Accès conditionnel : Exiger MFA pour la gestion AzureConditional Access: Require MFA for Azure management

Les organisations utilisent divers services Azure et les gèrent à partir d’outils reposant sur Azure Resource Manager :Organizations use a variety of Azure services and manage them from Azure Resource Manager based tools like:

  • Portail AzureAzure portal
  • Azure PowerShellAzure PowerShell
  • Azure CLIAzure CLI

Ces outils peuvent offrir un accès privilégié aux ressources, ce qui permet de modifier les configurations à l’échelle de l’abonnement, les paramètres du service et la facturation des abonnements.These tools can provide highly privileged access to resources, that can alter subscription-wide configurations, service settings, and subscription billing. Pour protéger ces ressources privilégiées, Microsoft recommande d’exiger l’authentification multifacteur pour tous les utilisateurs qui accèdent à ces ressources.To protect these privileged resources, Microsoft recommends requiring multi-factor authentication for any user accessing these resources.

Exclusions d’utilisateursUser exclusions

Les stratégies d’accès conditionnel sont des outils puissants. Nous vous recommandons donc d’exclure les comptes suivants de votre stratégie :Conditional Access policies are powerful tools, we recommend excluding the following accounts from your policy:

  • Comptes d’accès d’urgence ou de secours pour empêcher le verrouillage du compte sur l’ensemble du locataire.Emergency access or break-glass accounts to prevent tenant-wide account lockout. Dans le scénario improbable où tous les administrateurs seraient verrouillés hors de votre locataire, votre compte administratif d’accès d’urgence peut être utilisé pour vous connecter au locataire et prendre les mesures nécessaires pour récupérer l’accès.In the unlikely scenario all administrators are locked out of your tenant, your emergency-access administrative account can be used to log into the tenant take steps to recover access.
  • Les comptes de service et les principaux de service , comme le compte de synchronisation Azure AD Connect.Service accounts and service principals , such as the Azure AD Connect Sync Account. Les comptes de service sont des comptes non interactifs qui ne sont pas liés à un utilisateur particulier.Service accounts are non-interactive accounts that are not tied to any particular user. Ils sont généralement utilisés par les services principaux autorisant l’accès par programme aux applications, mais ils sont également utilisés pour se connecter aux systèmes à des fins administratives.They are normally used by back-end services allowing programmatic access to applications, but are also used to sign in to systems for administrative purposes. Les comptes de service comme ceux-ci doivent être exclus, car l’authentification MFA ne peut pas être effectuée par programme.Service accounts like these should be excluded since MFA can't be completed programmatically. Les appels effectués par les principaux de service ne sont pas bloqués par l’accès conditionnel.Calls made by service principals are not blocked by Conditional Access.
    • Si votre organisation utilise ces comptes dans des scripts ou du code, envisagez de les remplacer par des identités managées.If your organization has these accounts in use in scripts or code, consider replacing them with managed identities. Pour contourner provisoirement le problème, vous pouvez exclure ces comptes spécifiques de la stratégie de base.As a temporary workaround, you can exclude these specific accounts from the baseline policy.

Créer une stratégie d’accès conditionnelCreate a Conditional Access policy

Les étapes suivantes vous aideront à créer une stratégie d’accès conditionnel pour demander à ceux pouvant accéder à l’application Gestion de Microsoft Azure d’effectuer l’authentification multifacteur.The following steps will help create a Conditional Access policy to require those with access to the Microsoft Azure Management app to perform multi-factor authentication.

  1. Connectez-vous au portail Microsoft Azure en tant qu’administrateur général, administrateur de sécurité ou administrateur de l’accès conditionnel.Sign in to the Azure portal as a global administrator, security administrator, or Conditional Access administrator.
  2. Accédez à Azure Active Directory > Sécurité > Accès conditionnel.Browse to Azure Active Directory > Security > Conditional Access .
  3. Sélectionnez Nouvelle stratégie .Select New policy .
  4. Donnez un nom à votre stratégie.Give your policy a name. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.We recommend that organizations create a meaningful standard for the names of their policies.
  5. Sous Affectations , sélectionnez Utilisateurs et groupesUnder Assignments , select Users and groups
    1. Sous Inclure , sélectionnez Tous les utilisateurs .Under Include , select All users .
    2. Sous Exclure , sélectionnez Utilisateurs et groupes , puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.Under Exclude , select Users and groups and choose your organization's emergency access or break-glass accounts.
    3. Sélectionnez Terminé .Select Done .
  6. Sous Applications ou actions cloud > Inclure , sélectionnez Sélectionner les applications , choisissez Gestion Microsoft Azure , puis Sélectionner et Terminé .Under Cloud apps or actions > Include , select Select apps , choose Microsoft Azure Management , and select Select then Done .
  7. Sous Conditions > Applications clientes (préversion) > Sélectionnez les applications clientes auxquelles cette stratégie s’applique , laissez toutes les valeurs par défaut sélectionnées et sélectionnez Terminé .Under Conditions > Client apps (Preview) , under Select the client apps this policy will apply to leave all defaults selected and select Done .
  8. Sous Contrôles d’accès > Accorder , sélectionnez Accorder l'accès , Requérir l’authentification multifacteur , et sélectionnez Sélectionner .Under Access controls > Grant , select Grant access , Require multi-factor authentication , and select Select .
  9. Confirmez vos paramètres et réglez Activer la stratégie sur Activé .Confirm your settings and set Enable policy to On .
  10. Sélectionnez Créer pour créer votre stratégie.Select Create to create to enable your policy.

Étapes suivantesNext steps

Stratégies d’accès conditionnel courantesConditional Access common policies

Déterminer l'impact à l'aide du mode Rapport seul de l'Accès conditionnelDetermine impact using Conditional Access report-only mode

Simuler le comportement de connexion à l’aide de l’outil What If pour l’accès conditionnelSimulate sign in behavior using the Conditional Access What If tool