Accès conditionnel : AccorderConditional Access: Grant

Dans une stratégie d’accès conditionnel, un administrateur peut utiliser des contrôles d’accès pour accorder ou bloquer l’accès aux ressources.Within a Conditional Access policy, an administrator can make use of access controls to either grant or block access to resources.

Stratégie d’accès conditionnel avec un contrôle d’octroi nécessitant l’authentification multifacteur

Bloquer l’accèsBlock access

Le contrôle de blocage prend en compte les affectations existantes et empêche l’accès en fonction de la configuration de la stratégie d’accès conditionnel.Block takes into account any assignments and prevents access based on the Conditional Access policy configuration.

Le blocage est un puissant contrôle qui doit être utilisé moyennant les connaissances appropriées.Block is a powerful control that should be wielded with appropriate knowledge. Les stratégies dotées d’instructions de blocage peuvent avoir des effets secondaires inattendus.Policies with block statements can have unintended side effects. Des opérations appropriées de test et de validation sont essentielles avant l’activation à grande échelle.Proper testing and validation are vital before enabling at scale. Les administrateurs doivent utiliser des outils tels que le mode rapport seul d’accès conditionnel et l’outil What If dans l’accès conditionnel lorsqu’ils apportent des modifications.Administrators should utilize tools such as Conditional Access report-only mode and the What If tool in Conditional Access when making changes.

Accorder l'accèsGrant access

Les administrateurs peuvent choisir d’appliquer un ou plusieurs contrôles lors de l’octroi de l’accès.Administrators can choose to enforce one or more controls when granting access. Ces contrôles incluent les options suivantes :These controls include the following options:

Si les administrateurs souhaitent combiner ces options, ils peuvent choisir les méthodes suivantes :When administrators choose to combine these options, they can choose the following methods:

  • Demander tous les contrôles sélectionnés (contrôle ET contrôle)Require all the selected controls (control AND control)
  • Demander un des contrôles sélectionnés (contrôle OU contrôle)Require one of the selected controls (control OR control)

Par défaut, l’accès conditionnel exige tous les contrôles sélectionnés.By default Conditional Access requires all selected controls.

Exiger une authentification multifacteurRequire multi-factor authentication

Quand cette case est cochée, les utilisateurs doivent effectuer une authentification multifacteur Azure MFA.Selecting this checkbox will require users to perform Azure Multi-Factor Authentication. Pour plus d’informations sur le déploiement d’Azure Multi-Factor Authentication (MFA), consultez l’article Planification d’un déploiement Azure Multi-Factor Authentication basé sur le cloud.More information about deploying Azure Multi-Factor Authentication can be found in the article Planning a cloud-based Azure Multi-Factor Authentication deployment.

Exiger que l’appareil soit marqué comme conformeRequire device to be marked as compliant

Les organisations qui ont déployé Microsoft Intune peuvent utiliser les informations retournées par leurs appareils pour identifier les appareils qui remplissent les conditions de conformité spécifiques.Organizations who have deployed Microsoft Intune can use the information returned from their devices to identify devices that meet specific compliance requirements. Ces informations de conformité de la stratégie sont transmises d’Intune à Azure AD, où l’accès conditionnel peut prendre des décisions pour accorder ou bloquer l’accès aux ressources.This policy compliance information is forwarded from Intune to Azure AD where Conditional Access can make decisions to grant or block access to resources. Pour plus d’informations sur les stratégies de conformité, consultez l’article Définir des règles sur les appareils pour autoriser l’accès aux ressources de votre organisation à l’aide d’Intune.For more information about compliance policies, see the article Set rules on devices to allow access to resources in your organization using Intune.

Un appareil peut être marqué comme conforme par Intune (pour n’importe quel système d’exploitation d’appareil), ou par un système GPM tiers pour les appareils Windows 10.A device can be marked as compliant by Intune (for any device OS) or by third-party MDM system for Windows 10 devices. Jamf Pro est le seul système MDM tiers pris en charge.Jamf pro is the only supported third-party MDM system. Pour plus d’informations sur l’intégration, consultez l’article Intégrer JAMF Pro à Intune pour assurer la conformité.More information about integration can be found in the article, Integrate Jamf Pro with Intune for compliance.

Les appareils doivent être inscrits dans Azure AD pour pouvoir être marqués comme conformes.Devices must be registered in Azure AD before they can be marked as compliant. Pour plus d’informations sur l’inscription des appareils, consultez l’article Qu’est-ce qu’une identité d’appareil ?More information about device registration can be found in the article, What is a device identity.

Exiger un appareil joint à Azure AD hybrideRequire hybrid Azure AD joined device

Les organisations peuvent choisir d’utiliser l’identité de l’appareil dans le cadre de leur stratégie d’accès conditionnel.Organizations can choose to use the device identity as part of their Conditional Access policy. Elles peuvent utiliser cette case à cocher pour exiger que les appareils soient joints à Azure AD hybride.Organizations can require that devices are hybrid Azure AD joined using this checkbox. Pour plus d’informations sur les identités d’appareils, consultez l’article Qu’est-ce qu’une identité d’appareil ?For more information about device identities, see the article What is a device identity?.

Lorsque le flux OAuth de code d’appareil est utilisé, ni le contrôle Exiger une autorisation d’appareil géré ni la condition d’état d’appareil ne sont pris en charge.When using the device-code OAuth flow, the require managed device grant control or a device state condition are not supported. En effet, l’appareil qui effectue l’authentification ne peut pas fournir son état à celui qui fournit un code, et l’état de l’appareil dans le jeton est verrouillé sur celui qui effectue l’authentification.This is because the device performing authentication cannot provide its device state to the device providing a code and the device state in the token is locked to the device performing authentication. Utilisez plutôt le contrôle Exiger l’autorisation d’authentification multifacteur.Use the require multi-factor authentication grant control instead.

Demander une application cliente approuvéeRequire approved client app

Les organisations peuvent exiger que toute tentative d’accès aux applications cloud sélectionnées provienne d’une application cliente approuvée.Organizations can require that an access attempt to the selected cloud apps needs to be made from an approved client app. Ces applications clientes approuvées prennent en charge les stratégies de protection des applications Intune, quelle que soit votre solution de gestion des périphériques mobiles (GPM).These approved client apps support Intune app protection policies independent of any mobile-device management (MDM) solution.

Pour tirer parti de ce contrôle d’octroi, l’accès conditionnel exige que l’appareil soit inscrit dans Azure Active Directory, qui lui-même nécessite l’utilisation d’une application de répartiteur.In order to leverage this grant control, Conditional Access requires that the device be registered in Azure Active Directory which requires the use of a broker app. L’application de répartiteur peut être Microsoft Authenticator pour iOS ou bien Microsoft Authenticator ou le portail d’entreprise Microsoft pour appareils Android.The broker app can be the Microsoft Authenticator for iOS, or either the Microsoft Authenticator or Microsoft Company portal for Android devices. Si aucune application de répartiteur n’est installée sur l’appareil lorsque l’utilisateur tente de s’authentifier, l’utilisateur est redirigé vers l’App Store/Play Store approprié pour installer l’application de répartiteur requise.If a broker app is not installed on the device when the user attempts to authenticate, the user gets redirected to the appropriate app/play store to install the required broker app.

Ce paramètre s’applique aux applications iOS et Android suivantes :This setting applies to the following iOS and Android apps:

  • Microsoft Azure Information ProtectionMicrosoft Azure Information Protection
  • Microsoft BookingsMicrosoft Bookings
  • Microsoft CortanaMicrosoft Cortana
  • Microsoft Dynamics 365Microsoft Dynamics 365
  • Microsoft EdgeMicrosoft Edge
  • Microsoft ExcelMicrosoft Excel
  • Microsoft Power AutomateMicrosoft Power Automate
  • Microsoft InvoicingMicrosoft Invoicing
  • Microsoft KaizalaMicrosoft Kaizala
  • Microsoft LauncherMicrosoft Launcher
  • Microsoft OfficeMicrosoft Office
  • Microsoft OneDriveMicrosoft OneDrive
  • Microsoft OneNoteMicrosoft OneNote
  • Microsoft OutlookMicrosoft Outlook
  • Planificateur MicrosoftMicrosoft Planner
  • Microsoft PowerAppsMicrosoft PowerApps
  • Microsoft Power BIMicrosoft Power BI
  • Microsoft PowerPointMicrosoft PowerPoint
  • Microsoft SharePointMicrosoft SharePoint
  • Microsoft Skype EntrepriseMicrosoft Skype for Business
  • Microsoft StaffHubMicrosoft StaffHub
  • Microsoft StreamMicrosoft Stream
  • Microsoft TeamsMicrosoft Teams
  • Microsoft To-DoMicrosoft To-Do
  • Microsoft VisioMicrosoft Visio
  • Microsoft WordMicrosoft Word
  • Microsoft YammerMicrosoft Yammer
  • Tableau blanc collaboratif MicrosoftMicrosoft Whiteboard

RemarquesRemarks

  • Les applications clientes approuvées prennent en charge la fonctionnalité de gestion des applications mobiles Intune.The approved client apps support the Intune mobile application management feature.
  • Exigence Nécessite une application cliente approuvée  :The Require approved client app requirement:
    • elle prend uniquement en charge iOS et Android pour la condition de plateforme d’appareil.Only supports the iOS and Android for device platform condition.
    • Une application de répartiteur est nécessaire pour inscrire l’appareil.A broker app is required to register the device. Sur iOS, l’application de répartiteur est Microsoft Authenticator, sur Android, il s’agit de l’application Portail d’entreprise Intune.On iOS, the broker app is Microsoft Authenticator and on Android, it is Intune Company Portal app.
  • L’accès conditionnel ne peut considérer Microsoft Edge en mode InPrivate en tant qu'application cliente approuvée.Conditional Access cannot consider Microsoft Edge in InPrivate mode an approved client app.

Consultez l’article Guide pratique pour exiger des applications clientes approuvées pour l’accès aux applications cloud avec l’accès conditionnel donnant des exemples de configuration.See the article, How to: Require approved client apps for cloud app access with Conditional Access for configuration examples.

Exiger une stratégie de protection des applicationsRequire app protection policy

Dans votre stratégie d’accès conditionnel, vous pouvez exiger qu’une stratégie de protection des applications Intune soit présente sur l’application cliente pour qu’il soit possible d’accéder aux applications cloud sélectionnées.In your Conditional Access policy, you can require an Intune app protection policy be present on the client app before access is available to the selected cloud apps.

Pour tirer parti de ce contrôle d’octroi, l’accès conditionnel exige que l’appareil soit inscrit dans Azure Active Directory, qui lui-même nécessite l’utilisation d’une application de répartiteur.In order to leverage this grant control, Conditional Access requires that the device be registered in Azure Active Directory which requires the use of a broker app. L’application de répartiteur peut être Microsoft Authenticator pour iOS ou le portail d’entreprise Microsoft pour les appareils Android.The broker app can be either the Microsoft Authenticator for iOS, or the Microsoft Company portal for Android devices. Si aucune application de répartiteur n’est installée sur l’appareil lorsque l’utilisateur tente de s’authentifier, l’utilisateur est redirigé vers l’App Store pour installer cette application.If a broker app is not installed on the device when the user attempts to authenticate, the user gets redirected to the app store to install the broker app.

Ce paramètre s’applique aux applications clientes suivantes :This setting applies to the following client apps:

  • Microsoft CortanaMicrosoft Cortana
  • Microsoft EdgeMicrosoft Edge
  • Microsoft ExcelMicrosoft Excel
  • Microsoft OfficeMicrosoft Office
  • Microsoft OneDriveMicrosoft OneDrive
  • Microsoft OneNoteMicrosoft OneNote
  • Microsoft OutlookMicrosoft Outlook
  • Planificateur MicrosoftMicrosoft Planner
  • Microsoft Power BIMicrosoft Power BI
  • Microsoft PowerPointMicrosoft PowerPoint
  • Microsoft SharePointMicrosoft SharePoint
  • Microsoft WordMicrosoft Word
  • MultiLine for IntuneMultiLine for Intune
  • Nine Mail - Email & CalendarNine Mail - Email & Calendar

Notes

Microsoft Kaizala, Microsoft Skype Entreprise et Microsoft Visio ne prennent pas en charge l’octroi Exiger une stratégie de protection des applications.Microsoft Kaizala, Microsoft Skype for Business and Microsoft Visio do not support the Require app protection policy grant. Si vous avez besoin que ces applications fonctionnent, utilisez exclusivement l’octroi Exiger une stratégie de protection des applications.If you require these apps to work, please use the Require approved apps grant exclusively. L’utilisation de la clause entre les deux octrois ne fonctionnera pas pour ces trois applications.The use of the or clause between the two grants will not work for these three applications.

RemarquesRemarks

  • Les applications associées à la stratégie de protection des applications prennent en charge la fonctionnalité de gestion d’applications mobiles Intune avec la protection des stratégies.Apps for app protection policy support the Intune mobile application management feature with policy protection.
  • Exigences relatives à la stratégie Exiger une stratégie de protection des applications :The Require app protection policy requirements:
    • elle prend uniquement en charge iOS et Android pour la condition de plateforme d’appareil.Only supports the iOS and Android for device platform condition.
    • Une application de répartiteur est nécessaire pour inscrire l’appareil.A broker app is required to register the device. Sur iOS, l’application de répartiteur est Microsoft Authenticator, sur Android, il s’agit de l’application Portail d’entreprise Intune.On iOS, the broker app is Microsoft Authenticator and on Android, it is Intune Company Portal app.

Consultez l’article Guide pratique pour exiger une stratégie de protection d’application et une application cliente approuvée pour l’accès aux applications cloud avec l’accès conditionnel donnant des exemples de configuration.See the article, How to: Require app protection policy and an approved client app for cloud app access with Conditional Access for configuration examples.

Nécessite une modification du mot de passeRequire password change

Lorsqu’un risque utilisateur est détecté, en s’appuyant sur les conditions de la stratégie de risque utilisateur, les administrateurs peuvent choisir de faire modifier le mot de passe de manière sécurisée à l’aide de la réinitialisation de mot de passe en libre-service Azure AD.When user risk is detected, using the user risk policy conditions, administrators can choose to have the user securely change the password using Azure AD self-service password reset. Si un risque utilisateur est détecté, les utilisateurs peuvent effectuer la réinitialisation de mot de passe en libre-service pour résoudre automatiquement, ce qui fermera l’événement utilisateur à risque afin d’éviter toute perturbation inutile pour les administrateurs.If user risk is detected, users can perform a self-service password reset to self-remediate, this will close the user risk event to prevent unnecessary noise for administrators.

Lorsqu'un utilisateur est invité à modifier son mot de passe, il doit d'abord procéder à une authentification multifacteur.When a user is prompted to change their password, they will first be required to complete multi-factor authentication. Vous devez vous assurer que tous vos utilisateurs se sont inscrits à l’authentification multifacteur afin qu'ils soient prêts au cas où un risque serait détecté pour leur compte.You’ll want to make sure all of your users have registered for multi-factor authentication, so they are prepared in case risk is detected for their account.

Avertissement

Les utilisateurs doivent avoir déjà été inscrits pour la réinitialisation du mot de passe libre-service avant de déclencher la stratégie de risque utilisateur.Users must have previously registered for self-service password reset before triggering the user risk policy.

Il existe quelques restrictions lorsque vous configurez une stratégie utilisant le contrôle de modification de mot de passe.There exist a couple restriction in place when you configure a policy using the password change control.

  1. La stratégie doit être affectée à « toutes les applications cloud ».The policy must be assigned to ‘all cloud apps’. Cela empêche une personne malintentionnée d’utiliser une autre application pour modifier le mot de passe de l’utilisateur et réinitialiser le risque du compte, en se connectant simplement à une autre application.This prevents an attacker from using a different app to change the user’s password and reset account risk, by simply signing into a different app.
  2. L’exigence de modification du mot de passe ne peut pas être utilisée avec d’autres contrôles, comme l’exigence d’un appareil conforme.Require password change cannot be used with other controls, like requiring a compliant device.
  3. Le contrôle de modification du mot de passe ne peut être utilisé qu’avec la condition d’affectation d’utilisateurs et de groupes, la condition d’affectation d’applications cloud (qui doit être définie sur « tous ») et les conditions de risque utilisateur.The password change control can only be used with the user and group assignment condition, cloud app assignment condition (which must be set to all) and user risk conditions.

Conditions d’utilisationTerms of use

Si votre organisation a créé des conditions d’utilisation, des options supplémentaires peuvent être visibles sous les contrôles d’octroi.If your organization has created terms of use, additional options may be visible under grant controls. Ces options permettent aux administrateurs de demander l’acceptation des conditions d’utilisation comme condition d’accès aux ressources protégées par la stratégie.These options allow administrators to require acknowledgment of terms of use as a condition of accessing the resources protected by the policy. Pour plus d’informations sur les conditions d’utilisation, consultez l’article Conditions d’utilisation d’Azure Active Directory.More information about terms of use can be found in the article, Azure Active Directory terms of use.

Étapes suivantesNext steps