Accès conditionnel : flux d’authentification (Préversion)

Microsoft Entra ID prend en charge une grande variété de flux d’authentification et d’autorisation afin d’offrir une expérience transparente pour tous les types d’applications et d’appareils. Certains de ces flux d’authentification sont plus risqués que d’autres. Afin de mieux contrôler votre sécurité, nous avons ajouté la possibilité de contrôler certains flux d’authentification à l’accès conditionnel. Ce contrôle commence par la possibilité de cibler explicitement flux de code d’appareil.

Flux de code d’appareil

Le flux de code de l’appareil est utilisé lors de la signature sur des appareils qui peuvent ne pas avoir de périphériques d’entrée locaux, comme les appareils partagés ou les enseignes numériques. Le flux de code d’appareil est un flux d’authentification à haut risque qui peut être utilisé dans le cadre d’une attaque par hameçonnage ou pour accéder aux ressources de l’entreprise sur des appareils non gérés. Vous pouvez configurer le contrôle de flux de code de l’appareil avec d’autres contrôles dans vos stratégies d’accès conditionnel. Par exemple, si le flux de codes d’appareils est utilisé pour les appareils Android utilisés dans les salles de conférence, vous pouvez choisir de bloquer le flux de codes d’appareils partout, sauf pour les appareils Android situés dans un emplacement spécifique du réseau.

Vous devez autoriser uniquement le flux de code de l’appareil si nécessaire. Microsoft recommande de bloquer le flux de code de l’appareil dans la mesure du possible.

Transfert d’authentification

Le transfert d’authentification est un nouveau flux qui offre un moyen transparent de transférer l’état authentifié d’un appareil à un autre. Par exemple, les utilisateurs pourraient se voir présenter un code QR dans la version de bureau d’Outlook qui, lorsqu’il est scanné sur leur appareil mobile, transfère leur état d’authentification sur l’appareil mobile. Cette capacité offre une expérience utilisateur simple et intuitive qui réduit le niveau global de friction pour les utilisateurs.

La capacité à contrôler le transfert d’authentification est en préversion. Utilisez la condition Flux d’authentification dans l’accès conditionnel pour gérer la fonctionnalité.

Suivi des protocoles

Pour s’assurer que les politiques d’accès conditionnel sont correctement appliquées aux flux d’authentification spécifiés, nous utilisons une fonctionnalité appelée suivi de protocole. Ce suivi est appliqué à la session à l’aide du flux de code d’appareil ou du transfert d’authentification. Dans ces cas, les sessions sont considérées comme suivies par protocole. Toutes les sessions suivies par protocole sont soumises à l’application de la stratégie si une stratégie existe. L’état de suivi du protocole est soutenu par les actualisations suivantes. Les flux de code ou de transfert d’authentification ne provenant pas d’un dispositif peuvent être soumis à l’application des politiques relatives aux flux d’authentification si la session fait l’objet d’un suivi protocolaire.

Par exemple :

  1. Vous configurez une politique pour bloquer le flux de code de l’appareil partout sauf pour SharePoint.
  2. Vous utilisez le flux de code de l’appareil pour vous connecter à SharePoint, comme autorisé par la stratégie configurée. À ce stade, la session est considérée comme un protocole suivi
  3. Vous essayez de vous connecter à Exchange dans le contexte de la même session en utilisant n’importe quel flux d’authentification et pas seulement le flux de code de l’appareil.
  4. Vous êtes bloqué(e) par la stratégie configurée en raison de l’état suivi du protocole de la session

Journaux d’activité de connexion

Lors de la configuration d’une politique visant à restreindre ou à bloquer le flux de code d’un appareil, il est important de comprendre si et comment le flux de code d’un appareil est utilisé dans votre organisation. La création d’une stratégie d’accès conditionnel en mode rapport uniquement ou le filtrage des journaux de connexion pour les événements de flux de code d’appareil avec le protocole d’authentification filtre peut vous aider.

Pour faciliter la résolution des erreurs liées au suivi des protocoles, nous avons ajouté une nouvelle propriété appelée méthode de transfert d’origine aux détails de l’activité section des journaux de connexion l’accès conditionnel. Cette propriété affiche l’état de suivi du protocole de la requête en question. Par exemple, pour une session dans laquelle le flux de code d’appareil a été effectué précédemment, la méthode de transfert d’origine est définie sur flux de code d’appareil.

Application des stratégies de flux d’authentification sur la ressource du service d’inscription d’appareil

À compter du début de septembre 2024, Microsoft commencera à appliquer des stratégies de flux d’authentification sur le service d’inscription d’appareil. Cela s’applique uniquement aux stratégies qui ciblent toutes les ressources du sélecteur de ressources . Si votre organisation utilise actuellement le flux de code d’appareil à des fins d’inscription d’appareil et que vous disposez d’une stratégie de flux d’authentification ciblant toutes les ressources, vous devez exempter la ressource d’inscription d’appareil de l’étendue de votre stratégie d’accès conditionnel pour éviter l’impact. Vous trouverez la ressource du service d’inscription d’appareil dans l’option Ressources cibles présente dans l’expérience de configuration de la stratégie d’accès conditionnel. Pour exempter le service d’inscription d’appareil via l’expérience utilisateur d’accès conditionnel, vous devez accéder aux ressources cibles -Exclure ->>Sélectionner les applications cloud exclues ->Service d’inscription d’appareil. Pour l’API, vous devez mettre à jour votre stratégie en excluant l’ID client du service d’inscription d’appareil : 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.

Si vous ne savez pas si votre organisation utilise le flux de code d’appareil par rapport au service d’inscription d’appareil, vous pouvez utiliser les journaux de connexion Microsoft Entra pour déterminer cela. Là, vous pouvez filtrer l’ID client du service d’inscription d’appareil dans le filtre ID de ressource et l’affiner à l’utilisation du flux de code d’appareil en utilisant l’option de code de l’appareil dans le filtre de protocole d’authentification.

Dépannage des blocages inattendus

Si une ouverture de session est bloquée de manière inattendue par une politique d’accès conditionnel, vous devez vérifier s’il s’agit d’une politique de flux d’authentification. Vous pouvez effectuer cette confirmation en accédant à journaux de connexion, en cliquant sur la connexion bloquée, puis en accédant à l’onglet accès conditionnel dans les détails de l’activité  : connexions volet. Si la politique appliquée est une politique de flux d’authentification, sélectionnez la politique pour déterminer le flux d’authentification correspondant.

Si le flux du code de l’appareil correspond mais que le flux du code de l’appareil n’est pas le flux effectué pour cette connexion, cela signifie que le jeton de rafraîchissement a fait l’objet d’un suivi protocolaire. Vous pouvez vérifier ce cas en cliquant sur la connexion bloquée et en recherchant la propriété Méthode de transfert d’origine dans la partie Informations de base du volet Détails de l’activité : connexions.

Remarque

Les blocs en raison des sessions suivies par protocole sont des comportements attendus pour cette stratégie. Aucune mesure corrective n’est recommandée.