Protéger l’inscription des informations de sécurité avec la stratégie d’accès conditionnel

La sécurisation de l’inscription des utilisateurs à l’authentification multifacteur Microsoft Entra et à la réinitialisation de mot de passe en libre-service est possible avec les actions de l’utilisateur dans une stratégie d’accès conditionnel. Cette fonctionnalité est accessible aux organisations qui activent l’inscription combinée. Cette fonctionnalité permet aux organisations de traiter le processus d’inscription comme n’importe quelle application dans une stratégie d’accès conditionnel et d’utiliser toute la puissance de l’accès conditionnel pour sécuriser l’expérience. Les utilisateurs qui se connectent à l’application Microsoft Authenticator ou qui activent la connexion par téléphone sans mot de passe sont soumis à cette stratégie.

Certaines organisations du passé peuvent avoir utilisé l’emplacement réseau approuvé ou la conformité des appareils comme un moyen de sécuriser l’inscription. Avec l’ajout du Passe d’accès temporaire dans Microsoft Entra ID, les administrateurs peuvent fournir des informations d’identification limitées dans le temps à leurs utilisateurs, ce qui leur permet de s’inscrire à partir de n’importe quel appareil ou emplacement. Les informations d’identification du passe d’accès temporaire répondent aux exigences d’accès conditionnel pour l’authentification multifacteur.

Exclusions d’utilisateurs

Les stratégies d’accès conditionnel sont des outils puissants. Nous vous recommandons donc d’exclure les comptes suivants de vos stratégies :

  • Accès d’urgence ou comptes de secours pour empêcher le verrouillage en raison d’une configuration incorrecte de la stratégie. Dans le scénario peu probable, tous les administrateurs sont verrouillés, votre compte d’administration d’accès d’urgence peut être utilisé pour se connecter et prendre des mesures pour récupérer l’accès.
  • Comptes de service et principaux de service, tels que le compte Microsoft Entra Connect Sync. Les comptes de service sont des comptes non interactifs qui ne sont liés à aucun utilisateur particulier. Ils sont généralement utilisés par des services back-end autorisant l’accès par programmation aux applications, mais ils le sont également pour une connexion aux systèmes à des fins administratives. Les appels effectués par les principaux de service ne seront pas bloqués par les stratégies d’accès conditionnel destinées aux utilisateurs. Utilisez l’accès conditionnel des identités de charge de travail pour élaborer des stratégies ciblant les principaux de service.
    • Si votre organisation utilise ces comptes dans des scripts ou du code, envisagez de les remplacer par des identités managées.

Déploiement de modèle

Les organisations peuvent choisir de déployer cette stratégie en suivant les étapes décrites ci-dessous ou en utilisant les modèles d'accès conditionnel.

Créer une stratégie pour sécuriser l’inscription

La stratégie suivante s’applique aux utilisateurs sélectionnés, qui tente de s’inscrire au moyen de l’inscription combinée. La stratégie exige que les utilisateurs se trouvent dans un emplacement réseau approuvé et qu’ils effectuent une authentification multifacteur, ou qu’ils utilisent des informations d’identification de passe d’accès temporaire.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
  2. Accédez à Protection>Accès conditionnel>Stratégies.
  3. Sélectionnez Nouvelle stratégie.
  4. Sous Nom, entrez un nom pour cette stratégie. Par exemple, Inscription d’informations de sécurité combinée avec TAP.
  5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
    1. Sous Inclure, sélectionnez Tous les utilisateurs.

      Avertissement

      Les utilisateurs doivent être activés pour l’inscription combinée.

    2. Sous Exclure.

      1. Sélectionnez Tous les utilisateurs invités et externes.

        Remarque

        Le Passe d’accès temporaire ne fonctionne pas pour les utilisateurs invités.

      2. Sélectionnez Utilisateurs et groupes et choisissez les comptes d’accès d’urgence ou de secours de votre organisation.

  6. Sous Ressources cibles>Actions utilisateur, cochez Enregistrer les informations de sécurité.
  7. Sous Conditions>Emplacements.
    1. Définissez Configurer sur Oui.
      1. Incluez N’importe quel emplacement.
      2. Excluez Tous les emplacements approuvés.
  8. Sous Contrôles d’accès>Accorder, sélectionnez Accorder l’accès.
    1. Sélectionnez Exiger la force d’authentification, puis sélectionnez la force d’authentification intégrée ou personnalisée appropriée dans la liste.
    2. Sélectionnez Sélectionner.
  9. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
  10. Sélectionnez Créer pour créer votre stratégie.

Une fois que les administrateurs ont confirmé les paramètres à l’aide du mode État uniquement, ils peuvent modifier la position du bouton bascule Activer la stratégie de État uniquement en Activé.

Les administrateurs doivent émettre des informations d’identification de passe d’accès temporaire aux nouveaux utilisateurs pour qu’ils puissent répondre aux conditions requises pour l’inscription de l’authentification multifacteur. Les étapes pour accomplir cette tâche se trouvent dans la section Créer un passe d’accès temporaire dans le Centre d’administration Microsoft Entra.

Les organisations peuvent choisir d’exiger d’autres contrôles d’octroi avec ou à la place d’Exiger une authentification multifacteur à l’étape 8a. Lorsque vous sélectionnez plusieurs contrôles, veillez à activer la case d’option appropriée pour exiger l’ensemble ou l’un des contrôles sélectionnés lors de l’exécution de cette modification.

Inscription des utilisateurs invités

Pour les utilisateurs invités qui doivent s’inscrire à l’authentification multifacteur dans votre répertoire, vous pouvez choisir de bloquer l’inscription en dehors des emplacements réseau approuvés à l’aide du guide suivant.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
  2. Accédez à Protection>Accès conditionnel>Stratégies.
  3. Sélectionnez Nouvelle stratégie.
  4. Dans Nom, entrez un nom pour cette stratégie. Par exemple, Inscription d’informations de sécurité combinée sur les réseaux approuvés.
  5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
    1. Sous Inclure, sélectionnez Tous les utilisateurs invités et externes.
  6. Sous Ressources cibles>Actions utilisateur, cochez Enregistrer les informations de sécurité.
  7. Sous Conditions>Emplacements.
    1. Configurez Oui.
    2. Incluez N’importe quel emplacement.
    3. Excluez Tous les emplacements approuvés.
  8. Sous Contrôles d’accès>Octroyer.
    1. Sélectionnez Bloquer l’accès.
    2. Choisissez ensuite Sélectionner.
  9. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
  10. Sélectionnez Créer pour créer votre stratégie.

Une fois que les administrateurs ont confirmé les paramètres à l’aide du mode État uniquement, ils peuvent modifier la position du bouton bascule Activer la stratégie de État uniquement en Activé.