Accès conditionnel : Bloquer l’accèsConditional Access: Block access

Pour les organisations utilisant une approche de migration vers le cloud conservatrice, la stratégie Bloquer tout est une option possible.For organizations with a conservative cloud migration approach, the block all policy is an option that can be used.

Attention

Une mauvaise configuration de stratégie de blocage peut entraîner l’exclusion des organisations du portail Azure.Misconfiguration of a block policy can lead to organizations being locked out of the Azure portal.

Ce type de stratégie peut avoir des effets secondaires imprévus.Policies like these can have unintended side effects. Des opérations appropriées de test et de validation sont essentielles avant l’activation.Proper testing and validation are vital before enabling. Les administrateurs doivent utiliser des outils tels que le mode rapport seul d’accès conditionnel et l’outil What If dans l’accès conditionnel lorsqu’ils apportent des modifications.Administrators should utilize tools such as Conditional Access report-only mode and the What If tool in Conditional Access when making changes.

Exclusions d’utilisateursUser exclusions

Les stratégies d’accès conditionnel sont des outils puissants. Nous vous recommandons donc d’exclure les comptes suivants de votre stratégie :Conditional Access policies are powerful tools, we recommend excluding the following accounts from your policy:

  • Comptes d’accès d’urgence ou de secours pour empêcher le verrouillage du compte sur l’ensemble du locataire.Emergency access or break-glass accounts to prevent tenant-wide account lockout. Dans le scénario improbable où tous les administrateurs seraient verrouillés hors de votre locataire, votre compte administratif d’accès d’urgence peut être utilisé pour vous connecter au locataire et prendre les mesures nécessaires pour récupérer l’accès.In the unlikely scenario all administrators are locked out of your tenant, your emergency-access administrative account can be used to log into the tenant take steps to recover access.
  • Les comptes de service et les principaux de service , comme le compte de synchronisation Azure AD Connect.Service accounts and service principals , such as the Azure AD Connect Sync Account. Les comptes de service sont des comptes non interactifs qui ne sont pas liés à un utilisateur particulier.Service accounts are non-interactive accounts that are not tied to any particular user. Ils sont généralement utilisés par les services principaux autorisant l’accès par programme aux applications, mais ils sont également utilisés pour se connecter aux systèmes à des fins administratives.They are normally used by back-end services allowing programmatic access to applications, but are also used to sign in to systems for administrative purposes. Les comptes de service comme ceux-ci doivent être exclus, car l’authentification MFA ne peut pas être effectuée par programme.Service accounts like these should be excluded since MFA can't be completed programmatically. Les appels effectués par les principaux de service ne sont pas bloqués par l’accès conditionnel.Calls made by service principals are not blocked by Conditional Access.
    • Si votre organisation utilise ces comptes dans des scripts ou du code, envisagez de les remplacer par des identités managées.If your organization has these accounts in use in scripts or code, consider replacing them with managed identities. Pour contourner provisoirement le problème, vous pouvez exclure ces comptes spécifiques de la stratégie de base.As a temporary workaround, you can exclude these specific accounts from the baseline policy.

Créer une stratégie d’accès conditionnelCreate a Conditional Access policy

Les étapes suivantes vont permettre de créer des stratégies d’accès conditionnel pour bloquer l’accès à toutes les applications à l’exception d’Office 365 si les utilisateurs ne sont pas sur un réseau approuvé.The following steps will help create Conditional Access policies to block access to all apps except for Office 365 if users are not on a trusted network. Ces stratégies sont mises en mode rapport seul pour commencer afin que les administrateurs puissent déterminer l’impact qu’elles auront sur les utilisateurs existants.These policies are put in to Report-only mode to start so administrators can determine the impact they will have on existing users. Lorsque les administrateurs sont sûrs que les stratégies s’appliquent comme prévu, ils peuvent les activer .When administrators are comfortable that the policies apply as they intend, they can switch them to On .

La première stratégie bloque l’accès à toutes les applications à l’exception des applications Microsoft 365 si l’emplacement n’est pas approuvé.The first policy blocks access to all apps except for Microsoft 365 applications if not on a trusted location.

  1. Connectez-vous au portail Microsoft Azure en tant qu’administrateur général, administrateur de sécurité ou administrateur de l’accès conditionnel.Sign in to the Azure portal as a global administrator, security administrator, or Conditional Access administrator.
  2. Accédez à Azure Active Directory > Sécurité > Accès conditionnel.Browse to Azure Active Directory > Security > Conditional Access .
  3. Sélectionnez Nouvelle stratégie .Select New policy .
  4. Donnez un nom à votre stratégie.Give your policy a name. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.We recommend that organizations create a meaningful standard for the names of their policies.
  5. Sous Affectations , sélectionnez Utilisateurs et groupes .Under Assignments , select Users and groups .
    1. Sous Inclure , sélectionnez Tous les utilisateurs .Under Include , select All users .
    2. Sous Exclure , sélectionnez Utilisateurs et groupes , puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.Under Exclude , select Users and groups and choose your organization's emergency access or break-glass accounts.
    3. Sélectionnez Terminé .Select Done .
  6. Sous Applications ou actions cloud , sélectionnez les options suivantes :Under Cloud apps or actions , select the following options:
    1. Sous Inclure , sélectionnez Toutes les applications cloud .Under Include , select All cloud apps .
    2. Sous Exclure , sélectionnez Office 365 , Sélectionner , puis Terminé .Under Exclude , select Office 365 , select Select , then select Done .
  7. Sous Conditions  :Under Conditions :
    1. Sous Conditions > Emplacement .Under Conditions > Location .
      1. Définissez Configurer sur OuiSet Configure to Yes
      2. Sous Inclure , sélectionnez Tous les emplacements .Under Include , select Any location .
      3. Sous Exclure , sélectionnez Tous les emplacements approuvés .Under Exclude , select All trusted locations .
      4. Sélectionnez Terminé .Select Done .
    2. Sous Applications clientes (préversion) , définissez Configurer sur Oui , puis sélectionnez Terminé , puis Terminé .Under Client apps (Preview) , set Configure to Yes , and select Done , then Done .
  8. Sous Contrôles d’accès > Accorder , sélectionnez Bloquer l’accès , puis Sélectionner .Under Access controls > Grant , select Block access , then select Select .
  9. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul .Confirm your settings and set Enable policy to Report-only .
  10. Sélectionnez Créer pour créer votre stratégie.Select Create to create to enable your policy.

Une deuxième stratégie est créée ci-dessous pour exiger l’authentification multifacteur ou un appareil conforme pour les utilisateurs de Microsoft 365.A second policy is created below to require multi-factor authentication or a compliant device for users of Microsoft 365.

  1. Sélectionnez Nouvelle stratégie .Select New policy .
  2. Donnez un nom à votre stratégie.Give your policy a name. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.We recommend that organizations create a meaningful standard for the names of their policies.
  3. Sous Affectations , sélectionnez Utilisateurs et groupes .Under Assignments , select Users and groups .
    1. Sous Inclure , sélectionnez Tous les utilisateurs .Under Include , select All users .
    2. Sous Exclure , sélectionnez Utilisateurs et groupes , puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.Under Exclude , select Users and groups and choose your organization's emergency access or break-glass accounts.
    3. Sélectionnez Terminé .Select Done .
  4. Sous Applications ou actions cloud > Inclure , sélectionnez Sélectionner les applications , choisissez Office 365 , puis Sélectionner et Terminé .Under Cloud apps or actions > Include , select Select apps , choose Office 365 , and select Select , then Done .
  5. Sous Contrôles d’accès > Accorder , sélectionnez Accorder l’accès .Under Access controls > Grant , select Grant access .
    1. Sélectionnez Exiger l’authentification multifacteur et Exiger que l’appareil soit marqué comme conforme , puis Sélectionner .Select Require multi-factor authentication and Require device to be marked as compliant select Select .
    2. Vérifiez que l’option Exiger tous les contrôles sélectionnés est sélectionnée.Ensure Require all the selected controls is selected.
    3. Sélectionnez Sélectionner .Select Select .
  6. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul .Confirm your settings and set Enable policy to Report-only .
  7. Sélectionnez Créer pour créer votre stratégie.Select Create to create to enable your policy.

Étapes suivantesNext steps

Stratégies d’accès conditionnel courantesConditional Access common policies

Déterminer l'impact à l'aide du mode Rapport seul de l'Accès conditionnelDetermine impact using Conditional Access report-only mode

Simuler le comportement de connexion à l’aide de l’outil What If pour l’accès conditionnelSimulate sign in behavior using the Conditional Access What If tool