Planifier un déploiement d’accès conditionnelPlan a Conditional Access deployment

La planification de votre déploiement d’accès conditionnel joue un rôle capital dans la réussite de la stratégie d’accès de votre organisation pour les applications et les ressources.Planning your Conditional Access deployment is critical to achieving your organization's access strategy for apps and resources.

Dans un monde où la mobilité et le cloud sont la priorité, vos utilisateurs accèdent, en tous lieux, aux ressources de votre organisation depuis un large éventail d’appareils et d’applications.In a mobile-first, cloud-first world, your users access your organization's resources from anywhere using a variety of devices and apps. Ainsi, s’attacher exclusivement au contrôle des personnes accédant à une ressource ne suffit plus.As a result, focusing on who can access a resource is no longer enough. Vous devez également tenir compte de l’endroit où l’utilisateur se trouve, de l’appareil qui est utilisé, de la ressource à laquelle il accède, et bien plus encore.You also need to consider where the user is, the device being used, the resource being accessed, and more.

Les accès conditionnels Azure Active Directory (Azure AD) analysent les signaux, comme l’utilisateur, l’appareil et l’emplacement, afin d’automatiser les décisions et d’appliquer les stratégies d’accès propres à l’organisation pour les ressources.Azure Active Directory (Azure AD) Conditional Access (CA) analyses signals such as user, device, and location to automate decisions and enforce organizational access policies for resource. Vous pouvez utiliser des stratégies d’accès conditionnel pour appliquer des contrôles d’accès tels que Multi-Factor Authentication (MFA).You can use CA policies to apply access controls like Multi-Factor Authentication (MFA). Les stratégies d’accès conditionnel vous permettent d’inviter les utilisateurs à procéder à l’authentification MFA lorsque la sécurité l’exige, et à les laisser libres de naviguer à leur guise lorsqu’elle n’est pas nécessaire.CA policies allow you to prompt users for MFA when needed for security, and stay out of users’ way when not needed.

Présentation de l’accès conditionnel

Microsoft fournit des stratégies conditionnelles standard, appelées paramètres de sécurité par défaut, et qui garantissent un niveau de sécurité de base.Microsoft provides standard conditional policies called security defaults that ensure a basic level of security. Toutefois, votre organisation peut avoir besoin de plus de flexibilité que ce que propose la sécurité par défaut.However, your organization may need more flexibility than security defaults offer. Vous pouvez utiliser l’accès conditionnel pour personnaliser les paramètres de sécurité par défaut avec une plus grande granularité, et pour configurer de nouvelles stratégies qui répondent à vos besoins.You can use Conditional Access to customize security defaults with more granularity and to configure new policies that meet your requirements.

DécouvrirLearn

Avant de commencer, vous devez bien comprendre le fonctionnement de l’accès conditionnel et quand vous devez l’utiliser.Before you begin, make sure you understand how Conditional Access works and when you should use it.

AvantagesBenefits

Le déploiement de l’accès conditionnel présente les avantages suivants :The benefits of deploying Conditional Access are:

  • Meilleure productivité.Increase productivity. N’interrompt que les utilisateurs dotés d’une condition de connexion, telle que MFA, lorsqu’un ou plusieurs signaux le justifient.Only interrupt users with a sign-in condition like MFA when one or more signals warrants it. Les stratégies d’accès conditionnel vous permettent de contrôler le moment auquel les utilisateurs sont invités à utiliser l’authentification multifacteur, quand l’accès est bloqué et quand les utilisateurs doivent utiliser un appareil de confiance.CA policies allow you to control when users are prompted for MFA, when access is blocked, and when they must use a trusted device.

  • Gérer le risque.Manage risk. Automatiser l’évaluation des risques avec des conditions de stratégie signifie que les connexions risquées sont immédiatement identifiées et corrigées ou bloquées.Automating risk assessment with policy conditions means risky sign-ins are at once identified and remediated or blocked. Le couplage de l’accès conditionnel à Identity Protection, qui détecte les anomalies et les événements suspects, vous permet de cibler le moment où l’accès aux ressources est bloqué ou contrôlé.Coupling Conditional Access with Identity Protection, which detects anomalies and suspicious events, allows you to target when access to resources is blocked or gated.

  • Gouvernance et conformité des adresses.Address compliance and governance. L’accès conditionnel vous permet d’auditer l’accès aux applications, de présenter les conditions d’utilisation pour le consentement et de restreindre l’accès en fonction des stratégies de conformité.Conditional Access enables you to audit access to applications, present terms of use for consent, and restrict access based on compliance policies.

  • Gestion des coûts.Manage cost. Le déplacement des stratégies d’accès sur Azure AD réduit le recours à des solutions locales ou personnalisées pour l’accès conditionnel, et leurs coûts d’infrastructure.Moving access policies to Azure AD reduces the reliance on custom or on-premises solutions for Conditional Access, and their infrastructure costs.

Conditions de licence :License requirements

Consultez Conditions de licence de l’accès conditionnel.See Conditional Access license requirements.

Si des fonctionnalités supplémentaires sont nécessaires, il est possible que vous ayez également besoin des licences associées.If additional features are required, you might also need related licenses. Pour plus d’informations, consultez Tarification Azure Active Directory.For more information, see Azure Active Directory pricing.

PrérequisPrerequisites

Ressources de formationTraining resources

Les ressources suivantes peuvent être utiles lorsque vous vous familiarisez avec l’accès conditionnel :The following resources may be useful as you learn about Conditional Access:

VidéosVideos

Cours en ligne sur PluralsightOnline courses on PluralSight

Planifier le projet de déploiementPlan the deployment project

Tenez compte des besoins de votre organisation lorsque vous déterminez la stratégie de ce déploiement dans votre environnement.Consider your organizational needs while you determine the strategy for this deployment in your environment.

Impliquer les parties prenantes appropriéesEngage the right stakeholders

Lorsque des projets technologiques échouent, cela est généralement dû à des attentes qui ne correspondent pas à l’impact, aux résultats et aux responsabilités réels.When technology projects fail, they typically do so due to mismatched expectations on impact, outcomes, and responsibilities. Pour éviter un tel cas de figure, prenez soin de faire appel aux bonnes parties prenantes et à clarifier les rôles du projet.To avoid these pitfalls, ensure that you're engaging the right stakeholders and that project roles are clear.

Planifier les communicationsPlan communications

La communication est essentielle à la réussite de tout nouveau service.Communication is critical to the success of any new service. Communiquez de manière proactive avec vos utilisateurs sur ce qui va changer, à quel moment les changements seront appliqués et comment ils peuvent obtenir de l’aide en cas de problème.Proactively communicate with your users how their experience will change, when it will change, and how to gain support if they experience issues.

Prévoir un pilotePlan a pilot

Lorsque de nouvelles stratégies sont prêtes pour votre environnement, déployez-les en phases dans l’environnement de production.When new policies are ready for your environment, deploy them in phases in the production environment. Tout d’abord, appliquez une stratégie à un petit ensemble d’utilisateurs dans un environnement de test et vérifiez si la stratégie se comporte comme prévu.First apply a policy to a small set of users in a test environment and verify if the policy behaves as expected. Consultez Meilleures pratiques pour un pilote.See Best practices for a pilot.

Notes

Pour déployer de nouvelles stratégies qui ne sont pas spécifiques aux administrateurs, excluez tous les administrateurs.For rolling out new policies not specific to administrators, exclude all administrators. De cette façon, vous garantissez toujours l’accès des administrateurs à la stratégie, à laquelle ils apportent des modifications s’ils ne la révoquent pas en cas d’impact significatif.This ensures that administrators can still access the policy and make changes or revoke it if there's a significant impact. Validez toujours la stratégie avec des groupes d’utilisateurs plus petits avant de l’appliquer à tous les utilisateurs.Always validate the policy with smaller user groups before you apply to all users.

Comprendre les composants de la stratégie d’accès conditionnelUnderstand CA policy components

Les stratégies d’accès conditionnel sont des instructions de type si-alors : si une affectation est remplie, alors appliquer ces contrôles d’accès.CA policies are if-then statements: If an assignment is met, then apply these access controls.

Lors de la configuration de stratégies d’accès conditionnel, les conditions s’appellent des affectations.When configuring CA policies, conditions are called assignments. Les stratégies d’accès conditionnel vous permettent d’appliquer des contrôles d’accès aux applications de votre organisation, en fonction de certaines affectations.CA policies allow you to enforce access controls on your organization’s apps based on certain assignments.

Pour plus d’informations, consultez Création d’une stratégie d’accès conditionnel.For more information, see Building a CA policy.

écran de création d’une stratégie

Les affectations définissent lesAssignments define the

Les paramètres des contrôles d’accès déterminent la façon dont appliquer une stratégie :Access controls settings determine how to enforce a policy:

Poser les bonnes questions pour créer vos stratégiesAsk the right questions to build your policies

Les stratégies répondent à des questions posées sur les personnes qui ont le droit d’accéder à vos ressources, et sur les ressources auxquelles elles peuvent accéder et dans quelles conditions elles doivent le faire.Policies answer questions about who should access your resources, what resources they should access, and under what conditions. Les stratégies peuvent être conçues pour accorder l’accès, ou le bloquer.Policies can be designed to grant access, or to block access. Assurez-vous de poser les bonnes questions par rapport aux objectifs poursuivis par votre stratégie.Be sure to ask the right questions about what your policy is trying to achieve.

Documentez les réponses aux questions pour chaque stratégie avant de la créer.Document the answers to questions for each policy before building it out.

Questions courantes sur les affectationsCommon questions about Assignments

Utilisateurs et groupesUsers and Groups

  • Quels utilisateurs et groupes seront inclus ou exclus de la stratégie ?Which users and groups will be included in or excluded from the policy?

  • Cette stratégie peut-elle inclure tous les utilisateurs, groupes d’utilisateurs particuliers, rôles d’annuaire ou utilisateurs externes ?Does this policy include all users, specific group of users, directory roles, or external users?

Applications cloud ou actionsCloud apps or actions

  • À quelle(s) application(s) la stratégie s’appliquera-t-elle ?What application(s) will the policy apply to?

  • Quelles actions de l’utilisateur seront soumises à cette stratégie ?What user actions will be subject to this policy?

ConditionsConditions

  • Quelles plateformes d’appareils seront incluses ou exclues de la stratégie ?Which device platforms will be included in or excluded from the policy?

  • Quels sont les emplacements approuvés de l’organisation ?What are the organization’s trusted locations?

  • Quels emplacements seront inclus ou exclus de la stratégie ?What locations will be included in or excluded from the policy?

  • Quels types d’applications clientes (navigateur, mobile, clients de bureau, applications avec méthodes d’authentification héritées) seront inclus ou exclus de la stratégie ?What client app types (browser, mobile, desktop clients, apps with legacy authentication methods) will be included in or excluded from the policy?

  • Comptez-vous des stratégies qui pourraient aboutir à exclure des appareils joints Azure AD ou des appareils Azure AD Hybride de stratégies ?Do you have policies that would drive excluding Azure AD Joined devices or Hybrid Azure AD joined devices from policies?

  • Si vous utilisez Identity Protection, voulez-vous incorporer la protection contre la connexion à risque ?If using Identity Protection, do you want to incorporate sign-in risk protection?

Questions courantes sur les contrôles d’accèsCommon questions about access controls

Octroyer ou bloquerGrant or Block

Voulez-vous accorder l’accès aux ressources en exigeant un ou plusieurs des éléments suivants ?Do you want to grant access to resources by requiring one or more of the following?

  • Exiger une authentification multifacteurRequire MFA

  • Exiger que l’appareil soit marqué comme conformeRequire device to be marked as compliant

  • Exiger un appareil joint à Azure AD hybrideRequire hybrid Azure AD joined device

  • Demander une application cliente approuvéeRequire approved client app

  • Exiger une stratégie de protection des applicationsRequire app protection policy

Contrôle de sessionSession control

Voulez-vous appliquer les contrôles d’accès suivants sur les applications cloud ?Do you want to enforce any of the following access controls on cloud apps?

  • Utiliser les autorisations appliquées par l’applicationUse app enforced permissions

  • Utiliser le contrôle d'application par accès conditionnelUse Conditional Access App Control

  • Appliquer la fréquence de connexionEnforce sign-in frequency

  • Utiliser les sessions de navigateur persistantesUse persistent browser sessions

Émission de jetons d’accèsAccess token issuance

Il est important de comprendre comment les jetons d’accès sont émis.It’s important to understand how access tokens are issued.

Diagramme d’émission du jeton d’accès

Notes

Si aucune affectation n’est exigée, et qu’aucune stratégie d’accès conditionnel n’est appliquée, le comportement par défaut consiste à émettre un jeton d’accès.If no assignment is required, and no CA policy is in effect, that the default behavior is to issue an access token.

Par exemple, imaginons une stratégie dans laquelle :For example, consider a policy where:

SI l’utilisateur est dans le groupe 1, ALORS forcer MFA sur l’accès à l’application 1.IF user is in Group 1, THEN force MFA to access App 1.

Si un utilisateur qui n’est pas dans le groupe 1 tente d’accéder à l’application, aucune condition « If » n’est remplie et un jeton est émis.If a user not in Group 1 attempts to access the app no “if’ condition is met, and a token is issued. L’exclusion d’utilisateurs hors du groupe 1 nécessite une stratégie distincte qui permet de bloquer tous les autres utilisateurs.To exclude users outside of Group 1 requires a separate policy to block all other users.

Suivre les bonnes pratiquesFollow best practices

L’infrastructure d’accès conditionnel vous offre une souplesse de configuration exceptionnelle.The Conditional Access framework provides you with a great configuration flexibility. Toutefois, une grande flexibilité implique également que vous examiniez soigneusement chaque stratégie de configuration avant de la mettre en œuvre, afin d’éviter des résultats indésirables.However, great flexibility also means you should carefully review each configuration policy before releasing it to avoid undesirable results.

Appliquer des stratégies d’accès conditionnel à chaque applicationApply CA policies to every app

Les jetons d’accès sont émis par défaut si une condition de stratégie d’accès conditionnel ne déclenche pas de contrôle d’accès.Access tokens are by default issued if a CA Policy condition does not trigger an access control. Assurez-vous que chaque application compte au moins une stratégie d’accès conditionnel appliquéeEnsure that every app has at least one conditional access policy applied

Important

Soyez très prudent lors de l’utilisation des éléments Bloquer et Toutes les applications dans une stratégie unique.Be very careful in using block and all apps in a single policy. Les administrateurs du portail d’administration Azure peuvent se retrouver bloqués à l’extérieur du portail, et les exclusions ne pas être configurées pour des points de terminaison importants, tels que Microsoft Graph.This could lock admins out of the Azure Administration Portal, and exclusions cannot be configured for important end-points such as Microsoft Graph.

Réduire le nombre de stratégies d’accès conditionnelMinimize the number of CA policies

Créer une stratégie pour chaque application n’est pas avantageux et débouche sur une administration compliqué.Creating a policy for each app isn't efficient and leads to difficult administration. L’accès conditionnel n’appliquera que les 195 premières stratégies par utilisateur.Conditional Access will only apply the first 195 policies per user. Nous vous recommandons d’analyser vos applications et de les regrouper par applications partageant les mêmes exigences en ressources pour les mêmes utilisateurs.We recommend that you analyze your apps and group them into applications that have the same resource requirements for the same users. Par exemple, si toutes les applications Microsoft 365 ou de RH présentent les mêmes exigences pour les mêmes utilisateurs, créez une stratégie unique et incluez toutes les applications auxquelles elle s’applique.For example, if all Microsoft 365 apps or all HR apps have the same requirements for the same users, create a single policy and include all of the apps to which it applies.

Configurer des comptes d’accès d’urgenceSet up emergency access accounts

Si votre stratégie est mal configurée, elle peut verrouiller les organisations à l’extérieur du portail Azure.If you misconfigure a policy, it can lock the organizations out of the Azure portal. Vous pouvez pallier l’impact du verrouillage accidentel d’administrateurs en créant quelques comptes d’accès d’urgence dans votre organisation.Mitigate the impact of accidental administrator lock out by creating two or more emergency access accounts in your organization.

  • Créez un compte d’utilisateur dédié à l’administration de stratégies, et qui est exclu de toutes vos stratégies.Create a user account dedicated to policy administration and excluded from all your policies.

  • Scénario de secours des environnements hybrides :Break glass scenario for hybrid environments:

    • Créez un groupe de sécurité local et synchronisez-le à Azure AD.Create an on-premises security group and sync it to Azure AD. Le groupe de sécurité doit contenir votre compte dédié à l’administration de stratégies.The security group should contain your dedicated policy administration account.

    • Faites EXEMPTER ce groupe de sécurité de toutes les stratégies d’accès conditionnel.EXEMPT this security group form all CA policies.

    • En cas de panne d’un service, ajoutez vos autres administrateurs au groupe local en fonction des besoins, et forcez une synchronisation. Leur exemption est ainsi animée sur les stratégies d’accès conditionnel.When a service outage occurs, add your other administrators to the on-premises group as appropriate, and force a sync. This animates their exemption to CA policies.

Configurer le mode Rapport seulSet up report-only mode

Il peut ne pas être aisé de prévoir le nombre et les noms des utilisateurs concernés par des initiatives de déploiement courantes, comme :It can be difficult to predict the number and names of users affected by common deployment initiatives such as:

  • le blocage de l’authentification héritée ;blocking legacy authentication
  • l’obligation d’utiliser MFA ;requiring MFA
  • l’implémentation de stratégies de connexion à risque.implementing sign-in risk policies

Le mode rapport seul permet aux administrateurs d’évaluer l’impact des stratégies d’accès conditionnel avant de les activer dans leur environnement.Report-only mode allows administrators to evaluate the impact of CA policies before enabling them in their environment.

Apprenez à Configurer le mode rapport seul sur une stratégie d’accès conditionnel.Learn how to configure report-only mode on a CA policy.

Planifier une interruptionPlan for disruption

Si vous vous appuyez sur un seul contrôle d’accès, comme MFA ou un emplacement réseau, pour sécuriser vos systèmes informatiques, vous êtes susceptible de rencontrer des problèmes d’accès si ce contrôle d’accès unique est indisponible ou mal configuré.If you rely on a single access control, such as MFA or a network location, to secure your IT systems, you are susceptible to access failures if that single access control becomes unavailable or misconfigured. Pour réduire le risque de verrouillage pendant des interruptions imprévues, planifiez des stratégies à adopter pour votre organisation.To reduce the risk of lockout during unforeseen disruptions, plan strategies to adopt for your organization.

Définir des normes de nommage pour vos stratégiesSet naming standards for your policies

La convention de nommage vous permet de rechercher des stratégies et de comprendre à quoi elles servent sans les ouvrir dans le portail d’administration Azure.The naming standard helps you to find policies and understand their purpose without opening them in the Azure admin portal. Nous vous recommandons de nommer votre stratégie pour faire ressortir :We recommend that you name your policy to show:

  • Un numéro de séquenceA Sequence Number

  • L’application ou les applications cloud auxquelles elle s’appliqueThe cloud app(s) it applies to

  • La réponseThe response

  • L’objet auquel elle s’applique (qui)Who it applies to

  • Quand elle s’applique (le cas échéant)When it applies (if applicable)

Capture d’écran montrant les normes d’attribution de noms pour les stratégies.

Exemple Une stratégie qui exige MFA pour les utilisateurs Marketing accédant à l’application Dynamics CRP depuis les réseaux externes peut être formulée de la façon suivante :Example; A policy to require MFA for marketing users accessing the Dynamics CRP app from external networks might be:

Convention de nommage

Un nom descriptif vous aide à conserver une vue globale de votre implémentation de l’accès conditionnel.A descriptive name helps you to keep an overview of your Conditional Access implementation. Le numéro de séquence est utile si vous devez faire référence à une stratégie dans une conversation.The Sequence Number is helpful if you need to reference a policy in a conversation. Par exemple, si vous parlez à un administrateur au téléphone, vous pouvez lui demander d’ouvrir la stratégie CA01 pour résoudre un problème.For example, when you talk to an administrator on the phone, you can ask them to open policy CA01 to solve an issue.

Normes de nommage pour les contrôles d’accès d’urgenceNaming standards for emergency access controls

En plus de vos stratégies actives, implémentez des stratégies désactivées qui agissent comme des contrôles d’accès résilients secondaires dans les scénarios d’urgence ou de panne.In addition to your active policies, implement disabled policies that act as secondary resilient access controls in outage or emergency scenarios. Votre norme de nommage pour les stratégies d’urgence doit inclure quelques éléments supplémentaires :Your naming standard for the contingency policies should include:

  • ACTIVER EN CAS D’URGENCE au début, pour faire ressortir le nom au milieu des autres stratégies.ENABLE IN EMERGENCY at the beginning to make the name stand out among the other policies.

  • Le nom d’interruption auquel elle doit s’appliquer.The name of disruption it should apply to.

  • Un numéro de séquence de classement pour aider l’administrateur à savoir dans quel ordre les stratégies doivent être activées.An ordering sequence number to help the administrator to know in which order policies should be enabled.

ExempleExample

Le nom suivant indique que cette stratégie est la première d’une série de quatre stratégies à activer en cas d’interruption de l’authentification multifacteur :The following name indicates that this policy is the first of four policies to enable if there's an MFA disruption:

EM01 - ACTIVER EN CAS D’URGENCE : Interruption MFA [1/4] - Exchange SharePoint : Exiger la jonction Azure AD Hybride pour les utilisateurs VIP.EM01 - ENABLE IN EMERGENCY: MFA Disruption [1/4] - Exchange SharePoint: Require hybrid Azure AD join For VIP users.

Exclure les pays depuis lesquels vous n’espérez jamais aucune connexion.Exclude countries from which you never expect a sign-in.

Azure Active Directory vous permet de créer des emplacements nommés.Azure active directory allows you to create named locations. Créez un emplacement nommé qui comprend tous les pays à partir desquels vous n’escomptez jamais qu’une connexion se produise.Create a named location that includes all of the countries from which you would never expect a sign-in to occur. Créez ensuite une stratégie pour Toutes les applications qui bloquent la connexion à partir de cet emplacement nommé.Then create a policy for All apps that blocks sign in from that named location. Veillez à exempter vos administrateurs de cette stratégie.Be sure to exempt your administrators from this policy.

Planifier votre déploiement de stratégiesPlan your policy deployment

Lorsque de nouvelles stratégies sont prêtes pour votre environnement, prenez soin de passer en revue chacune d’elle avant sa publication pour éviter des résultats indésirables.When new policies are ready for your environment, make sure that you review each policy before releasing it to avoid undesirable results.

Stratégies courantesCommon policies

Quand vous planifiez votre solution de stratégie d’accès conditionnel, déterminez si vous devez créer des stratégies pour obtenir les résultats suivants.When planning your CA policy solution, assess whether you need to create policies to achieve the following outcomes.

Exiger une authentification multifacteurRequire MFA

Les cas d’utilisation courants pour lesquels exiger l’accès MFA :Common use cases to require MFA access:

Répondre aux comptes potentiellement compromisRespond to potentially compromised accounts

Avec des stratégies d’accès conditionnel, vous pouvez implémenter des réponses automatiques aux connexions par identités potentiellement compromises.With CA policies, you can implement automated responses to sign-ins by potentially compromised identities. La probabilité qu’un compte soit compromis est exprimée sous forme de niveaux de risque.The probability that an account is compromised is expressed in the form of risk levels. Il existe deux niveaux de risque calculés par Identity Protection : la connexion à risque et l’utilisateur à risque.There are two risk levels calculated by Identity Protection: sign-in risk and user risk. Les trois stratégies par défaut suivantes peuvent être activées.The following three default policies that can be enabled.

Exiger des appareils gérésRequire managed devices

L’augmentation du nombre d’appareils pris en charge pour accéder aux ressources cloud permet d’améliorer la productivité de vos utilisateurs.The proliferation of supported devices to access your cloud resources helps to improve the productivity of your users. Il est probable que vous ne souhaitiez pas que des appareils dont le niveau de protection est inconnu puissent accéder à certaines ressources de votre environnement.You probably don't want certain resources in your environment to be accessed by devices with an unknown protection level. Pour ces ressources, exigez que les utilisateurs y accèdent uniquement au moyen d’un appareil géré.For those resources, require that users can only access them using a managed device.

Exiger des applications client approuvéesRequire approved client apps

Les employés utilisent leurs appareils mobiles pour des tâches à la fois personnelles et professionnelles.Employees use their mobile devices for both personal and work tasks. Pour les scénarios BYOD, vous devez décider si vous voulez gérer l’appareil entièrement, ou seules les données qu’il contient.For BYOD scenarios you must decide whether to manage the entire device or just the data on it. Si vous gérez uniquement les données et les accès, vous pouvez exiger des applications cloud approuvées qui peuvent protéger vos données d’entreprise.if managing only data and access, you can require approved cloud apps that can protect your corporate data. Par exemple, vous pouvez imposer l’accès à la messagerie électronique uniquement via Outlook Mobile, et non par le biais d’un programme de messagerie générique.for example, you can require email only be accessed via Outlook mobile, and not via a generic mail program.

Bloquer l’accèsBlock access

L’option permettant de bloquer tous les accès est puissante.The option to block all access is powerful. Elle peut être utilisée, par exemple, lorsque vous migrez une application vers Azure AD, alors que vous n’êtes pas prêt à ce que tout le monde s’y connecte pour le moment.It can be used, for example, when you are migrating an app to Azure AD, but are not ready for anyone to sign-in to it yet. Bloquer l’accès :Block access:

  • Remplace toutes les autres affectations d’un utilisateurOverrides all other assignments for a user

  • A la possibilité d’empêcher l’ensemble de votre organisation de se connecter à votre locataireHas the power to block your entire organization from signing on to your tenant

Important

Si vous créez une stratégie pour bloquer l’accès de tous les utilisateurs, veillez à exclure de la stratégie les comptes d’accès d’urgence, et éventuellement tous les administrateurs.If you create a policy to block access for all users, be sure to exclude emergency access accounts, and consider excluding all administrators, from the policy.

Voici d’autres scénarios courants dans lesquels vous pouvez bloquer l’accès à vos utilisateurs :Other common scenarios where you can block access for your users are:

  • Bloquer à certains emplacements réseau l’accès à vos applications cloud.Block certain network locations to access your cloud apps. Vous pouvez utiliser cette stratégie pour bloquer certains pays à partir desquels vous savez que le trafic ne se fera pas.You can use this policy to block certain countries where you know traffic shouldn't come from.

  • Azure AD prend en charge l’authentification hérité.Azure AD supports legacy authentication. Toutefois, l’authentification héritée ne prend pas en charge MFA alors que de nombreux environnements l’exigent pour assurer la sécurité des identités.However, legacy authentication doesn't support MFA and many environments require it to address identity security. Dans ce cas, vous pouvez empêcher des applications utilisant l’authentification héritée d’accéder aux ressources de votre locataire.In this case, you can block apps using legacy authentication from accessing your tenant resources.

Générer et tester les stratégiesBuild and test policies

À chaque étape de votre déploiement, assurez-vous que les évaluations effectuées donnent les résultats attendus.At each stage of your deployment ensure that you're evaluating that results are as expected.

Lorsque de nouvelles stratégies sont prêtes, déployez-les en phases dans l’environnement de production :When new policies are ready, deploy them in phases in the production environment:

  • Indiquez aux utilisateurs finaux les changements internes.Provide internal change communication to end users.

  • Commencez par un petit ensemble d’utilisateurs et vérifiez que la stratégie se comporte comme prévu.Start with a small set of users and verify that the policy behaves as expected.

  • Quand vous étendez une stratégie à davantage d’utilisateurs, continuez à exclure tous les administrateurs.When you expand a policy to include more users, continue to exclude all administrators. De cette façon, au moins une personne a accès à la stratégie si un changement est nécessaire.Excluding administrators ensures that someone still has access to a policy if a change is required.

  • N’appliquez une stratégie à tous les utilisateurs qu’après l’avoir testée minutieusement.Apply a policy to all users only after it's thoroughly tested. Vérifiez que vous disposez au moins d’un compte administrateur auquel une stratégie ne s’applique pas.Ensure you have at least one administrator account to which a policy doesn't apply.

Créer des utilisateurs de testCreate test users

Créez un ensemble d’utilisateurs de test qui reflète les utilisateurs de votre environnement de production.Create a set of test users that reflect the users in your production environment. La création d’utilisateurs de test vous permet de vérifier que vos stratégies fonctionnent comme prévu avant d’impacter les utilisateurs réels, et de risquer d’interrompre leur accès aux applications et aux ressources.Creating test users allows you to verify policies work as expected before you impact real users and potentially disrupt their access to apps and resources.

Certaines organisations ont des locataires de test dans ce but.Some organizations have test tenants for this purpose. Toutefois, il peut être difficile de recréer toutes les conditions et les applications dans un locataire de test pour tester intégralement le résultat d’une stratégie.However, it can be difficult to recreate all conditions and apps in a test tenant to fully test the outcome of a policy.

Créer un plan de testCreate a test plan

Le plan de test est important pour comparer les résultats attendus et les résultats réels.The test plan is important to have a comparison between the expected results and the actual results. Vous devez toujours avoir un objectif avant de tester quelque chose.You should always have an expectation before testing something. Le tableau suivant décrit des exemples de cas de test.The following table outlines example test cases. Ajustez les scénarios et les résultats attendus en fonction de la configuration de vos stratégies d’accès conditionnel.Adjust the scenarios and expected results based on how your CA policies are configured.

PolicyPolicy ScénarioScenario Résultat attenduExpected Result
Exiger l’authentification multifacteur en dehors du bureauRequire MFA when not at work L’utilisateur autorisé se connecte à l’application quand il est dans un emplacement approuvé / au bureauAuthorized user signs into App while on a trusted location / work L’utilisateur n’est pas invité à utiliser l’authentification multifacteurUser is not prompted to MFA
Exiger l’authentification multifacteur en dehors du bureauRequire MFA when not at work L’utilisateur autorisé se connecte à l’application quand il n’est pas dans un emplacement approuvé / au bureauAuthorized user signs into App while not on a trusted location / work L’utilisateur est invité à utiliser l’authentification multifacteur et peut se connecterUser is prompted to MFA and can sign in successfully
Exiger l’authentification multifacteur (pour les administrateurs)Require MFA (for admin) L’administrateur général se connecte à l’applicationGlobal Admin signs into App L’administrateur est invité à utiliser l’authentification multifacteurAdmin is prompted to MFA
Connexions risquéesRisky sign-ins L’utilisateur se connecte à l’application à l’aide d’un navigateur non approuvéUser signs into App using an unapproved browser L’administrateur est invité à utiliser l’authentification multifacteurAdmin is prompted to MFA
Gestion des appareilsDevice management L’utilisateur autorisé tente de se connecter à partir d’un appareil autoriséAuthorized user attempts to sign in from an authorized device Accès accordéAccess Granted
Gestion des appareilsDevice management L’utilisateur autorisé tente de se connecter à partir d’un appareil non autoriséAuthorized user attempts to sign in from an unauthorized device Accès bloquéAccess blocked
Changement de mot de passe pour les utilisateurs à risquePassword change for risky users L’utilisateur autorisé tente de se connecter avec des informations d’identification compromises (connexion à haut risque)Authorized user attempts to sign in with compromised credentials (high risk sign in) L’utilisateur est invité à changer le mot de passe ou l’accès est bloqué selon votre stratégieUser is prompted to change password or access is blocked based on your policy

Configurer la stratégie de testConfigure the test policy

Dans le portail Azure, vous configurez des stratégies d’accès conditionnel sous Azure Active Directory > Sécurité > Accès conditionnel.In the Azure portal, you configure CA policies under Azure Active Directory > Security > Conditional Access.

Si vous souhaitez en savoir plus sur la façon de créer des stratégies d’accès conditionnel, consultez cet exemple : Stratégie d’accès conditionnel pour demander l’authentification MFA lorsqu’un utilisateur se connecte au portail Azure.If you want to learn more about how to create CA policies, see this example: CA policy to prompt for MFA when a user signs in to the Azure portal. Ce guide de démarrage rapide vous permet de :This quickstart helps you to:

  • Vous familiariser avec l’interface utilisateurBecome familiar with the user interface

  • Obtenir une première impression du fonctionnement de l’accès conditionnelGet a first impression of how Conditional Access works

Activer la stratégie en mode rapport seulEnable the policy in report-only mode

Pour évaluer l’impact de votre stratégie, commencez par activer la stratégie en mode rapport seul.To assess the impact of your policy, start by enabling the policy in report-only mode. Les stratégies de rapport seul sont évaluées lors de la connexion, mais les contrôles d’octroi et de session ne sont pas appliqués.Report-only policies are evaluated during sign-in but grant controls and session controls aren't enforced. Une fois que vous avez enregistré la stratégie en mode rapport seul, vous pouvez voir l’impact sur les connexions en temps réel dans les journaux de connexion.Once you save the policy in report-only mode, you can see the impact on real-time sign-ins in the sign-in logs. Dans les journaux de connexion, sélectionnez un événement et accédez à l’onglet Rapport seul pour afficher le résultat de chaque stratégie de rapport seul.From the sign-in logs, select an event and navigate to the Report-only tab to see the result of each report-only policy.

mode rapport seulreport only mode

En sélectionnant la stratégie, vous pouvez également savoir comment les affectations et les contrôles d’accès de cette stratégie ont été évalués à l’aide de l’écran des détails de la stratégie.Selecting the policy, you can also see how the assignments and access controls of the policy were evaluated using the Policy details screen. Pour qu’une stratégie s’applique à une connexion, chaque affectation configurée doit être satisfaite.In order for a policy to apply to a sign-in, each of the configured assignments must be satisfied.

Comprendre l’impact de vos stratégies à l’aide du classeur Insights et rapportsUnderstand the impact of your policies using the Insights and Reporting workbook

Vous pouvez afficher l’impact agrégé de vos stratégies d’accès conditionnel dans le classeur Insights et rapports.You can view the aggregate impact of your Conditional Access policies in the Insights and Reporting workbook. Pour accéder au classeur, vous devez disposer d’un abonnement Azure Monitor et envoyer en streaming vos journaux de connexion à un espace de travail Log Analytics.To access the workbook, you need an Azure Monitor subscription and you will need to stream your Sign-in logs to a Log Analytics workspace.

Simuler des connexions à l’aide de l’outil de simulationSimulate sign-ins using the what-if tool

Une autre façon de valider votre stratégie d’accès conditionnel consiste à utiliser l’outil de simulation qui reproduit les stratégies pouvant s’appliquer à un utilisateur se connectant dans une situation hypothétique.Another way to validate your Conditional Access policy is by using the what-if tool, which simulates which policies would apply to a user signing in under hypothetical circumstances. Sélectionnez les attributs de connexion que vous souhaitez tester (par exemple, utilisateur, application, plateforme d’appareil et emplacement) et voyez quelles stratégies pourraient s’appliquer.Select the sign-in attributes you want to test (such as user, application, device platform, and location) and see which policies would apply.

Notes

Bien qu’une exécution simulée vous donne une bonne idée de l’impact d’une stratégie d’accès conditionnel, elle ne remplace pas une série de tests réels.While a simulated run gives you a good idea of the impact a CA policy has, it does not replace an actual test run.

Tester votre stratégieTest your policy

Réalisez chaque test dans votre plan de test, avec des utilisateurs de test.Perform each test in your test plan with test users.

Veillez à tester aussi les critères d’exclusion d’une stratégie.Ensure you test the exclusion criteria of a policy. Par exemple, vous pouvez exclure un utilisateur ou un groupe d’une stratégie qui exige l’authentification multifacteur.For example, you may exclude a user or group from a policy that requires MFA. Testez si les utilisateurs exclus sont invités à utiliser l’authentification multifacteur, car l’association d’autres stratégies peut exiger l’authentification multifacteur pour ces utilisateurs.Test if the excluded users are prompted for MFA, because the combination of other policies might require MFA for those users.

Restaurer les stratégiesRoll back policies

Si vous devez restaurer les stratégies que vous venez d’implémenter, utilisez une ou plusieurs options suivantes :In case you need to roll back your newly implemented policies, use one or more of the following options:

  • Désactiver la stratégie.Disable the policy. La désactivation d’une stratégie garantit qu’elle ne s’applique pas quand un utilisateur tente de se connecter.Disabling a policy makes sure it does not apply when a user tries to sign in. Vous pouvez toujours revenir en arrière et activer la stratégie quand vous voulez l’utiliser.You can always come back and enable the policy when you would like to use it.

image Activer la stratégie

  • Exclure un utilisateur ou un groupe d’une stratégie.Exclude a user or group from a policy. Si un utilisateur ne peut pas accéder à l’application, vous pouvez l’exclure de la stratégie.If a user is unable to access the app, you can choose to exclude the user from the policy.

Exclure des utilisateurs et des groupes

Notes

Cette option doit être utilisée avec parcimonie, uniquement si l’utilisateur est approuvé.This option should be used sparingly, only in situations where the user is trusted. L’utilisateur doit être rajouté dans la stratégie ou le groupe dès que possible.The user should be added back into the policy or group as soon as possible.

  • Supprimer la stratégie.Delete the policy. Si la stratégie n’est plus nécessaire, supprimez-la.If the policy is no longer required, delete it.

Gérer l’accès aux applications cloudManage access to cloud apps

Utilisez les options de gestion suivantes pour contrôler et gérer vos stratégies d’accès conditionnel :Use the following Manage options to control and manage your CA policies:

Capture d’écran montrant les options MANAGE pour les stratégies d’accès conditionnel, y compris les emplacements nommés, les contrôles personnalisés, les conditions d’utilisation, la connectivité VPN et les stratégies classiques sélectionnées.

Emplacements nommésNamed locations

La condition d’emplacement d’une stratégie d’accès conditionnel vous permet de lier des paramètres de contrôle d’accès aux emplacements réseau de vos utilisateurs.The location condition of a CA policy enables you to tie access controls settings to the network locations of your users. Avec les Emplacements nommés, vous pouvez créer des regroupements logiques de plages d’adresses IP, ou de pays et de régions.With Named Locations, you can create logical groupings of IP address ranges or countries and regions.

Contrôles personnalisésCustom controls

Les Contrôles personnalisés redirigent vos utilisateurs vers un service compatible pour satisfaire aux exigences d’authentification en dehors d’Azure AD.Custom controls redirect your users to a compatible service to satisfy authentication requirements outside of Azure AD. Pour satisfaire à ce contrôle, le navigateur de l’utilisateur est redirigé vers le service externe, il effectue les opérations d’authentification nécessaires, puis est redirigé vers Azure AD.To satisfy this control, a user's browser is redirected to the external service, performs any required authentication, and is then redirected back to Azure AD. Azure AD vérifie la réponse. Si l’utilisateur a été correctement authentifié ou vérifié, il continue dans le flux d’accès conditionnel.Azure AD verifies the response and, if the user was successfully authenticated or validated, the user continues in the Conditional Access flow.

Conditions d’utilisationTerms of use

Avant qu’ils n’accèdent à certaines applications cloud de votre environnement, vous pouvez obtenir le consentement des utilisateurs par l’acceptation de vos conditions d’utilisation.Before accessing certain cloud apps in your environment, you can get consent from the users by them accepting your Terms of use (ToU). Suivez ce guide de démarrage rapide pour créer des conditions d’utilisation.Follow this Quickstart to create Terms of Use.

Résoudre les problèmes d’accès conditionnelTroubleshoot Conditional Access

Lorsqu’un utilisateur rencontre un problème avec une stratégie d’accès conditionnel, collectez les informations suivantes pour faciliter la résolution des problèmes.When a user is having an issue with a CA policy, collect the following information to facilitate troubleshooting.

  • Nom d’utilisateur principalUser principle Name

  • Nom d’affichage de l’utilisateurUser display name

  • Nom du système d’exploitationOperating system name

  • Horodatage (approximation acceptée)Time stamp (approximate is ok)

  • Application cibleTarget application

  • Type d’application cliente (navigateur ou client)Client application type (browser vs client)

  • ID de corrélation (propre à la connexion)Correlation ID (this is unique to the sign-in)

Si l’utilisateur a reçu un message contenant un lien Plus de détails, il peut collecter la plupart de ces informations pour vous.If the user received a message with a More details link, they can collect most of this information for you.

message d’erreur Impossible d’accéder à l’application

Dès que vous avez collecté les informations, consultez les ressources suivantes :Once you have collected the information, See the following resources:

Étapes suivantesNext Steps

En savoir plus sur l’authentification multifacteurLearn more about Multi-factor authentication

En savoir plus sur Identity ProtectionLearn more about Identity Protection

Gérer des stratégies d’accès conditionnel avec API Graph de MicrosoftManage CA policies with Microsoft Graph API