisateurs à risque dans leur répertoire.