Activer l’accès conditionnel pour mieux protéger les utilisateurs, les appareils et les données

S’applique à :

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

L’accès conditionnel est une fonctionnalité qui vous permet de mieux protéger vos utilisateurs et vos informations d’entreprise en vous assurant que seuls les appareils sécurisés ont accès aux applications.

Avec l’accès conditionnel, vous pouvez contrôler l’accès aux informations d’entreprise en fonction du niveau de risque d’un appareil. Cela permet de conserver des utilisateurs approuvés sur des appareils approuvés à l’aide d’applications approuvées.

Vous pouvez définir des conditions de sécurité dans lesquelles les appareils et les applications peuvent s’exécuter et accéder aux informations de votre réseau en appliquant des stratégies pour empêcher l’exécution des applications jusqu’à ce qu’un appareil revient à un état conforme.

L’implémentation de l’accès conditionnel dans Defender pour point de terminaison est basée sur les stratégies de conformité des appareils Microsoft Intune (Intune) et sur les stratégies d’accès conditionnel Microsoft Entra.

La stratégie de conformité est utilisée avec l’accès conditionnel pour autoriser uniquement les appareils qui remplissent une ou plusieurs règles de stratégie de conformité des appareils à accéder aux applications.

Comprendre le flux d’accès conditionnel

L’accès conditionnel est mis en place de sorte que lorsqu’une menace est détectée sur un appareil, l’accès au contenu sensible soit bloqué jusqu’à ce que la menace soit corrigée.

Le flux commence par les appareils dont le risque est faible, moyen ou élevé. Ces déterminations de risque sont ensuite envoyées à Intune.

Selon la façon dont vous configurez les stratégies dans Intune, l’accès conditionnel peut être configuré de sorte que lorsque certaines conditions sont remplies, la stratégie soit appliquée.

Par exemple, vous pouvez configurer Intune pour appliquer l’accès conditionnel sur les appareils présentant un risque élevé.

Dans Intune, une stratégie de conformité des appareils est utilisée avec l’accès conditionnel Microsoft Entra pour bloquer l’accès aux applications. En parallèle, un processus automatisé d’investigation et de correction est lancé.

Un utilisateur peut toujours utiliser l’appareil pendant l’investigation et la correction automatisées, mais l’accès aux données d’entreprise est bloqué jusqu’à ce que la menace soit entièrement corrigée.

Pour résoudre le risque détecté sur un appareil, vous devez rétablir l’état conforme de l’appareil. Un appareil revient à un état conforme lorsqu’il n’y a aucun risque visible.

Il existe trois façons de faire face à un risque :

  1. Utilisez la correction manuelle ou automatisée.
  2. Résoudre les alertes actives sur l’appareil. Cela supprime le risque de l’appareil.
  3. Vous pouvez supprimer l’appareil des stratégies actives et, par conséquent, l’accès conditionnel ne sera pas appliqué sur l’appareil.

La correction manuelle nécessite qu’un administrateur de secops examine une alerte et traite le risque observé sur l’appareil. La correction automatisée est configurée via les paramètres de configuration fournis dans la section suivante, Configurer l’accès conditionnel.

Lorsque le risque est supprimé via une correction manuelle ou automatisée, l’appareil revient à un état conforme et l’accès aux applications est accordé.

L’exemple de séquence d’événements suivant explique l’accès conditionnel en action :

  1. Un utilisateur ouvre un fichier malveillant et Defender pour point de terminaison signale l’appareil comme présentant un risque élevé.
  2. L’évaluation des risques élevés est transmise à Intune. En parallèle, une enquête automatisée est lancée pour corriger la menace identifiée. Une correction manuelle peut également être effectuée pour corriger la menace identifiée.
  3. Selon la stratégie créée dans Intune, l’appareil est marqué comme non conforme. L’évaluation est ensuite communiquée à Microsoft Entra ID par la stratégie d’accès conditionnel Intune. Dans Microsoft Entra ID, la stratégie correspondante est appliquée pour bloquer l’accès aux applications.
  4. L’investigation et la correction manuelles ou automatisées sont terminées et la menace est supprimée. Defender pour point de terminaison constate qu’il n’y a aucun risque sur l’appareil et Intune évalue l’état conforme de l’appareil. Microsoft Entra ID applique la stratégie, qui autorise l’accès aux applications.
  5. Les utilisateurs peuvent désormais accéder aux applications.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.