Créer une stratégie d’accès conditionnelBuilding a Conditional Access policy

Comme expliqué dans l’article Qu’est-ce que l’accès conditionnel ?, une stratégie d'accès conditionnel est une instruction if-then d'affectations et de contrôles d'accès.As explained in the article What is Conditional Access, a Conditional Access policy is an if-then statement, of Assignments and Access controls. Une stratégie d’accès conditionnel regroupe des signaux pour prendre des décisions et appliquer des stratégies organisationnelles.A Conditional Access policy brings signals together, to make decisions, and enforce organizational policies.

Comment une organisation crée-t-elle ces stratégies ?How does an organization create these policies? Qu’est-ce qui est requis ?What is required?

Accès conditionnel (signaux + décisions + application = stratégies)

AttributionsAssignments

La partie Affectations contrôle les personnes, les éléments et l’emplacement de la stratégie d’accès conditionnel.The assignments portion controls the who, what, and where of the Conditional Access policy.

Utilisateurs et groupesUsers and groups

Les utilisateurs et groupes affectent les personnes que la stratégie inclura ou exclura.Users and groups assign who the policy will include or exclude. Cette affectation peut inclure tous les utilisateurs, des groupes d’utilisateurs spécifiques, des rôles d’annuaire ou des utilisateurs invités externes.This assignment can include all users, specific groups of users, directory roles, or external guest users.

Applications ou actions cloudCloud apps or actions

Les actions ou applications cloud peuvent inclure ou exclure des applications cloud ou des actions utilisateur auxquelles s’appliquera la stratégie.Cloud apps or actions can include or exclude cloud applications or user actions that will be subject to the policy.

ConditionsConditions

Une stratégie peut comporter plusieurs conditions.A policy can contain multiple conditions.

Risque à la connexionSign-in risk

Pour les organisations dotées d'Azure AD Identity Protection, les détections de risques générées peuvent influencer vos stratégies d’accès conditionnel.For organizations with Azure AD Identity Protection, the risk detections generated there can influence your Conditional Access policies.

Plateformes d’appareilsDevice platforms

Les organisations utilisant plusieurs plateformes de système d’exploitation d'appareil peuvent souhaiter appliquer des stratégies spécifiques sur différentes plateformes.Organizations with multiple device operating system platforms may wish to enforce specific policies on different platforms.

Les informations utilisées pour calculer la plateforme d'appareil proviennent de sources non vérifiées, telles que des chaînes d'agent utilisateur qui peuvent être modifiées.The information used to calculate the device platform comes from unverified sources such as user agent strings that can be changed.

EmplacementsLocations

Les données d’emplacement sont fournies par les données de géolocalisation IP.Location data is provided by IP geolocation data. Les administrateurs peuvent choisir de définir des emplacements et d’en marquer certains comme approuvés, par exemple les emplacements réseau de leur organisation.Administrators can choose to define locations and choose to mark some as trusted like those for their organization's network locations.

Applications clientesClient apps

Par défaut, les stratégies d’accès conditionnel s’appliquent aux applications de navigateur, aux applications mobiles et aux clients de bureau qui prennent en charge l’authentification moderne.By default Conditional Access policies apply to browser apps, mobile apps, and desktop clients that support modern authentication.

Cette condition d’affectation permet aux stratégies d’accès conditionnel de cibler des applications clientes spécifiques n’utilisant pas l’authentification moderne.This assignment condition allows Conditional Access policies to target specific client applications not using modern authentication. Ces applications incluent les clients Exchange ActiveSync, les anciennes applications Office n’utilisant pas l’authentification moderne et les protocoles de messagerie comme IMAP, MAPI, POP et SMTP.These applications include Exchange ActiveSync clients, older Office applications that do not use modern authentication, and mail protocols like IMAP, MAPI, POP, and SMTP.

État de l’appareilDevice state

Ce contrôle est utilisé pour exclure des appareils hybrides Azure AD joints ou marqués comme conformes dans Intune.This control is used to exclude devices that are hybrid Azure AD joined, or marked a compliant in Intune. Cette exclusion permet de bloquer les appareils non gérés.This exclusion can be done to block unmanaged devices.

Contrôles d’accèsAccess controls

La partie Contrôles d’accès de la stratégie d’accès conditionnel contrôle la manière dont une stratégie est appliquée.The access controls portion of the Conditional Access policy controls how a policy is enforced.

AccorderGrant

Avec Accorder, les administrateurs peuvent appliquer une stratégie pour bloquer ou autoriser l’accès.Grant provides administrators with a means of policy enforcement where they can block or grant access.

Bloquer l’accèsBlock access

Le blocage permet de bloquer l'accès d'affectations spécifiées.Block access does just that, it will block access under the specified assignments. Le contrôle de blocage est un puissant outil et doit être utilisé moyennant les connaissances appropriées.The block control is powerful and should be wielded with the appropriate knowledge.

Accorder l'accèsGrant access

Le contrôle d'octroi peut déclencher l’application d’un ou de plusieurs contrôles.The grant control can trigger enforcement of one or more controls.

  • Exiger une authentification multifacteur (Microsoft Azure Multi-Factor Authentication)Require multi-factor authentication (Azure Multi-Factor Authentication)
  • Exiger que l'appareil soit marqué comme conforme (Intune)Require device to be marked as compliant (Intune)
  • Exiger un appareil joint Azure AD HybrideRequire Hybrid Azure AD joined device
  • Demander une application cliente approuvéeRequire approved client app
  • Exiger une stratégie de protection des applicationsRequire app protection policy

Les administrateurs peuvent choisir d’exiger un des contrôles précédents ou tous les contrôles sélectionnés à l’aide des options suivantes.Administrators can choose to require one of the previous controls or all selected controls using the following options. La valeur par défaut pour plusieurs contrôles consiste à tous les exiger.The default for multiple controls is to require all.

  • Exiger tous les contrôles sélectionnésRequire all the selected controls (control and control)
  • Exiger un des contrôles sélectionnésRequire one of the selected controls (control or control)

sessionSession

Les contrôles de session peuvent limiter l’expérienceSession controls can limit the experience

  • Utiliser les restrictions appliquées par l’applicationUse app enforced restrictions
    • Fonctionne actuellement avec Exchange Online et SharePoint Online uniquement.Currently works with Exchange Online and SharePoint Online only.
      • Transmet des informations sur l’appareil pour permettre le contrôle de l’expérience qui octroie un accès total ou limité.Passes device information to allow control of experience granting full or limited access.
  • Utiliser le contrôle d'application par accès conditionnelUse Conditional Access App Control
    • Utilise les signaux de Microsoft Cloud App Security pour effectuer des opérations telles que :Uses signals from Microsoft Cloud App Security to do things like:
      • Bloquer le téléchargement, couper, copier et imprimer des documents sensibles.Block download, cut, copy, and print of sensitive documents.
      • Surveiller un comportement de session à risque.Monitor risky session behavior.
      • Exiger l’étiquetage des fichiers sensibles.Require labeling of sensitive files.
  • Fréquence de connexionSign-in frequency
    • Possibilité de modifier la fréquence de connexion par défaut pour l’authentification moderne.Ability to change the default sign in frequency for modern authentication.
  • Session de navigateur persistantePersistent browser session
    • Permet aux utilisateurs de rester connectés après la fermeture et la réouverture de la fenêtre du navigateur.Allows users to remain signed in after closing and reopening their browser window.

Stratégies simplesSimple policies

Une stratégie d’accès conditionnel doit contenir au moins les éléments suivants à appliquer :A Conditional Access policy must contain at minimum the following to be enforced:

  • Nom de la stratégie.Name of the policy.
  • AffectationsAssignments
    • Utilisateurs et/ou groupes auxquels appliquer la stratégie.Users and/or groups to apply the policy to.
    • Applications ou actions cloud auxquelles appliquer la stratégie.Cloud apps or actions to apply the policy to.
  • Contrôles d’accèsAccess controls
    • Octroyer ou Bloquer des contrôlesGrant or Block controls

Stratégie d’accès conditionnel vide

Dans l’article Stratégies d’accès conditionnel courantes, nous présentons quelques stratégies qui nous semblent utiles pour la plupart des organisations.The article Common Conditional Access policies includes some policies that we think would be useful to most organizations.

Étapes suivantesNext steps

Créer une stratégie d’accès conditionnelCreate a Conditional Access policy

Simuler le comportement de connexion à l’aide de l’outil What If pour l’accès conditionnelSimulate sign in behavior using the Conditional Access What If tool

Planification d’un déploiement Azure Multi-Factor Authentication basé sur le cloudPlanning a cloud-based Azure Multi-Factor Authentication deployment

Gestion de la conformité des appareils avec IntuneManaging device compliance with Intune

Microsoft Cloud App Security et accès conditionnelMicrosoft Cloud App Security and Conditional Access