Qu’est-ce que l’accès conditionnel ?What is Conditional Access?

Le périmètre de sécurité moderne s’étend désormais au-delà du réseau d’une organisation pour inclure l’identité de l’utilisateur et de l’appareil.The modern security perimeter now extends beyond an organization's network to include user and device identity. Les organisations peuvent utiliser ces signaux d’identité dans le cadre de leurs décisions de contrôle d’accès.Organizations can utilize these identity signals as part of their access control decisions.

L’accès conditionnel est l’outil utilisé par Azure Active Directory pour réunir des signaux, prendre des décisions et appliquer des stratégies d’organisation.Conditional Access is the tool used by Azure Active Directory to bring signals together, to make decisions, and enforce organizational policies. L’accès conditionnel est au cœur du nouveau plan de contrôle basé sur les identités.Conditional Access is at the heart of the new identity driven control plane.

Signal conditionnel conceptuel + Décision = Application

Les stratégies d’accès conditionnel, dans leur forme la plus simple, sont des instructions if-then : si un utilisateur souhaite accéder à une ressource, il doit effectuer une action.Conditional Access policies at their simplest are if-then statements, if a user wants to access a resource, then they must complete an action. Exemple : Un responsable paie souhaite accéder à l’application de paie et il doit effectuer une authentification multifacteur pour y accéder.Example: A payroll manager wants to access the payroll application and is required to perform multi-factor authentication to access it.

Les administrateurs sont confrontés à deux objectifs principaux :Administrators are faced with two primary goals:

  • Permettre aux utilisateurs d’être productifs où et quand ils le veulentEmpower users to be productive wherever and whenever
  • Protéger les ressources de l’entrepriseProtect the organization's assets

En utilisant des stratégies d’accès conditionnel, vous pouvez appliquer les contrôles d’accès nécessaires pour garantir la sécurité de votre organisation sans pour autant freiner inutilement votre utilisateur.By using Conditional Access policies, you can apply the right access controls when needed to keep your organization secure and stay out of your user's way when not needed.

Workflow du processus d’accès conditionnel conceptuel

Important

Des stratégies d'accès conditionnel sont appliquées au terme de l'authentification premier facteur.Conditional Access policies are enforced after first-factor authentication is completed. L'accès conditionnel n'est pas destiné à être la première ligne de défense d'une organisation pour des scénarios comme les attaques par déni de service (DoS), mais il peut utiliser les signaux de ces événements pour déterminer l'accès.Conditional Access isn't intended to be an organization's first line of defense for scenarios like denial-of-service (DoS) attacks, but it can use signals from these events to determine access.

Signaux courantsCommon signals

Les signaux courants que l’accès conditionnel peut prendre en compte lors d’une prise de décision en matière de stratégie sont notamment les suivants :Common signals that Conditional Access can take in to account when making a policy decision include the following signals:

  • Appartenance des utilisateurs ou appartenance à un groupeUser or group membership
    • Les stratégies peuvent ciblées des utilisateurs et des groupes spécifiques, ce qui donne aux administrateurs un contrôle plus précis sur l’accès.Policies can be targeted to specific users and groups giving administrators fine-grained control over access.
  • Informations d’emplacement IPIP Location information
    • Les organisations peuvent créer des plages d’adresses IP approuvées qui peuvent être utilisées pour prendre des décisions en matière de stratégie.Organizations can create trusted IP address ranges that can be used when making policy decisions.
    • Les administrateurs peuvent spécifier des plages d’adresses IP de pays/régions entiers pour bloquer ou autoriser le trafic en provenance de ceux-ci.Administrators can specify entire countries/regions IP ranges to block or allow traffic from.
  • AppareilDevice
    • Les utilisateurs disposant d’appareils de plateformes spécifiques ou marqués avec un état spécifique peuvent être utilisés lors de l’application de stratégies d’accès conditionnel.Users with devices of specific platforms or marked with a specific state can be used when enforcing Conditional Access policies.
  • ApplicationApplication
    • Les utilisateurs qui tentent d’accéder à des applications spécifiques peuvent déclencher différentes stratégies d’accès conditionnel.Users attempting to access specific applications can trigger different Conditional Access policies.
  • Détection des risques en temps réel et calculésReal-time and calculated risk detection
    • L’intégration de signaux à Azure AD Identity Protection permet aux stratégies d’accès conditionnel d’identifier le comportement des connexions à risque.Signals integration with Azure AD Identity Protection allows Conditional Access policies to identify risky sign-in behavior. Les stratégies peuvent ensuite forcer les utilisateurs à changer leur mot de passe ou à utiliser l’authentification multifacteur pour réduire leur niveau de risque ou pour que leur accès soit bloqué jusqu’à ce qu’un administrateur entreprenne une action manuelle.Policies can then force users to perform password changes or multi-factor authentication to reduce their risk level or be blocked from access until an administrator takes manual action.
  • Microsoft Cloud App Security (MCAS)Microsoft Cloud App Security (MCAS)
    • Permet la supervision et le contrôle des sessions d’application et de l’accès aux applications utilisateur en temps réel, en renforçant la visibilité et le contrôle de l’accès à votre environnement cloud ainsi que des activités effectuées avec celui-ci.Enables user application access and sessions to be monitored and controlled in real time, increasing visibility and control over access to and activities performed within your cloud environment.

Décisions courantesCommon decisions

  • Bloquer l’accèsBlock access
    • Décision la plus restrictiveMost restrictive decision
  • Accorder l'accèsGrant access
    • Décision la moins restrictive ; peut toujours nécessiter une ou plusieurs des options suivantes :Least restrictive decision, can still require one or more of the following options:
      • Exiger une authentification multifacteurRequire multi-factor authentication
      • Exiger que l’appareil soit marqué comme conformeRequire device to be marked as compliant
      • Exiger un appareil joint Azure AD HybrideRequire Hybrid Azure AD joined device
      • Demander une application cliente approuvéeRequire approved client app
      • Exiger une stratégie de protection des applications (préversion)Require app protection policy (preview)

Stratégies couramment appliquéesCommonly applied policies

De nombreuses organisations rencontrent des problèmes d’accès courants que les stratégies d’accès conditionnel peuvent contribuer à résoudre :Many organizations have common access concerns that Conditional Access policies can help with such as:

  • Demande d’authentification multifacteur pour les utilisateurs disposant de rôles d’administrationRequiring multi-factor authentication for users with administrative roles
  • Demande d’authentification multifacteur pour les tâches de gestion AzureRequiring multi-factor authentication for Azure management tasks
  • Blocage des connexions pour les utilisateurs tentant d’utiliser des protocoles d’authentification héritésBlocking sign-ins for users attempting to use legacy authentication protocols
  • Demande d’emplacements approuvés pour l’inscription à l’authentification multifacteur AzureRequiring trusted locations for Azure Multi-Factor Authentication registration
  • Blocage ou octroi de l’accès à partir d’emplacements spécifiquesBlocking or granting access from specific locations
  • Blocage des comportements de connexion à risqueBlocking risky sign-in behaviors
  • Demande d’appareils gérés par l’organisation pour des applications spécifiquesRequiring organization-managed devices for specific applications

Études de cas clientsCustomer case studies

Découvrez comment d’autres organisations utilisent l’accès conditionnel Azure AD pour définir et implémenter des décisions de contrôle d’accès automatisées.Discover how other organizations use Azure AD Conditional Access to define and implement automated access control decisions. Les récits présentés ci-après montrent comment ces besoins client sont respectés.The following featured stories demonstrate how these customer needs are met.

Conditions de licence :License requirements

L'utilisation de cette fonctionnalité nécessite une licence Azure AD Premium P1.Using this feature requires an Azure AD Premium P1 license. Pour trouver la licence adaptée à vos besoins, consultez  Comparaison des fonctionnalités généralement disponibles des éditions Gratuit, De base et Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Les clients avec des licences Microsoft 365 Business Premium ont également accès aux fonctionnalités d’accès conditionnel.Customers with Microsoft 365 Business Premium licenses also have access to Conditional Access features.

Risque de connexion nécessite un accès à Identity ProtectionSign-in Risk requires access to Identity Protection

Étapes suivantesNext steps