Implémenter des contrôles et des affectations de stratégie d’accès conditionnel

Effectué

Visual Studio App Center prend en charge l’accès conditionnel Azure AD, une fonctionnalité avancée d’Azure AD qui vous permet de spécifier des stratégies détaillées qui contrôlent qui peut accéder à vos ressources. Avec l’accès conditionnel, vous pouvez protéger vos applications en limitant l’accès des utilisateurs en fonction d’éléments tels que le groupe, le type d’appareil, l’emplacement et le rôle.

Configuration de l’accès conditionnel

Il s’agit d’un guide abrégé de la configuration de l’accès conditionnel. La documentation complète est disponible à l’adresse https://docs.microsoft.com/azure/active-directory/conditional-access/overview.

Dans le portail Azure, ouvrez votre locataire Active Directory, ouvrez les paramètres Sécurité, puis cliquez sur Accès conditionnel.

Dans les paramètres Accès conditionnel, cliquez sur Nouvelle stratégie pour créer une stratégie.

Accès conditionnel Azure Active Directory

Dans les paramètres Nouvelle stratégie, cliquez sur Applications ou actions cloud, puis sélectionnez Visual Studio App Center comme cible de la stratégie. Sélectionnez ensuite les autres conditions que vous souhaitez appliquer, activez la stratégie, puis cliquez sur Créer pour l’enregistrer.

Accès conditionnel AAD : Applications ou actions cloud

Accès conditionnel basé sur les risques de connexion

La plupart des utilisateurs ont un comportement normal qui peut être suivi. Lorsqu’ils ne suivent pas cette norme, il peut être risqué de les autoriser à se connecter. Vous pouvez bloquer ces utilisateurs ou simplement leur demander d’effectuer une authentification multifacteur pour prouver qu’ils sont vraiment ceux qu’ils prétendent être.

Un risque de connexion reflète la probabilité qu’une requête d’authentification donnée soit rejetée par le propriétaire de l'identité. Les organisations disposant de licences Azure AD Premium P2 peuvent créer des stratégies d’accès conditionnel incorporant les détections de risques de connexion d’Azure AD Identity Protection.

Cette stratégie peut être affectée par le biais de l’accès conditionnel lui-même ou par le biais d’Azure AD Identity Protection. Les organisations doivent choisir l’une de deux options pour activer une stratégie d’accès conditionnel basé sur les risques de connexion qui nécessite un changement de mot de passe sécurisé.

Accès conditionnel basé sur les risques d’utilisateur

Microsoft travaille avec des chercheurs, les forces de l’ordre, les différentes équipes de sécurité de Microsoft et d’autres sources approuvées pour rechercher les paires nom d’utilisateur/mot de passe divulguées. Les organisations disposant des licences Azure AD Premium P2 peuvent créer des stratégies d’accès conditionnel incorporant des détections de risques des utilisateurs Azure AD Identity Protection.

À l’instar de l’accès conditionnel basé sur les risques, cette stratégie peut être affectée par le biais de l’accès conditionnel lui-même ou par le biais d’Azure AD Identity Protection.

Sécurisation de l’inscription des informations de sécurité

La sécurisation de l’inscription des utilisateurs à Azure AD Multi-Factor Authentication et à la réinitialisation de mot de passe en libre-service est désormais possible avec les actions de l’utilisateur dans la stratégie d’accès conditionnel. Cette fonctionnalité en préversion est à la disposition des organisations qui ont activé l’inscription combinée. Cette fonctionnalité peut être activée dans les organisations qui souhaitent utiliser des conditions telles qu’un emplacement réseau approuvé afin de limiter l’accès pour s’inscrire à Azure AD Multi-Factor Authentication et à la réinitialisation de mot de passe en libre-service (SSPR).

Créer une stratégie pour exiger l’inscription à partir d’un emplacement approuvé

La stratégie suivante s’applique à tous les utilisateurs sélectionnés qui tentent de s’inscrire à l’aide de l’expérience d’inscription combinée ; elle leur bloque l’accès sauf s’ils se connectent à partir d’un emplacement réseau approuvé.

  1. Dans le portail Azure, accédez à Azure Active Directory > Sécurité > Accès conditionnel.

  2. Sélectionnez Nouvelle stratégie.

  3. Dans Nom, entrez un nom pour cette stratégie. Par exemple, Inscription d’informations de sécurité combinée sur les réseaux approuvés.

  4. Sous Affectations, sélectionnez Utilisateurs et groupes, puis sélectionnez les utilisateurs et les groupes auxquels vous souhaitez appliquer cette stratégie.

    Avertissement

    Les utilisateurs doivent être activés pour l’inscription combinée.

    1. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.

    2. Sélectionnez Terminé.

  5. Sous Applications cloud ou actions, sélectionnez Actions utilisateur, cochez Inscrire des informations de sécurité.

  6. Sous Conditions > Emplacements.

    1. Configurez Oui.

    2. Incluez N’importe quel emplacement.

    3. Excluez Tous les emplacements approuvés.

    4. Sélectionnez Terminé dans le panneau Emplacements.

    5. Sélectionnez Terminé dans le panneau Conditions.

  7. Sous Conditions > Applications clientes (préversion) , définissez Configurer sur Oui, puis sélectionnez Terminé.

  8. Sous Contrôles d’accès > Octroyer.

    1. Sélectionnez Bloquer l’accès.

    2. Puis cliquez sur Sélectionner.

  9. Définissez l’option Appliquer la stratégie sur Activé.

  10. Ensuite, sélectionnez Enregistrer.

À l’étape 6 de cette stratégie, les organisations ont la possibilité d’effectuer des choix. La stratégie ci-dessus requiert l’inscription à partir d’un emplacement réseau approuvé. Les organisations peuvent choisir d’utiliser les conditions disponibles à la place des Emplacements. N’oubliez pas que cette stratégie est une stratégie de blocage, de sorte que tout ce qui est inclus est bloqué et tout ce qui ne correspond pas à l’inclusion est autorisé.

Certains peuvent choisir d’utiliser l’état de l’appareil au lieu de l’emplacement à l’étape 6 ci-dessus :

  1. Sous Conditions > État de l'appareil (préversion) .

  2. Configurez Oui.

  3. Incluez Tous les états d'appareils.

  4. Excluez Appareil joint à une version Azure AD Hybride et/ou Appareil marqué comme conforme.

  5. Sélectionnez Terminé dans le panneau Emplacements.

  6. Sélectionnez Terminé dans le panneau Conditions.

Bloquer l’accès par emplacement

Avec la condition d’emplacement dans l’accès conditionnel, vous pouvez contrôler l’accès à vos applications cloud basées sur l’emplacement réseau d’un utilisateur. La condition d’emplacement est couramment utilisée pour bloquer l’accès à partir des pays/régions d’où votre organisation sait que le trafic ne doit pas provenir.

Définir des emplacements

  1. Connectez-vous au portail Azure en tant qu’administrateur général, administrateur de sécurité ou administrateur de l’accès conditionnel.

  2. Accédez à Azure Active Directory > Sécurité > Accès conditionnel > Emplacements nommés.

  3. Choisissez Nouvel emplacement.

  4. Donnez un nom à votre emplacement.

  5. Choisissez Plages d’adresses IP si vous connaissez les plages d’adresses IPv4 accessibles de l’extérieur qui composent cet emplacement ou ces pays/régions.

    1. Fournissez les plages d’adresses IP ou sélectionnez Pays/régions pour l’emplacement que vous spécifiez.
    • Si vous choisissez Pays/régions, vous pouvez éventuellement choisir d’inclure les zones inconnues.
  6. Choisissez Enregistrer.

Créer une stratégie d’accès conditionnel

  1. Connectez-vous au portail Azure en tant qu’administrateur général, administrateur de sécurité ou administrateur de l’accès conditionnel.

  2. Accédez à Azure Active Directory > Sécurité > Accès conditionnel.

  3. Sélectionnez Nouvelle stratégie.

  4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.

  5. Sous Affectations, sélectionnez Utilisateurs et groupes.

    1. Sous Inclure, sélectionnez Tous les utilisateurs.

    2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.

    3. Sélectionnez Terminé.

  6. Sous Applications ou actions cloud > Inclure, sélectionnez Toutes les applications cloud.

  7. Sous Conditions > Emplacement.

    1. Définissez Configurer sur Oui.

    2. Sous Inclure, sélectionnez Emplacements sélectionnés.

    3. Sélectionnez l’emplacement bloqué que vous avez créé pour votre organisation.

    4. Cliquez sur Sélectionner.

  8. Sous Contrôles d’accès, sélectionnez Bloquer l’accès, puis Sélectionner.

  9. Confirmez vos paramètres et réglez Activer la stratégie sur Activé.

  10. Sélectionnez Créer pour appliquer la stratégie d’accès conditionnel.

Exiger un appareil conforme

Les organisations qui ont déployé Microsoft Intune peuvent utiliser les informations retournées par leurs appareils pour identifier les appareils qui répondent aux exigences de conformité, par exemple :

  • Exiger un code PIN pour le déverrouillage.

  • Exiger le chiffrement de l’appareil.

  • Exiger une version minimale ou maximale du système d’exploitation.

  • Exiger qu’un appareil ne soit ni jailbroken ni rooté.

Ces informations de conformité de la stratégie sont transmises à Azure AD, où l’accès conditionnel peut prendre des décisions pour accorder ou bloquer l’accès aux ressources.

Créer une stratégie d’accès conditionnel

Les étapes suivantes vous aideront à créer une stratégie d’accès conditionnel pour exiger que les appareils qui accèdent aux ressources soient marqués comme conformes aux stratégies de conformité Intune de votre organisation.

  1. Connectez-vous au portail Azure en tant qu’administrateur général, administrateur de sécurité ou administrateur de l’accès conditionnel.

  2. Accédez à Azure Active Directory > Sécurité > Accès conditionnel.

  3. Sélectionnez Nouvelle stratégie.

  4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.

  5. Sous Affectations, sélectionnez Utilisateurs et groupes.

    1. Sous Inclure, sélectionnez Tous les utilisateurs.

    2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.

    3. Sélectionnez Terminé.

  6. Sous Applications ou actions cloud > Inclure, sélectionnez Toutes les applications cloud.

    1. Si vous devez exclure des applications spécifiques de votre stratégie, vous pouvez les choisir dans l'onglet Exclure sous Sélectionner les applications cloud exclues, puis choisir Sélectionner.

    2. Sélectionnez Terminé.

  7. Sous Conditions > Applications clientes (préversion) > Sélectionner les applications clientes auxquelles cette stratégie s’applique, laissez toutes les valeurs par défaut sélectionnées et sélectionnez Terminé.

  8. Sous Contrôles d’accès > Accorder, sélectionnez Exiger que l’appareil soit marqué comme conforme.

    1. Sélectionnez Sélectionner.
  9. Confirmez vos paramètres et réglez Activer la stratégie sur Activé.

  10. Sélectionnez Créer pour créer votre stratégie.

Notes

Vous pouvez inscrire vos nouveaux appareils auprès d’Intune même si vous sélectionnez Exiger que l’appareil soit marqué comme conforme pour Tous les utilisateurs et Toutes les applications Cloud en procédant de la manière d’écrite ci-dessus. Le contrôle Exiger que l’appareil soit marqué comme conforme ne bloque pas l’inscription auprès d’Intune.

Comportement connu

Sur des systèmes Windows 7, iOS, Android, macOS, et dans certains navigateurs web tiers, Azure AD identifie l’appareil à l’aide d’un certificat client, qui est approvisionné lorsque l’appareil est inscrit auprès d’Azure AD. Lorsqu’un utilisateur se connecte pour la première fois via le navigateur, l’utilisateur est invité à sélectionner le certificat. L’utilisateur final doit sélectionner ce certificat pour pouvoir continuer à utiliser le navigateur.

Bloquer l’accès

Pour les organisations utilisant une approche de migration vers le cloud conservatrice, la stratégie Bloquer tout est une option possible.

Avertissement

Une mauvaise configuration de stratégie de blocage peut entraîner l’exclusion des organisations du portail Azure.

Ce type de stratégie peut avoir des effets secondaires imprévus. Des opérations appropriées de test et de validation sont essentielles avant l’activation. Lorsqu’ils apportent des modifications, les administrateurs doivent utiliser des outils tels que le mode rapport uniquement d’accès conditionnel et l’outil What If dans l’accès conditionnel.

Exclusions d’utilisateurs

Les stratégies d’accès conditionnel sont des outils puissants. Nous vous recommandons d’exclure les comptes suivants de votre stratégie :

  • Comptes d’accès d’urgence ou de secours pour empêcher le verrouillage du compte sur l’ensemble du locataire. Dans le scénario improbable où tous les administrateurs seraient verrouillés hors de votre locataire, votre compte administratif d’accès d’urgence peut être utilisé pour vous connecter au locataire et prendre les mesures nécessaires pour récupérer l’accès.

  • Les comptes de service et les principaux de service, comme le compte de synchronisation Azure AD Connect. Les comptes de service sont des comptes non interactifs qui ne sont pas liés à un utilisateur particulier. Ils sont généralement utilisés par les services principaux autorisant l’accès par programme aux applications, mais ils sont également utilisés pour se connecter aux systèmes à des fins administratives. Les comptes de service comme ceux-ci doivent être exclus, car l’authentification MFA ne peut pas être effectuée par programme. Les appels effectués par les principaux de service ne sont pas bloqués par l’accès conditionnel.

    • Si votre organisation utilise ces comptes dans des scripts ou du code, envisagez de les remplacer par des identités managées. Pour contourner provisoirement le problème, vous pouvez exclure ces comptes spécifiques de la stratégie de base.

Créer une stratégie d’accès conditionnel

Les étapes suivantes vont permettre de créer des stratégies d’accès conditionnel pour bloquer l’accès à toutes les applications à l’exception d’Office 365 si les utilisateurs ne sont pas sur un réseau approuvé. Ces stratégies sont mises en mode rapport seul pour commencer afin que les administrateurs puissent déterminer l’impact qu’elles auront sur les utilisateurs existants. Lorsque les administrateurs sont sûrs que les stratégies s’appliquent comme prévu, ils peuvent les activer.

La première stratégie bloque l’accès à toutes les applications à l’exception des applications Microsoft 365 si l’emplacement n’est pas approuvé.

  1. Connectez-vous au portail Azure en tant qu’administrateur général, administrateur de sécurité ou administrateur de l’accès conditionnel.

  2. Accédez à Azure Active Directory > Sécurité > Accès conditionnel.

  3. Sélectionnez Nouvelle stratégie.

  4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.

  5. Sous Affectations, sélectionnez Utilisateurs et groupes.

    1. Sous Inclure, sélectionnez Tous les utilisateurs.

    2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.

    3. Sélectionnez Terminé.

  6. Sous Applications ou actions cloud, sélectionnez les options suivantes :

    1. Sous Inclure, sélectionnez Toutes les applications cloud.

    2. Sous Exclure, sélectionnez Office 365, Sélectionner, puis Terminé.

  7. Sous Conditions :

    1. Sous Conditions > Emplacement.

      1. Définissez Configurer sur Oui.

      2. Sous Inclure, sélectionnez Tous les emplacements.

      3. Sous Exclure, sélectionnez Tous les emplacements approuvés.

      4. Sélectionnez Terminé.

    2. Sous Applications clientes (préversion) , définissez Configurer sur Oui, puis sélectionnez Terminé, puis Terminé.

  8. Sous Contrôles d’accès > Accorder, sélectionnez Bloquer l’accès, puis Sélectionner.

  9. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.

  10. Sélectionnez Créer pour créer votre stratégie.

Une deuxième stratégie est créée ci-dessous pour exiger l’authentification multifacteur ou un appareil conforme pour les utilisateurs de Microsoft 365.

  1. Sélectionnez Nouvelle stratégie.

  2. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.

  3. Sous Affectations, sélectionnez Utilisateurs et groupes.

    1. Sous Inclure, sélectionnez Tous les utilisateurs.

    2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.

    3. Sélectionnez Terminé.

  4. Sous Applications ou actions cloud > Inclure, sélectionnez Sélectionner les applications, choisissez Office 365, puis Sélectionner et Terminé.

  5. Sous Contrôles d’accès > Accorder, sélectionnez Accorder l’accès.

    1. Sélectionnez Exiger l’authentification multifacteur et Exiger que l’appareil soit marqué comme conforme, puis Sélectionner.

    2. Vérifiez que l’option Exiger l’un des contrôles sélectionnés est sélectionnée.

    3. Sélectionnez Sélectionner.

  6. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.

  7. Sélectionnez Créer pour créer votre stratégie.