Qu’est-ce que l’accès conditionnel ?What is Conditional Access?

Le périmètre de sécurité moderne s’étend désormais au-delà du réseau d’une organisation pour inclure l’identité de l’utilisateur et de l’appareil.The modern security perimeter now extends beyond an organization's network to include user and device identity. Les organisations peuvent utiliser ces signaux d’identité dans le cadre de leurs décisions de contrôle d’accès.Organizations can utilize these identity signals as part of their access control decisions.

L’accès conditionnel est l’outil utilisé par Azure Active Directory pour réunir des signaux, prendre des décisions et appliquer des stratégies d’organisation.Conditional Access is the tool used by Azure Active Directory to bring signals together, to make decisions, and enforce organizational policies. L’accès conditionnel est au cœur du nouveau plan de contrôle basé sur les identités.Conditional Access is at the heart of the new identity driven control plane.

Signal conditionnel conceptuel + Décision = Application

Les stratégies d’accès conditionnel, dans leur forme la plus simple, sont des instructions if-then : si un utilisateur souhaite accéder à une ressource, il doit effectuer une action.Conditional Access policies at their simplest are if-then statements, if a user wants to access a resource, then they must complete an action. Exemple : Un responsable paie souhaite accéder à l’application de paie et il doit effectuer une authentification multifacteur pour y accéder.Example: A payroll manager wants to access the payroll application and is required to perform multi-factor authentication to access it.

Les administrateurs sont confrontés à deux objectifs principaux :Administrators are faced with two primary goals:

  • Permettre aux utilisateurs d’être productifs où et quand ils le veulentEmpower users to be productive wherever and whenever
  • Protéger les ressources de l’entrepriseProtect the organization's assets

En utilisant des stratégies d’accès conditionnel, vous pouvez appliquer les contrôles d’accès appropriés quand cela est nécessaire pour garantir la sécurité de votre organisation et ne pas freiner votre utilisateur dans le cas contraire.By using Conditional Access policies, you can apply the right access controls when needed to keep your organization secure and stay out of your user’s way when not needed.

Workflow du processus d’accès conditionnel conceptuel

Des stratégies d’accès conditionnel sont appliquées au terme de l’authentification premier facteur.Conditional Access policies are enforced after the first-factor authentication has been completed. L’accès conditionnel n’est pas destiné à servir de première ligne de défense d’une organisation pour les scénarios comme les attaques par déni de service, mais il peut utiliser des signaux de ces événements pour déterminer l’accès.Conditional Access is not intended as an organization's first line of defense for scenarios like denial-of-service (DoS) attacks, but can use signals from these events to determine access.

Signaux courantsCommon signals

Les signaux courants que l’accès conditionnel peut prendre en compte lors d’une prise de décision en matière de stratégie sont notamment les suivants :Common signals that Conditional Access can take in to account when making a policy decision include the following signals:

  • Appartenance des utilisateurs ou appartenance à un groupeUser or group membership
    • Les stratégies peuvent ciblées des utilisateurs et des groupes spécifiques, ce qui donne aux administrateurs un contrôle plus précis sur l’accès.Policies can be targeted to specific users and groups giving administrators fine-grained control over access.
  • Informations d’emplacement IPIP Location information
    • Les organisations peuvent créer des plages d’adresses IP approuvées qui peuvent être utilisées pour prendre des décisions en matière de stratégie.Organizations can create trusted IP address ranges that can be used when making policy decisions.
    • Les administrateurs peuvent spécifier des plages d’adresses IP de pays entiers pour bloquer ou autoriser le trafic en provenance de ceux-ci.Administrators can specify entire countries IP ranges to block or allow traffic from.
  • AppareilDevice
    • Les utilisateurs disposant d’appareils de plateformes spécifiques ou marqués avec un état spécifique peuvent être utilisés lors de l’application de stratégies d’accès conditionnel.Users with devices of specific platforms or marked with a specific state can be used when enforcing Conditional Access policies.
  • ApplicationApplication
    • Les utilisateurs qui tentent d’accéder à des applications spécifiques peuvent déclencher différentes stratégies d’accès conditionnel.Users attempting to access specific applications can trigger different Conditional Access policies.
  • Détection des risques en temps réel et calculésReal-time and calculated risk detection
    • L’intégration de signaux à Azure AD Identity Protection permet aux stratégies d’accès conditionnel d’identifier le comportement des connexions à risque.Signals integration with Azure AD Identity Protection allows Conditional Access policies to identify risky sign-in behavior. Les stratégies peuvent ensuite forcer les utilisateurs à changer leur mot de passe ou à utiliser l’authentification multifacteur pour réduire leur niveau de risque ou pour que leur accès soit bloqué jusqu’à ce qu’un administrateur entreprenne une action manuelle.Policies can then force users to perform password changes or multi-factor authentication to reduce their risk level or be blocked from access until an administrator takes manual action.
  • Microsoft Cloud App Security (MCAS)Microsoft Cloud App Security (MCAS)
    • Permet la supervision et le contrôle des sessions d’application et de l’accès aux applications utilisateur en temps réel, en renforçant la visibilité et le contrôle de l’accès à votre environnement cloud ainsi que des activités effectuées avec celui-ci.Enables user application access and sessions to be monitored and controlled in real time, increasing visibility and control over access to and activities performed within your cloud environment.

Décisions courantesCommon decisions

  • Bloquer l’accèsBlock access
    • Décision la plus restrictiveMost restrictive decision
  • Accorder l'accèsGrant access
    • Décision la moins restrictive ; peut toujours nécessiter une ou plusieurs des options suivantes :Least restrictive decision, can still require one or more of the following options:
      • Exiger une authentification multifacteurRequire multi-factor authentication
      • Exiger que l’appareil soit marqué comme conformeRequire device to be marked as compliant
      • Exiger un appareil joint à une version hybride d’Azure ADRequire Hybrid Azure AD joined device
      • Demander une application cliente approuvéeRequire approved client app
      • Exiger une stratégie de protection des applications (préversion)Require app protection policy (preview)

Stratégies couramment appliquéesCommonly applied policies

De nombreuses organisations rencontrent des problèmes d’accès courants que les stratégies d’accès conditionnel peuvent vous aider à résoudre :Many organizations have common access concerns that Conditional Access policies can help with such as:

  • Demande d’authentification multifacteur pour les utilisateurs disposant de rôles d’administrationRequiring multi-factor authentication for users with administrative roles
  • Demande d’authentification multifacteur pour les tâches de gestion AzureRequiring multi-factor authentication for Azure management tasks
  • Blocage des connexions pour les utilisateurs tentant d’utiliser des protocoles d’authentification héritésBlocking sign-ins for users attempting to use legacy authentication protocols
  • Demande d’emplacements approuvés pour l’inscription à l’authentification multifacteur AzureRequiring trusted locations for Azure Multi-Factor Authentication registration
  • Blocage ou octroi de l’accès à partir d’emplacements spécifiquesBlocking or granting access from specific locations
  • Blocage des comportements de connexion à risqueBlocking risky sign-in behaviors
  • Demande d’appareils gérés par l’organisation pour des applications spécifiquesRequiring organization-managed devices for specific applications

Conditions de licence :License requirements

L'utilisation de cette fonctionnalité nécessite une licence Azure AD Premium P1.Using this feature requires an Azure AD Premium P1 license. Pour trouver la licence adaptée à vos besoins, consultez  Comparaison des fonctionnalités généralement disponibles des éditions Gratuit, De base et Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Les clients avec des licences Microsoft 365 Business ont également accès aux fonctionnalités d’accès conditionnel.Customers with Microsoft 365 Business licenses also have access to Conditional Access features.

Étapes suivantesNext steps

Génération d’une stratégie d’accès conditionnel élément par élémentBuilding a Conditional Access policy piece by piece

Pour apprendre à implémenter l’accès conditionnel dans votre environnement, consultez Planifier votre déploiement d’accès conditionnel dans Azure Active Directory.To learn how to implement Conditional Access in your environment, see Plan your Conditional Access deployment in Azure Active Directory.

En savoir plus sur Identity ProtectionLearn about Identity Protection

En savoir plus sur Microsoft Cloud App SecurityLearn about Microsoft Cloud App Security

En savoir plus sur Microsoft IntuneLearn about Microsoft Intune