Accès conditionnel : Exiger MFA pour les administrateursConditional Access: Require MFA for administrators

Les comptes auxquels sont affectés les droits d’administration sont ciblés par les attaquants.Accounts that are assigned administrative rights are targeted by attackers. Exiger l’authentification multifacteur (MFA) sur ces comptes est un moyen simple de réduire le risque de compromission de ces comptes.Requiring multi-factor authentication (MFA) on those accounts is an easy way to reduce the risk of those accounts being compromised.

Microsoft vous recommande d’exiger une authentification MFA sur les rôles suivants au minimum :Microsoft recommends you require MFA on the following roles at a minimum:

  • Administrateur d’authentificationAuthentication Administrator
  • Administrateur de facturationBilling administrator
  • Administrateur de l’accès conditionnelConditional Access administrator
  • Administrateur ExchangeExchange administrator
  • Administrateur généralGlobal administrator
  • Administrateur du support techniqueHelpdesk administrator
  • Administrateur de mots de passePassword administrator
  • Administrateur de sécuritéSecurity administrator
  • Administrateur SharePointSharePoint administrator
  • Administrateur d’utilisateursUser administrator

Les organisations peuvent choisir d’inclure ou d’exclure des rôles comme ils le jugent adéquat.Organizations can choose to include or exclude roles as they see fit.

Exclusions d’utilisateursUser exclusions

Les stratégies d’accès conditionnel sont des outils puissants. Nous vous recommandons donc d’exclure les comptes suivants de votre stratégie :Conditional Access policies are powerful tools, we recommend excluding the following accounts from your policy:

  • Comptes d’accès d’urgence ou de secours pour empêcher le verrouillage du compte sur l’ensemble du locataire.Emergency access or break-glass accounts to prevent tenant-wide account lockout. Dans le scénario improbable où tous les administrateurs seraient verrouillés hors de votre locataire, votre compte administratif d’accès d’urgence peut être utilisé pour vous connecter au locataire et prendre les mesures nécessaires pour récupérer l’accès.In the unlikely scenario all administrators are locked out of your tenant, your emergency-access administrative account can be used to log into the tenant take steps to recover access.
  • Les comptes de service et les principaux de service , comme le compte de synchronisation Azure AD Connect.Service accounts and service principals , such as the Azure AD Connect Sync Account. Les comptes de service sont des comptes non interactifs qui ne sont pas liés à un utilisateur particulier.Service accounts are non-interactive accounts that are not tied to any particular user. Ils sont généralement utilisés par les services principaux autorisant l’accès par programme aux applications, mais ils sont également utilisés pour se connecter aux systèmes à des fins administratives.They are normally used by back-end services allowing programmatic access to applications, but are also used to sign in to systems for administrative purposes. Les comptes de service comme ceux-ci doivent être exclus, car l’authentification MFA ne peut pas être effectuée par programme.Service accounts like these should be excluded since MFA can't be completed programmatically. Les appels effectués par les principaux de service ne sont pas bloqués par l’accès conditionnel.Calls made by service principals are not blocked by Conditional Access.
    • Si votre organisation utilise ces comptes dans des scripts ou du code, envisagez de les remplacer par des identités managées.If your organization has these accounts in use in scripts or code, consider replacing them with managed identities. Pour contourner provisoirement le problème, vous pouvez exclure ces comptes spécifiques de la stratégie de base.As a temporary workaround, you can exclude these specific accounts from the baseline policy.

Créer une stratégie d’accès conditionnelCreate a Conditional Access policy

Les étapes suivantes vous aideront à créer une stratégie d’accès conditionnel pour demander à ces rôles d’administration affectés d’effectuer l’authentification multifacteur.The following steps will help create a Conditional Access policy to require those assigned administrative roles to perform multi-factor authentication.

  1. Connectez-vous au portail Microsoft Azure en tant qu’administrateur général, administrateur de sécurité ou administrateur de l’accès conditionnel.Sign in to the Azure portal as a global administrator, security administrator, or Conditional Access administrator.
  2. Accédez à Azure Active Directory > Sécurité > Accès conditionnel.Browse to Azure Active Directory > Security > Conditional Access .
  3. Sélectionnez Nouvelle stratégie .Select New policy .
  4. Donnez un nom à votre stratégie.Give your policy a name. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.We recommend that organizations create a meaningful standard for the names of their policies.
  5. Sous Affectations , sélectionnez Utilisateurs et groupesUnder Assignments , select Users and groups
    1. Sous Inclure , sélectionnez Rôles d’annuaire (préversion) et choisissez au minimum les rôles suivants :Under Include , select Directory roles (preview) and choose the following roles at a minimum:

      • Administrateur d’authentificationAuthentication Administrator
      • Administrateur de facturationBilling administrator
      • Administrateur de l’accès conditionnelConditional Access administrator
      • Administrateur ExchangeExchange administrator
      • Administrateur généralGlobal administrator
      • Administrateur du support techniqueHelpdesk administrator
      • Administrateur de mots de passePassword administrator
      • Administrateur de sécuritéSecurity administrator
      • Administrateur SharePointSharePoint administrator
      • Administrateur d’utilisateursUser administrator

      Avertissement

      Les stratégies d’accès conditionnel ne prennent pas en charge les utilisateurs affectés à un rôle d’annuaire étendue à une unité administrative ou à des rôles d’annuaire étendus directement à un objet, par exemple via des rôles personnalisés.Conditional Access policies do not support users assigned a directory role scoped to an administrative unit or directory roles scoped directly to an object, like through custom roles.

    2. Sous Exclure , sélectionnez Utilisateurs et groupes , puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.Under Exclude , select Users and groups and choose your organization's emergency access or break-glass accounts.

    3. Sélectionnez Terminé .Select Done .

  6. Sous Applications ou actions cloud > Inclure , sélectionnez Toutes les applications cloud et sélectionnez Terminé .Under Cloud apps or actions > Include , select All cloud apps , and select Done .
  7. Sous Conditions > Applications clientes , basculez Configurer vers Oui et sous Sélectionnez les applications clientes auxquelles cette stratégie s’applique sur , laissez toutes les valeurs par défaut sélectionnées, puis sélectionnez Terminé .Under Conditions > Client apps , switch Configure to Yes and under Select the client apps this policy will apply to leave all defaults selected and select Done .
  8. Sous Contrôles d’accès > Accorder , sélectionnez Accorder l'accès , Requérir l’authentification multifacteur , et sélectionnez Sélectionner .Under Access controls > Grant , select Grant access , Require multi-factor authentication , and select Select .
  9. Confirmez vos paramètres et réglez Activer la stratégie sur Activé .Confirm your settings and set Enable policy to On .
  10. Sélectionnez Créer pour créer votre stratégie.Select Create to create to enable your policy.

Étapes suivantesNext steps

Stratégies d’accès conditionnel courantesConditional Access common policies

Déterminer l'impact à l'aide du mode Rapport seul de l'Accès conditionnelDetermine impact using Conditional Access report-only mode

Simuler le comportement de connexion à l’aide de l’outil What If pour l’accès conditionnelSimulate sign in behavior using the Conditional Access What If tool