Accès conditionnel : Utilisateurs et groupesConditional Access: Users and groups

Une stratégie d’accès conditionnel doit inclure une attribution d’utilisateur comme l’un des signaux dans le processus de décision.A Conditional Access policy must include a user assignment as one of the signals in the decision process. Les utilisateurs peuvent être inclus ou exclus des stratégies d’accès conditionnel.Users can be included or excluded from Conditional Access policies. Azure Active Directory évalue toutes les stratégies et vérifie que toutes les conditions requises sont remplies avant d’accorder l’accès à l’utilisateur.Azure Active Directory evaluates all policies and ensures that all requirements are met before granting access to the user.

Utilisateur comme signal dans les décisions prises par l’accès conditionnel

Inclure des utilisateursInclude users

Cette liste d’utilisateurs comprend généralement tous les utilisateurs ciblés par une organisation dans une stratégie d’accès conditionnel.This list of users typically includes all of the users an organization is targeting in a Conditional Access policy.

Les options suivantes sont disponibles pour l’inclusion lors de la création d’une stratégie d’accès conditionnel.The following options are available to include when creating a Conditional Access policy.

  • NoneNone
    • Aucun utilisateur sélectionnéNo users selected
  • tous les utilisateursAll users
    • Tous les utilisateurs qui existent dans le répertoire, y compris les invités B2B.All users that exist in the directory including B2B guests.
  • Sélection de l’option Utilisateurs et groupesSelect users and groups
    • Tous les utilisateurs invités et externesAll guest and external users
      • Cette sélection inclut tous les invités B2B et les utilisateurs externes, y compris tout utilisateur dont l’attribut user type est défini sur guest.This selection includes any B2B guests and external users including any user with the user type attribute set to guest. Cette sélection s’applique également à tout utilisateur externe connecté à partir d’une autre organisation, telle qu’un fournisseur de solutions Cloud (CSP).This selection also applies to any external user signed-in from a different organization like a Cloud Solution Provider (CSP).
    • Rôles d’annuaireDirectory roles
      • Permet aux administrateurs de sélectionner des rôles d’annuaire Azure AD spécifiques utilisés pour déterminer l’attribution.Allows administrators to select specific Azure AD directory roles used to determine assignment. Par exemple, les organisations peuvent créer une stratégie plus restrictive sur les utilisateurs qui ont le rôle d’administrateur général.For example, organizations may create a more restrictive policy on users assigned the global administrator role.
    • Utilisateurs et groupesUsers and groups
      • Permet le ciblage d’ensembles spécifiques d’utilisateurs.Allows targeting of specific sets of users. Par exemple, les organisations peuvent sélectionner un groupe qui contient tous les membres du service RH lorsqu’une application RH est sélectionnée en tant qu’application cloud.For example, organizations can select a group that contains all members of the HR department when an HR app is selected as the cloud app. Un groupe peut être n’importe quel type de groupe dans Azure AD, y compris les groupes de sécurité et de distribution dynamiques ou affectés.A group can be any type of group in Azure AD, including dynamic or assigned security and distribution groups. La stratégie sera appliquée aux utilisateurs et groupes imbriqués.Policy will be applied to nested users and groups.

Avertissement

Si des utilisateurs ou des groupes sont membres de plus de 2 048 groupes, leur accès peut être bloqué.If users or groups are a member of over 2048 groups their access may be blocked. Cette limite s’applique à l’appartenance de groupe directe et imbriquée.This limit applies to both direct and nested group membership.

Avertissement

Les stratégies d’accès conditionnel ne prennent pas en charge les utilisateurs affectés à un rôle d’annuaire étendue à une unité administrative ou à des rôles d’annuaire étendus directement à un objet, par exemple via des rôles personnalisés.Conditional Access policies do not support users assigned a directory role scoped to an administrative unit or directory roles scoped directly to an object, like through custom roles.

Exclure des utilisateursExclude users

Lorsque les organisations incluent et excluent à la fois un utilisateur ou un groupe, l’utilisateur ou le groupe est exclu de la stratégie, car une action d’exclusion l’emporte sur une action d’inclusion dans la stratégie.When organizations both include and exclude a user or group the user or group is excluded from the policy, as an exclude action overrides an include in policy. Les exclusions sont couramment utilisées pour les comptes d’accès d’urgence ou les comptes de secours.Exclusions are commonly used for emergency access or break-glass accounts. Pour plus d’informations sur les comptes d’accès d’urgence et la raison pour laquelle ils sont importants, consultez les articles suivants :More information about emergency access accounts and why they are important can be found in the following articles:

Les options suivantes sont disponibles pour l’exclusion lors de la création d’une stratégie d’accès conditionnel.The following options are available to exclude when creating a Conditional Access policy.

  • Tous les utilisateurs invités et externesAll guest and external users
    • Cette sélection inclut tous les invités B2B et les utilisateurs externes, y compris tout utilisateur dont l’attribut user type est défini sur guest.This selection includes any B2B guests and external users including any user with the user type attribute set to guest. Cette sélection s’applique également à tout utilisateur externe connecté à partir d’une autre organisation, telle qu’un fournisseur de solutions Cloud (CSP).This selection also applies to any external user signed-in from a different organization like a Cloud Solution Provider (CSP).
  • Rôles d’annuaireDirectory roles
    • Permet aux administrateurs de sélectionner des rôles d’annuaire Azure AD spécifiques utilisés pour déterminer l’attribution.Allows administrators to select specific Azure AD directory roles used to determine assignment. Par exemple, les organisations peuvent créer une stratégie plus restrictive sur les utilisateurs qui ont le rôle d’administrateur général.For example, organizations may create a more restrictive policy on users assigned the global administrator role.
  • Utilisateurs et groupesUsers and groups
    • Permet le ciblage d’ensembles spécifiques d’utilisateurs.Allows targeting of specific sets of users. Par exemple, les organisations peuvent sélectionner un groupe qui contient tous les membres du service RH lorsqu’une application RH est sélectionnée en tant qu’application cloud.For example, organizations can select a group that contains all members of the HR department when an HR app is selected as the cloud app. Un groupe peut être n’importe quel type de groupe dans Azure AD, y compris les groupes de sécurité et de distribution dynamiques ou affectés.A group can be any type of group in Azure AD, including dynamic or assigned security and distribution groups.

Empêcher le verrouillage de l’administrateurPreventing administrator lockout

Pour empêcher qu’un administrateur ne se verrouille hors de son répertoire lors de la création d’une stratégie appliquée à tous les utilisateurs et toutes les applications , l’avertissement suivant s’affiche.To prevent an administrator from locking themselves out of their directory when creating a policy applied to All users and All apps , they will see the following warning.

Ne vous enfermez pas dehors !Don't lock yourself out! Nous vous recommandons d’appliquer d’abord une stratégie à un petit ensemble d’utilisateurs pour vérifier qu’elle fonctionne comme prévu.We recommend applying a policy to a small set of users first to verify it behaves as expected. Nous vous recommandons également d’exclure au moins un administrateur de cette stratégie.We also recommend excluding at least one administrator from this policy. Cette opération garantit que vous disposez toujours d’un accès et que vous pouvez mettre à jour une stratégie si une modification est nécessaire.This ensures that you still have access and can update a policy if a change is required. Vérifiez les utilisateurs et les applications concernés.Please review the affected users and apps.

Par défaut, la stratégie fournit une option permettant d’exclure l’utilisateur actuel de la stratégie, mais cette valeur par défaut peut être remplacée par l’administrateur, comme indiqué dans l’image suivante.By default the policy will provide an option to exclude the current user from the policy, but this default can be overridden by the administrator as shown in the following image.

Attention, ne vous enfermez pas dehors !

Que faire si votre accès au portail Azure est verrouillé ?What to do if you are locked out of the Azure portal?

Étapes suivantesNext steps