Décrire l’accès conditionnel

  • 6 minutes

L’accès conditionnel est une fonctionnalité de Microsoft Entra ID qui fournit une couche supplémentaire de sécurité avant d’autoriser les utilisateurs authentifiés à accéder à des données ou à d’autres ressources. L’accès conditionnel est implémenté à travers des stratégies créées et gérées dans Microsoft Entra. Une stratégie d’accès conditionnel analyse certains signaux, notamment ceux qui sont relatifs à l’utilisateur, à l’emplacement, à l’appareil, à l’application et aux risques pour automatiser les autorisations d’accès aux ressources (applications et données).

Capture d’écran montrant le flux de stratégie d’accès conditionnel. Les signaux servent à décider de l’autorisation ou du blocage de l’accès aux applications ou données.

Les stratégies d’accès conditionnel, dans leur forme la plus simple, sont des instructions if-then. Par exemple, une stratégie d’accès conditionnel peut indiquer que si un utilisateur appartient à un groupe spécifique, il doit fournir une authentification multifacteur pour se connecter à une application.

Important

Des stratégies d'accès conditionnel sont appliquées au terme de l'authentification premier facteur. L'accès conditionnel n'est pas destiné à être la première ligne de défense d'une organisation pour des scénarios comme les attaques par déni de service (DoS), mais il peut utiliser les signaux de ces événements pour déterminer l'accès.

Composants des stratégies d’accès conditionnel

Une stratégie d’accès conditionnel dans Microsoft Entra ID se compose de deux composants que sont affectations et contrôles d’accès.

Capture d’écran montrant les deux composants d’une stratégie d’accès conditionnel, les affectations et les contrôles d’accès.

Attributions

Lors de la création d’une stratégie d’accès conditionnel, les administrateurs peuvent déterminer les signaux à utiliser via des affectations. La partie Affectations de la stratégie contrôle les personnes, les éléments, l’emplacement et le moment de la stratégie d’accès conditionnel. Toutes les attributions sont reliées par l’opérateur logique AND. Si vous configurez plusieurs affectations, ces dernières doivent toutes être satisfaites pour qu’une stratégie soit déclenchée. Voici des exemples d’attribution :

  • Les utilisateurs affectent les personnes que la stratégie inclut ou exclut. Cette affectation peut inclure tous les utilisateurs du répertoire, des groupes ou des utilisateurs spécifiques, des rôles de répertoire, des hôtes externes et des identités de charge de travail.
  • Les ressources cibles incluent les applications ou les services, les actions de l’utilisateur, l’Accès global sécurisé (préversion) ou le contexte d’authentification.
    • Applications cloud : les administrateurs peuvent choisir dans la liste d’applications ou de services qui inclut des applications Microsoft intégrées, notamment les applications Microsoft Cloud, Office 365, l’API Gestion des services Windows Azure, les portails d’administration Microsoft et les applications inscrites Microsoft Entra.
    • Actions de l’utilisateur : les administrateurs peuvent choisir de définir une stratégie non basée sur une application cloud, mais sur une action de l’utilisateur telles que Enregistrer les informations de sécurité ou Inscrire ou joindre des appareils, ce qui permet à l’Accès conditionnel d’appliquer des contrôles autour de ces actions.
    • Accès global sécurisé (préversion) : les administrateurs peuvent utiliser des stratégies d’Accès conditionnel pour sécuriser le trafic transmis via le service Accès global sécurisé. Cette opération est effectuée en définissant des profils de trafic dans l’Accès global sécurisé. Les stratégies d’Accès conditionnel peuvent alors être attribuées au profil de trafic d’Accès global sécurisé.
    • Contexte d’authentification : un contexte d’authentification permet de renforcer la sécurité des données et des actions dans les applications. Par exemple, les utilisateurs qui ont accès à du contenu spécifique dans un site SharePoint peuvent être tenus d’accéder à ce contenu via un appareil géré ou d’accepter des conditions d’utilisation spécifiques.
  • Réseau vous permet de contrôler l’accès utilisateur en fonction du réseau ou de l’emplacement physique de l’utilisateur. Vous pouvez inclure n’importe quel réseau ou emplacement, les emplacements marqués comme réseaux approuvés ou plages d’adresses IP approuvées, ou des emplacements nommés. Vous pouvez également identifier les réseaux conformes constitués d’utilisateurs et d’appareils conformes aux stratégies de sécurité de votre organisation.
  • Les conditions définissent où et quand la stratégie s’applique. Il est possible de combiner plusieurs conditions pour créer des stratégies d’accès conditionnel spécifiques parfaitement adaptées aux besoins. Ces conditions comprennent notamment :
    • Risque de connexion et risque utilisateur. L’intégration à la protection des ID Microsoft Entra permet aux stratégies d’accès conditionnel d’identifier des actions suspectes liées aux comptes d’utilisateur dans l’annuaire et de déclencher une stratégie. Une connexion à risque est la probabilité qu’une connexion ou requête d’authentification donnée soit rejetée par le propriétaire de l’identité. Le risque utilisateur est la probabilité qu’une identité ou un compte donné soit compromis.
    • Risque interne. Les administrateurs disposant d’un accès à protection adaptative Microsoft Purview peuvent incorporer des signaux de risque de Microsoft Purview dans les décisions de stratégie d’accès conditionnel. Les risques internes prennent en compte la gouvernance des données, la sécurité des données et les configurations de conformité de Microsoft Purview.
    • Plateforme d’appareils. La plateforme de l’appareil, caractérisée par le système d’exploitation s’exécutant sur ce dernier, peut être utilisée lors de l’application des stratégies d’accès conditionnel.
    • Applications clientes. Les applications clientes, les logiciels utilisés par l’utilisateur pour accéder à l’application cloud, notamment les navigateurs, applications mobiles, clients de bureau, peuvent également être utilisés dans la décision relative à la stratégie d’accès.
    • Filtres pour les appareils. Les organisations peuvent appliquer des stratégies basées sur les propriétés de l’appareil par l’option filtres pour les appareils. Par exemple, cette option peut servir à cibler des stratégies sur des appareils spécifiques tels que des stations de travail à accès privilégié.

La partie Affectations contrôle par essence les personnes, les éléments et l’emplacement de la stratégie d’accès conditionnel.

Contrôles d’accès

Une fois la stratégie d’accès conditionnel appliquée, une décision éclairée est prise pour déterminer s’il faut bloquer ou accorder l’accès, accorder l’accès avec une vérification supplémentaire ou appliquer un contrôle de session pour permettre une expérience limitée. La décision fait référence à la partie des contrôles d’accès de la stratégie d’accès conditionnel et définit la façon dont une stratégie est appliquée. Les décisions courantes sont les suivantes :

  • Bloquer l’accès
  • Accorder l'accès. Les administrateurs peuvent accorder l’accès sans contrôle supplémentaire, ou choisir d’appliquer un ou plusieurs contrôles lors de l’octroi de l’accès. Parmi les exemples de contrôles utilisés pour accorder l’accès, on compte l’obligation pour les utilisateurs d’effectuer une authentification multifacteur, l’exigence de méthodes d’authentification spécifiques pour accéder à une ressource, l’obligation pour les appareils de répondre à des exigences spécifiques de stratégie de conformité, l’exigence de modification du mot de passe, etc. Pour obtenir une liste complète, reportez-vous à Accorder des contrôles dans une stratégie d’accès conditionnel.
  • Session. Dans une stratégie d’accès conditionnel, un administrateur peut utiliser des contrôles de session pour autoriser des expériences limitées dans des applications cloud spécifiques. Par exemple, le contrôle d’application par accès conditionnel utilise les signaux de Microsoft Defender for Cloud Apps afin de bloquer les fonctionnalités de téléchargement, de coupage, de copie et d’impression pour les documents sensibles, ou pour exiger l’étiquetage des fichiers sensibles. Les autres contrôles de session incluent la fréquence de connexion et les restrictions appliquées par l’application qui, pour les applications sélectionnées, utilisent les informations de l’appareil pour fournir aux utilisateurs une expérience limitée ou totale, en fonction de l’état de l’appareil. Pour obtenir une liste complète, consultez Contrôles de session dans une stratégie d’accès conditionnel.

En résumé, la partie affectations contrôle les personnes, les éléments et l’emplacement de la stratégie d’accès conditionnel, tandis que la partie contrôles d’accès gère la façon dont une stratégie est appliquée.