Ajouter l’accès conditionnel à des flux d’utilisateurs dans Azure Active Directory B2C

  • Article

Avant de commencer, utilisez le sélecteur Choisir un type de stratégie pour choisir le type de stratégie que vous configurez. Azure Active Directory B2C offre deux possibilités pour définir la façon dont les utilisateurs interagissent avec vos applications : via des flux utilisateurs prédéfinis ou via des stratégies personnalisées entièrement configurables. La procédure donnée dans cet article est différente pour chaque méthode.

L’accès conditionnel peut être ajouté à vos flux d’utilisateurs Azure Active Directory B2C (Azure AD B2C) ou stratégies pesonnalisées pour gérer les connexions risquées à vos applications. L’accès conditionnel Microsoft Entra est l'outil utilisé par Azure AD B2C pour rassembler les signaux, prendre des décisions et appliquer les politiques organisationnelles. Conditional access flow Automatiser l’évaluation des risques avec des conditions de stratégie signifie que les connexions risquées sont immédiatement identifiées, puis corrigées ou bloquées.

Présentation du service

Azure AD B2C évalue chaque événement de connexion et s’assure que toutes les conditions requises sont remplies avant d’accorder l’accès à l’utilisateur. Durant cette phase d’évaluation, le service d’accès conditionnel évalue les signaux collectés par les détections de risques Identity Protection lors des événements de connexion. Le résultat de ce processus d’évaluation correspond à un ensemble de revendications indiquant si la connexion doit être accordée ou bloquée. La stratégie Azure AD B2C utilise ces revendications pour agir au sein du workflow de l’utilisateur. Par exemple, pour bloquer l’accès ou amener l’utilisateur à opter pour une correction spécifique comme l’authentification multifacteur (MFA). Le blocage de l’accès prévaut sur tous les autres paramètres.

L’exemple suivant présente un profil technique d’accès conditionnel utilisé pour évaluer la menace de connexion.

<TechnicalProfile Id="ConditionalAccessEvaluation">
  <DisplayName>Conditional Access Provider</DisplayName>
  <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.ConditionalAccessProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
  <Metadata>
    <Item Key="OperationType">Evaluation</Item>
  </Metadata>
  ...
</TechnicalProfile>

Pour veiller à ce que les signaux Identity Protection soient évalués correctement, vous pouvez appeler le profil technique ConditionalAccessEvaluation pour tous les utilisateurs, notamment les comptes locaux et sociaux. Sinon, Identity Protection indique un degré de risque incorrect associé aux utilisateurs.

Lors de la phase de correction qui s’ensuit, l’utilisateur reçoit une demande d’authentification multifacteur. Une fois l’opération terminée, Azure AD B2C informe Identity Protection que la menace de connexion identifiée a été corrigée et indique la méthode utilisée. Dans cet exemple, Azure AD B2C indique que l’utilisateur a correctement effectué la demande d’authentification multifacteur. La correction peut aussi se produire par le biais d’autres canaux, par exemple, quand le mot de passe du compte est réinitialisé, soit par l’administrateur, soit par l’utilisateur. Vous pouvez vérifier l’état du risque de l’utilisateur dans le rapport sur les utilisateurs à risque.

Important

Pour corriger correctement le risque dans le parcours, vérifiez que le profil technique Correction est appelé après l’exécution du profil technique Évaluation. Si Évaluation est appelé sans Correction, l’état du risque est Risqué. Quand la recommandation du profil technique Évaluation retourne Block, l’appel du profil technique Évaluation n’est pas nécessaire. L’état du risque est défini sur Risqué. L’exemple suivant présente un profil technique d’accès conditionnel utilisé pour corriger la menace identifiée :

<TechnicalProfile Id="ConditionalAccessRemediation">
  <DisplayName>Conditional Access Remediation</DisplayName>
  <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.ConditionalAccessProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null"/>
  <Metadata>
    <Item Key="OperationType">Remediation</Item>
  </Metadata>
  ...
</TechnicalProfile>

Composants de la solution

Voici les composants qui activent l’accès conditionnel dans Azure AD B2C :

  • Flux d’utilisateur ou stratégie personnalisée qui guide l’utilisateur tout au long du processus de connexion et d’inscription.
  • Stratégie d’accès conditionnel qui regroupe des signaux pour prendre des décisions et appliquer des stratégies organisationnelles. Lorsqu’un utilisateur se connecte à votre application via une stratégie Azure AD B2C, la stratégie d’accès conditionnel utilise des signaux de protection de l’identité de Microsoft Entra pour identifier les connexions risquées et présente l’action corrective appropriée.
  • Application inscrite qui dirige les utilisateurs vers le flux d’utilisateur Azure AD B2C ou la stratégie personnalisée appropriée.
  • Navigateur TOR pour simuler une connexion risquée.

Limitations et considérations relatives au service

Lorsque vous utilisez l’accès conditionnel Microsoft Entra, prenez en compte ce qui suit :

  • Identity Protection est disponible pour les identités locales et sociales, telles que Google ou Facebook. Pour les identités sociales, vous devez manuellement activer l’accès conditionnel. La détection est limitée, car les informations d’identification du compte de réseau social sont gérées par le fournisseur d’identité externe.
  • Dans les locataires Azure AD B2C, seul un sous-ensemble des stratégies d’accès conditionnel Microsoft Entra est disponible.

Prérequis

Niveau tarifaire

Azure AD B2C Premium P2 est nécessaire pour créer des stratégies de connexion risquée. Les locataires Premium P1 peuvent créer une stratégie basée sur l’emplacement, l’application, des stratégies basées sur l’utilisateur ou le groupe. Pour plus d’informations, consultez Modifier votre niveau tarifaire Azure AD B2C.

Préparer votre locataire Azure AD B2C

Pour ajouter une stratégie d’accès conditionnel, désactivez les paramètres de sécurité par défaut :

  1. Connectez-vous au portail Azure.

  2. Si vous avez accès à plusieurs locataires, sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre locataire Azure AD B2C à partir du menu Répertoires + abonnements.

  3. Sous Services Azure, sélectionnez Microsoft Entra ID. Vous pouvez également utiliser la zone de recherche pour rechercher et sélectionner Microsoft Entra ID.

  4. Sélectionnez Propriétés, puis Gérer les paramètres de sécurité par défaut.

    Disable the security defaults

  5. Sous Activer les paramètres de sécurité par défaut, sélectionnez Non.

    Set the Enable security defaults toggle to No

Ajouter une stratégie d’accès conditionnel

Une stratégie d’accès conditionnel est une instruction if-then des affectations et des contrôles d’accès. Une stratégie d’accès conditionnel regroupe des signaux pour prendre des décisions et appliquer des stratégies organisationnelles.

Conseil

Au cours de cette étape, vous allez configurer la stratégie d’accès conditionnel. Nous vous recommandons d’utiliser l’un des modèles suivants : Modèle 1 : Accès conditionnel basé sur les risques de connexion, Modèle 2 : Accès conditionnel basé sur les risques d’utilisateur ou Modèle 3 : Blocage des emplacements avec l’accès conditionnel. Vous pouvez configurer la stratégie d’accès conditionnel à l’aide du portail Azure ou de l’API MS Graph.

L’opérateur logique entre les affectations est And. L’opérateur de chaque affectation est Ou.

Conditional access assignments Pour ajouter une stratégie d’accès conditionnel :

  1. Dans le portail Azure, recherchez et sélectionnez Azure AD B2C.

  2. Sous Sécurité, sélectionnez Accès conditionnel. La page Stratégies d’accès conditionnel s’ouvre.

  3. Sélectionnez + Nouvelle stratégie.

  4. Entrez le nom de la stratégie, par exemple Bloquer une connexion risquée.

  5. Sous Affectations, choisissez Utilisateurs et groupes, puis sélectionnez l’une des configurations prises en charge suivantes :

    Inclure Licence Notes
    Tous les utilisateurs P1, P2 Cette stratégie affecte tous vos utilisateurs. Pour être sûr de ne pas vous bloquer, excluez votre compte administratif en choisissant Exclure, puis en sélectionnant Rôles d’annuaire et Administrateur général dans la liste. Vous pouvez également sélectionner Utilisateurs et groupes, puis votre compte dans la liste Sélectionner les utilisateurs exclus.

  6. Sélectionnez Applications cloud ou actions, puis Sélectionner les applications. Recherchez votre application par partie de confiance.

  7. Sélectionnez Conditions, puis sélectionnez l’une des conditions suivantes. Par exemple, sélectionnez Risque de connexion et les niveaux de risque Élevé, Moyen et Faible.

    Condition Licence Notes
    Risque de l’utilisateur P2 Le risque utilisateur reflète la probabilité qu'une identité ou un compte donné soit compromis.
    Risque à la connexion P2 Le risque à la connexion reflète la probabilité qu’une requête d’authentification donnée soit rejetée par le propriétaire de l’identité.
    Plateformes d’appareils Non pris en charge Caractérisé par le système d’exploitation qui s’exécute sur un appareil. Pour plus d’informations, consultez Plateformes d’appareils.
    Emplacements P1, P2 Les emplacements nommés peuvent inclure les informations du réseau IPv4 public, le pays ou la région, ou les zones inconnues qui ne correspondent pas à des pays ou régions spécifiques. Pour plus d’informations, consultez Emplacements.

  8. Sous Contrôles d’accès, sélectionnez Accorder. Indiquez ensuite si vous souhaitez bloquer ou accorder l’accès :

    Option Licence Notes
    Bloquer l’accès P1, P2 Empêche l’accès en fonction des conditions spécifiées dans cette stratégie d’accès conditionnel.
    Accorder l’accès avec Exiger l’authentification multifacteur P1, P2 En fonction des conditions spécifiées dans cette stratégie d’accès conditionnel, l’utilisateur doit utiliser l’authentification multifacteur Azure AD B2C.

  9. Sous Activer une stratégie, sélectionnez l’une des options suivantes :

    Option Licence Notes
    Rapport seul P1, P2 Le mode rapport seul permet aux administrateurs d’évaluer l’impact des stratégies d’accès conditionnel avant de les activer dans leur environnement. Nous vous recommandons de vérifier la stratégie avec cet état et de déterminer l’impact sur les utilisateurs finaux sans imposer l’authentification multifacteur ni bloquer les utilisateurs. Pour plus d’informations, consultez Examiner les résultats de l’accès conditionnel dans le rapport d’audit.
    Activé P1, P2 La stratégie d’accès est évaluée mais pas appliquée.
    Désactivé P1, P2 La stratégie d’accès n’est pas activée et n’a aucun effet sur les utilisateurs.

  10. Activez votre stratégie d’accès conditionnel de test en sélectionnant Créer.

Modèle 1 : Accès conditionnel basé sur les risques de connexion

La plupart des utilisateurs ont un comportement normal qui peut être suivi. Lorsqu’ils dévient de cette norme, il peut être risqué de les autoriser à se connecter uniquement. Vous pouvez bloquer ces utilisateurs ou simplement leur demander d’effectuer une authentification multifacteur pour prouver qu’ils sont vraiment ceux qu’ils prétendent être. Un risque de connexion reflète la probabilité qu’une requête d’authentification donnée soit rejetée par le propriétaire de l'identité. Les locataires Azure AD B2C disposant de licences P2 peuvent créer des stratégies d’accès conditionnel incorporant les détections de risques de connexion de Microsoft Entra ID Protection.

Notez les limitations relatives aux détections de protection des identités pour B2C. Si un risque est détecté, les utilisateurs peuvent effectuer l’authentification multifacteur pour résoudre automatiquement et fermer l’événement de connexion risquée afin d’éviter toute perturbation inutile pour les administrateurs.

Configurez l’accès conditionnel par le biais du portail Azure ou des API Microsoft Graph pour activer une stratégie d’accès conditionnel en fonction des risques de connexion qui exige une authentification multifacteur quand le risque de connexion est moyen ou élevé.

  1. Sous Inclure, sélectionnez Tous les utilisateurs.
  2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
  3. Sélectionnez Terminé.
  4. Sous Applications ou actions cloud>Inclure, sélectionnez Toutes les applications cloud.
  5. Dans Conditions>Risque de connexion, définissez Configurer sur Oui. Sous Sélectionner le niveau de risque de connexion auquel cette stratégie s’applique
    1. Sélectionnez Haut et Moyen.
    2. Sélectionnez Terminé.
  6. Sous Contrôles d’accès>Accorder, sélectionnez Accorder l'accès, Requérir l’authentification multifacteur, et sélectionnez Sélectionner.
  7. Confirmez vos paramètres et réglez Activer la stratégie sur Activé.
  8. Sélectionnez Créer pour créer votre stratégie.

Activer le modèle 1 avec les API d’accès conditionnel (facultatif)

Créez une stratégie d’accès conditionnel en fonction des risques de connexion avec les API MS Graph. Pour plus d’informations, consultez API d’accès conditionnel. Le modèle suivant peut être utilisé pour créer une stratégie d’accès conditionnel avec le nom complet « Template 1 : Require MFA for medium+ sign-in risk » en mode rapport seul.

{
    "displayName": "Template 1: Require MFA for medium+ sign-in risk",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "signInRiskLevels": [ "high" ,
            "medium"
        ],
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        }
    },
    "grantControls": {
        "operator": "OR",
        "builtInControls": [
            "mfa"
        ]
    }
}

Modèle 2 : Accès conditionnel basé sur les risques d’utilisateur

Identity Protection peut calculer ce qui est normal pour le comportement d’un utilisateur et l’utiliser pour prendre des décisions en matière de risque. Le risque de l’utilisateur est un calcul de probabilité qu’une identité ait été compromise. Les locataires B2C disposant de licences P2 peuvent créer des stratégies d’accès conditionnel incorporant le risque utilisateur. Lorsqu’un utilisateur à risque est détecté, vous pouvez demander à ce qu’il modifie de manière sécurisée son mot de passe pour corriger le risque et accéder à son compte. Nous vous recommandons vivement de configurer une stratégie de risque utilisateur pour exiger une modification de mot de passe de manière sécurisée et permettre aux utilisateurs d’y remédier eux-mêmes.

Apprenez-en davantage sur le risque utilisateur dans Identity Protection, tout en prenant en compte les limitations relatives aux détections de protection des identités pour B2C.

Configurez l’accès conditionnel via le portail Azure ou les API Microsoft Graph pour activer une stratégie d’accès conditionnel basé sur le risque utilisateur nécessitant une authentification multifacteur (MFA) et la modification du mot de passe lorsque le risque utilisateur est moyen ou élevé.

Pour configurer l’accès conditionnel en fonction de l’utilisateur :

  1. Connectez-vous au portail Azure.
  2. Accédez à Azure AD B2C>Sécurité>Accès conditionnel.
  3. Sélectionnez Nouvelle stratégie.
  4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
  5. Sous Affectations, sélectionnez Utilisateurs et groupes.
    1. Sous Inclure, sélectionnez Tous les utilisateurs.
    2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
    3. Sélectionnez Terminé.
  6. Sous Applications ou actions cloud>Inclure, sélectionnez Toutes les applications cloud.
  7. Dans Conditions>des risques utilisateur, définissez Configurer sur Oui. Sous Configurer les niveaux de risque utilisateur nécessaires à l’application de la stratégie
    1. Sélectionnez Haut et Moyen.
    2. Sélectionnez Terminé.
  8. Dans Accorderles contrôles d’accès>, sélectionnez Accorder l’accès, Demander la modification du mot de passe, puis Sélectionner. Exiger l’authentification multifacteur est également requis par défaut.
  9. Confirmez vos paramètres et réglez Activer la stratégie sur Activé.
  10. Sélectionnez Créer pour créer votre stratégie.

Activer le modèle 2 avec les API d’accès conditionnel (facultatif)

Pour créer une stratégie d’accès conditionnel basé sur les risques d’utilisateur à l’aide des API d’accès conditionnel, consultez la documentation relative aux API d’accès conditionnel.

Le modèle suivant peut être utilisé pour créer une stratégie d’accès conditionnel avec le nom complet « Template 2 : Require secure password change for medium+ user risk » en mode rapport seul.

{
    "displayName": "Template 2: Require secure password change for medium+ user risk",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "userRiskLevels": [ "high" ,
            "medium"
        ],
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        }
    },
    "grantControls": {
        "operator": "AND",
        "builtInControls": [
            "mfa",
            "passwordChange"
        ]
    }
}

Modèle 3 : Blocage des emplacements avec l’accès conditionnel

Avec la condition d’emplacement dans l’accès conditionnel, vous pouvez contrôler l’accès à vos applications cloud basées sur l’emplacement réseau d’un utilisateur. Configurez l’accès conditionnel via le portail Azure ou des API Microsoft Graph pour activer un accès avec blocage de stratégie d’accès conditionnel à des emplacements spécifiques. Pour plus d’informations, consultez Utilisation de la condition d’emplacement dans une stratégie d’accès conditionnel.

Définir des emplacements

  1. Connectez-vous au portail Azure.
  2. Accédez à Azure AD B2C>Sécurité>Accès conditionnel>Emplacements nommés.
  3. Sélectionnez Emplacement des pays or Emplacement des plages IP.
  4. Donnez un nom à votre emplacement.
  5. Fournissez les plages d’adresses IP ou sélectionnez Pays/régions pour l’emplacement que vous spécifiez. Si vous choisissez Pays/régions, vous pouvez éventuellement choisir d’inclure les zones inconnues.
  6. Choisissez Enregistrer.

Pour activer avec la stratégie d’accès conditionnel :

  1. Connectez-vous au portail Azure.
  2. Accédez à Azure AD B2C>Sécurité>Accès conditionnel.
  3. Sélectionnez Nouvelle stratégie.
  4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
  5. Sous Affectations, sélectionnez Utilisateurs et groupes.
    1. Sous Inclure, sélectionnez Tous les utilisateurs.
    2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
    3. Sélectionnez Terminé.
  6. Sous Applications ou actions cloud>Inclure, sélectionnez Toutes les applications cloud.
  7. Sous Conditions>Emplacement.
    1. Définissez Configurer sur Oui.
    2. Sous Inclure, sélectionnez Emplacements sélectionnés
    3. Sélectionnez l’emplacement nommé que vous avez créé.
    4. Cliquez sur Sélectionner
  8. Sous Contrôles d’accès>, sélectionnez Bloquer l’accès, puis Sélectionner.
  9. Confirmez vos paramètres et réglez Activer la stratégie sur Activé.
  10. Sélectionnez Créer pour créer votre stratégie.

Activer le modèle 3 avec les API d’accès conditionnel (facultatif)

Pour créer une stratégie d’accès conditionnel basé sur les emplacements à l’aide des API d’accès conditionnel, consultez la documentation relative aux API d’accès conditionnel. Pour configurer des emplacements nommés, consultez la documentation relative aux Emplacements nommés.

Le modèle suivant peut être utilisé pour créer une stratégie d’accès conditionnel avec le nom d’affichage « Template 3 : Block unallowed locations »" en mode rapport seul.

{
    "displayName": "Template 3: Block unallowed locations",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        },
        "locations": {
            "includeLocations": [
                "b5c47916-b835-4c77-bd91-807ec08bf2a3"
          ]
        }
    },
    "grantControls": {
        "operator": "OR",
        "builtInControls": [
            "block"
        ]
    }
}

Ajouter l’accès conditionnel à un flux d’utilisateur

Après avoir ajouté la stratégie d’accès conditionnel Microsoft Entra, activez l’accès conditionnel dans votre flux d’utilisateur ou votre stratégie personnalisée. Quand vous activez l’accès conditionnel, vous n’avez pas besoin de spécifier un nom de stratégie. Plusieurs stratégies d’accès conditionnel peuvent s’appliquer à un utilisateur individuel à tout moment. Dans ce cas, la stratégie de contrôle d’accès la plus stricte est prioritaire. Par exemple, si une stratégie demande une authentification multifacteur, tandis qu’une autre bloque l’accès, l’utilisateur est bloqué.

Activer l’authentification multifacteur (facultatif)

Quand vous ajoutez un accès conditionnel à un flux d’utilisateur, envisagez d’utiliser l’authentification multifacteur (MFA) . Les utilisateurs peuvent utiliser un code unique via SMS ou Voix, un mot de passe à usage unique par courrier électronique ou un code de mot de passe à usage unique (TOTP) à l’aide d’une application d’authentificateur pour l’authentification multifacteur. Les paramètres MFA sont configurés séparément des paramètres d’accès conditionnel. Vous pouvez choisir parmi les options MFA suivantes :

  • Désactivé – MFA n’est jamais appliquée pendant la connexion, et les utilisateurs ne sont pas invités à s’inscrire à MFA dans le cadre de l’inscription ou de la connexion.
  • Toujours activé – MFA est toujours requise, quelle que soit votre configuration de l’accès conditionnel. Lors de l’inscription, les utilisateurs sont invités à s’inscrire dans MFA. Lors de la connexion, si les utilisateurs ne sont pas déjà inscrits à l’authentification multifacteur, ils sont invités à s’y inscrire.
  • Conditionnel – Lors de l’inscription et de la connexion, les utilisateurs sont invités à s’inscrire à l’authentification MFA (à la fois les nouveaux utilisateurs et les utilisateurs existants qui ne sont pas inscrits à l’authentification MFA). Lors de la connexion, l’authentification MFA est appliquée uniquement quand une évaluation de la stratégie d’accès conditionnel active l’exige :
    • Si le résultat est un défi d’authentification MFA sans risque, l’authentification MFA est appliquée. Si l’utilisateur n’est pas déjà inscrit à l’authentification multifacteur, il est invité à s’y inscrire.
    • Si le résultat est un défi d’authentification MFA en raison d’un risque et que l’utilisateur n’est pas inscrit dans MFA, la connexion est bloquée.

    Notes

    Avec la disponibilité générale de l’accès conditionnel dans Azure AD B2C, les utilisateurs sont désormais invités à s’inscrire à une méthode d’authentification multifacteur lors de l’inscription. Les flux d’utilisateur d’inscription que vous avez créés avant la mise à disposition générale ne reflètent pas automatiquement ce nouveau comportement, mais vous pouvez inclure le comportement en créant des flux d’utilisateurs.

Pour activer l’accès conditionnel pour un flux d’utilisateur, assurez-vous que la version prend en charge l’accès conditionnel. Ces versions de flux d’utilisateurs sont étiquetées Recommandé.

  1. Connectez-vous au portail Azure.
  2. Si vous avez accès à plusieurs locataires, sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre locataire Azure AD B2C à partir du menu Répertoires + abonnements.
  3. Sous Services Azure, sélectionnez Azure AD B2C. Vous pouvez également utiliser la zone de recherche pour rechercher et sélectionner Azure AD B2C.
  4. Sous Stratégies, sélectionnez Flux utilisateur. Sélectionnez ensuite le flux d’utilisateur.
  5. Sélectionnez Propriétés et vérifiez que le flux d’utilisateur prend en charge l’accès conditionnel en recherchant le paramètre libellé Accès conditionnel. Configure MFA and Conditional Access in Properties
  6. Dans la section Authentification multifacteur, sélectionnez le Type de méthode souhaité, puis, sous Application MFA, sélectionnez Conditionnel.
  7. Dans la section Accès conditionnel, cochez la case Appliquer les stratégies d’accès conditionnel.
  8. Sélectionnez Enregistrer.

Ajouter l’accès conditionnel à votre stratégie

  1. Découvrez un exemple de stratégie d’accès conditionnel sur GitHub.
  2. Dans chaque fichier, remplacez la chaîne yourtenant par le nom de votre locataire Azure AD B2C. Par exemple, si le nom de votre locataire B2C est contosob2c, toutes les instances de yourtenant.onmicrosoft.com deviennent contosob2c.onmicrosoft.com.
  3. Téléchargez les fichiers de stratégie.

Configurer une revendication autre que le numéro de téléphone à utiliser pour l’authentification multifacteur

Dans la stratégie d’accès conditionnel ci-dessus, la méthode de transformation de revendication DoesClaimExist vérifie si une revendication contient une valeur, par exemple si la revendication strongAuthenticationPhoneNumber contient un numéro de téléphone. La transformation des revendications ne se limite pas à la revendication strongAuthenticationPhoneNumber. Selon le scénario, vous pouvez utiliser n’importe quelle autre revendication. Dans l’extrait de code XML suivant, c’est la revendication strongAuthenticationEmailAddress qui est plutôt vérifiée. La revendication que vous choisissez doit avoir une valeur valide, sans quoi la revendication IsMfaRegisteredest définie sur False. Quand sa valeur est False, l’évaluation de la stratégie d’accès conditionnel retourne un type d’autorisation Block, ce qui empêche l’utilisateur d’accomplir le flux d’utilisateur.

 <ClaimsTransformation Id="IsMfaRegisteredCT" TransformationMethod="DoesClaimExist">
  <InputClaims>
    <InputClaim ClaimTypeReferenceId="strongAuthenticationEmailAddress" TransformationClaimType="inputClaim" />
  </InputClaims>
  <OutputClaims>
    <OutputClaim ClaimTypeReferenceId="IsMfaRegistered" TransformationClaimType="outputClaim" />
  </OutputClaims>
 </ClaimsTransformation>

Tester votre stratégie personnalisée

  1. Sélectionnez la stratégie B2C_1A_signup_signin_with_ca ou B2C_1A_signup_signin_with_ca_whatif pour ouvrir sa page de présentation. Sélectionnez ensuite Exécuter le flux d’utilisateur. Sous Application, sélectionnez webapp1. L’URL de réponse doit être https://jwt.ms.
  2. Copiez l’URL sous Exécuter le point de terminaison du flux d’utilisateur.
  3. Pour simuler une connexion risquée, ouvrez le navigateur Tor et utilisez l’URL que vous avez copiée à l’étape précédente pour vous connecter à l’application inscrite.
  4. Entrez les informations demandées dans la page de connexion, puis essayez de vous connecter. Le jeton est envoyé à https://jwt.ms et vous devez le voir. Dans le jeton décodé jwt.ms, vous devez voir que la connexion a été bloquée.

Tester votre flux d’utilisateur

  1. Sélectionnez le flux d’utilisateur que vous avez créé pour ouvrir sa page de présentation, puis sélectionnez Exécuter le flux d’utilisateur. Sous Application, sélectionnez webapp1. L’URL de réponse doit être https://jwt.ms.
  2. Copiez l’URL sous Exécuter le point de terminaison du flux d’utilisateur.
  3. Pour simuler une connexion risquée, ouvrez le navigateur Tor et utilisez l’URL que vous avez copiée à l’étape précédente pour vous connecter à l’application inscrite.
  4. Entrez les informations demandées dans la page de connexion, puis essayez de vous connecter. Le jeton est envoyé à https://jwt.ms et vous devez le voir. Dans le jeton décodé jwt.ms, vous devez voir que la connexion a été bloquée.

Examiner les résultats de l’accès conditionnel dans le rapport d’audit

Pour examiner le résultat d’un événement d’accès conditionnel

  1. Connectez-vous au portail Azure.
  2. Si vous avez accès à plusieurs locataires, sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre locataire Azure AD B2C à partir du menu Répertoires + abonnements.
  3. Sous Services Azure, sélectionnez Azure AD B2C. Vous pouvez également utiliser la zone de recherche pour rechercher et sélectionner Azure AD B2C.
  4. Sous Activités, sélectionnez Journaux d’audit.
  5. Filtrez le journal d’audit en choisissant B2C comme Catégorie et IdentityProtection comme Type de ressource d’activité. Ensuite, sélectionnez Appliquer.
  6. Passez en revue l’activité d’audit des sept derniers jours. Les types d’activité suivants sont inclus :
    • Évaluer les stratégies d’accès conditionnel : cette entrée du journal d’audit indique qu’une évaluation de l’accès conditionnel a été effectuée pendant une authentification.
    • Atténuer l’utilisateur : cette entrée indique que l’accord ou les exigences d’une stratégie d’accès conditionnel ont été satisfaites par l’utilisateur final, et que cette activité a été signalée au moteur de risque afin d’atténuer (réduire le risque) utilisateur.
  7. Sélectionnez une entrée de journal Évaluer la stratégie d’accès conditionnel dans la liste pour ouvrir la page Détails de l’activité : Journal d’audit , qui affiche les identificateurs du journal d’audit, ainsi que ces informations dans la section Détails supplémentaires :
    • ConditionalAccessResult : accord requis par l’évaluation de la stratégie conditionnelle.
    • AppliedPolicies : liste de toutes les stratégies d’accès conditionnel où les conditions ont été satisfaites et les stratégies sont activées.
    • ReportingPolicies : liste des stratégies d’accès conditionnel qui ont été définies en mode rapport seul et où les conditions ont été satisfaites.

Étapes suivantes

Personnaliser l’interface utilisateur dans un flux d’utilisateur Azure AD B2C