Prérequis à respecter pour implémenter des stratégies d’accès aux identités et aux appareils Confiance Zéro
Cet article décrit les prérequis que les administrateurs doivent respecter pour utiliser les stratégies et les configurations des accès aux identités et aux appareils Confiance Zéro, et pour utiliser l’accès conditionnel. Il traite également des valeurs par défaut recommandées pour la configuration des plateformes clientes pour obtenir la meilleure expérience possible d’authentification unique (SSO).
Prérequis
Avant d’utiliser les stratégies recommandées d’accès aux identités et aux appareils Confiance Zéro, votre organisation doit respecter des prérequis. Les exigences varient selon les différents modèles d’identité et d’authentification listés :
- Cloud uniquement
- Hybride avec authentification avec synchronisation de hachage de mot de passe (PHS)
- Hybride avec authentification directe (PTA)
- Adresses IP fédérées
Le tableau suivant détaille les fonctionnalités prérequises et leur configuration qui s’appliquent à tous les modèles d’identité, sauf indication contraire.
| Configuration | Exceptions | Gestion des licences |
|---|---|---|
| Configurez la synchronisation de hachage de mot de passe. Cette fonctionnalité doit être activée pour détecter les informations d’identification fuitées et agir sur celles-ci pour l’accès conditionnel basé sur les risques. Notez que ceci est obligatoire, que votre organisation utilise ou non l’authentification fédérée. | Cloud uniquement | Microsoft 365 E3 ou E5 |
| Activez l’authentification unique fluide pour connecter automatiquement les utilisateurs quand ils sont sur leurs appareils d’organisation connectés au réseau de votre organisation. | Cloud uniquement et fédéré | Microsoft 365 E3 ou E5 |
| Configurez des emplacements nommés. Microsoft Entra ID Protection collecte et analyse toutes les données de session disponibles pour générer un score de risque. Nous vous recommandons de spécifier les plages d’adresses IP publiques du réseau de votre organisation dans la configuration des emplacements nommés Microsoft Entra ID. Le trafic émanant de ces plages est affecté d’un score de risque réduit, tandis que le trafic provenant de l’extérieur de l’environnement de l’organisation est affecté d’un score de risque plus élevé. | Microsoft 365 E3 ou E5 | |
| Inscrivez tous les utilisateurs pour la réinitialisation de mot de passe en libre-service (SSPR) et l’authentification multifacteur (MFA). Nous vous recommandons d’inscrire les utilisateurs pour l’authentification multifacteur Microsoft Entra à l’avance. Microsoft Entra ID Protection utilise l’authentification multifacteur Microsoft Entra pour effectuer une vérification de sécurité supplémentaire. En outre, pour obtenir la meilleure expérience de connexion possible, nous vous recommandons aux utilisateurs d’installer l’application Microsoft Authenticator et l’application Portail d’entreprise Microsoft sur leurs appareils. Celles-ci peuvent être installées depuis l’App Store pour chaque plateforme. | Microsoft 365 E3 ou E5 | |
| Planifiez l’implémentation de votre jonction hybride Microsoft Entra. L’accès conditionnel va vérifier que les appareils qui se connectent aux applications sont joints au domaine ou sont conformes. Pour que cette fonctionnalité soit prise en charge sur les ordinateurs Windows, l’appareil doit être inscrit auprès de Microsoft Entra ID. Cet article explique comment configurer l’inscription automatique des appareils. | Cloud uniquement | Microsoft 365 E3 ou E5 |
| Préparer votre équipe de support. Mettez en place un plan pour les utilisateurs qui ne sont pas en mesure d’effectuer l’authentification multifacteur. Il peut s’agir de les ajouter à un groupe d’exclusion de la stratégie ou d’inscrire de nouvelles informations d’authentification multifacteur pour eux. Avant d’effectuer une de ces modifications sensibles pour la sécurité, vous devez vérifier que l’utilisateur lui-même en effectue la demande. Le fait d’impliquer les responsables des utilisateurs dans l’approbation de cette opération constitue une approche efficace. | Microsoft 365 E3 ou E5 | |
| Configurer l’écriture différée du mot de passe dans AD au niveau local. La réécriture du mot de passe permet à Microsoft Entra ID d’imposer aux utilisateurs de changer leur mot de passe local en cas de détection d’un risque élevé de compromission de compte. Vous pouvez activer cette fonctionnalité en utilisant Microsoft Entra Connect de deux façons : activer la réécriture du mot de passe dans l’écran des fonctionnalités facultatives de l’installation de Microsoft Entra Connect, ou l’activer via Windows PowerShell. | Cloud uniquement | Microsoft 365 E3 ou E5 |
| Configurez la protection par mot de passe Microsoft Entra. La protection par mot de passe Microsoft Entra détecte et bloque les mots de passe faibles connus ainsi que leurs variantes, et peut aussi bloquer d’autres termes faibles, propres à votre organisation. Les listes globales des mots de passe interdits par défaut sont appliquées automatiquement à tous les utilisateurs d’un locataire Microsoft Entra. Vous pouvez définir des entrées supplémentaires dans une liste de mots de passe interdits personnalisés. Lorsque les utilisateurs modifient ou réinitialisent leurs mots de passe, ces listes de mots de passe interdits sont vérifiées pour imposer l’utilisation de mots de passe forts. | Microsoft 365 E3 ou E5 | |
| Activez Microsoft Entra ID Protection. Microsoft Entra ID Protection vous permet de détecter des vulnérabilités potentielles affectant les identités de votre organisation et de configurer une stratégie de correction automatique pour les risques faibles, moyens et élevés liés à la connexion, et pour les risques liés aux utilisateurs. | Microsoft 365 E5 ou Microsoft 365 E3 avec le module complémentaire Sécurité E5 | |
| Activez l’authentification moderne pour Exchange Online et pour Skype Entreprise Online. L’authentification moderne est un prérequis pour l’utilisation de l’authentification multifacteur. L’authentification moderne est activée par défaut pour les clients Office 2016 et 2019, SharePoint et OneDrive Entreprise. | Microsoft 365 E3 ou E5 | |
| Activez l’évaluation continue de l’accès pour Microsoft Entra ID. L’évaluation continue de l’accès met fin de manière proactive aux sessions utilisateur actives et applique les modifications de stratégie du locataire en quasi-temps réel. | Microsoft 365 E3 ou E5 |
Configurations clientes recommandées
Cette section décrit les configurations des clients de plateforme par défaut que nous vous recommandons pour offrir la meilleure expérience possible d’authentification unique à vos utilisateurs, ainsi que les prérequis techniques pour l’accès conditionnel.
Appareils Windows
Nous recommandons Windows 11 ou Windows 10 (version 2004 ou ultérieure), car Azure est conçu pour fournir l’expérience d’authentification unique la plus fluide possible en local et pour Microsoft Entra ID. Les appareils scolaires ou professionnels doivent être configurés de manière à se joindre à Microsoft Entra ID directement ou, si l’organisation utilise la jonction de domaine AD locale, ces appareils doivent être configurés pour s’inscrire automatiquement et en mode silencieux auprès de Microsoft Entra ID.
Pour les appareils Windows BYOD, les utilisateurs peuvent choisir l’option Ajouter un compte professionnel ou scolaire. Notez que les utilisateurs du navigateur Google Chrome sur les appareils Windows 11 ou Windows 10 doivent installer une extension pour bénéficier de la même expérience de connexion fluide que les utilisateurs de Microsoft Edge. En outre, si votre organisation dispose d’appareils Windows 8 ou 8.1 joints au domaine, vous pouvez installer le package Microsoft Workplace Join pour les ordinateurs non-Windows 10. Téléchargez le package pour inscrire les appareils auprès de Microsoft Entra ID.
Appareils iOS
Nous vous recommandons d’installer l’application Microsoft Authenticator sur les appareils des utilisateurs avant de déployer des stratégies d’accès conditionnel ou d’authentification multifacteur. Au minimum, l’application doit être installée quand les utilisateurs sont invités à inscrire leur appareil auprès de Microsoft Entra ID en ajoutant un compte professionnel ou scolaire, ou quand ils installent l’application Portail d’entreprise Intune afin d’inscrire leur appareil pour la gestion. Ceci dépend de la stratégie d’accès conditionnel configurée.
Appareils Android
Nous recommandons aux utilisateurs d’installer l’application Portail d’entreprise Intune et l’application Microsoft Authenticator avant le déploiement des stratégies d’accès conditionnel ou quand ils y sont invités lors de certaines tentatives d’authentification. Après l’installation de l’application, les utilisateurs peuvent être invités à s’inscrire auprès de Microsoft Entra ID ou à inscrire leurs appareils auprès d’Intune. Ceci dépend de la stratégie d’accès conditionnel configurée.
Nous recommandons également que les appareils d’entreprise soient standardisés sur les OEM et les versions prenant en charge Android for Work ou Samsung Knox pour permettre la gestion et la protection des comptes par la stratégie GPM Intune.
Clients de messagerie recommandés
Les clients de messagerie suivants prennent en charge l’authentification moderne et l’accès conditionnel.
| Plateforme | Client | Version/Notes |
|---|---|---|
| Windows | Outlook | 2019, 2016 |
| iOS | Outlook pour iOS | La plus récente |
| Android | Outlook pour Android | La plus récente |
| macOS | Outlook | 2019 et 2016 |
| Linux | Non pris en charge |
Plateformes clientes recommandées lors de la sécurisation de documents
Les clients suivants sont recommandés quand une stratégie de documents sécurisés a été appliquée.
| Plateforme | Word/Excel/PowerPoint | OneNote | Application OneDrive | Application SharePoint | Client de synchronisation OneDrive |
|---|---|---|---|---|---|
| Windows 11 ou Windows 10 | Prise en charge | Prise en charge | N/A | N/A | Prise en charge |
| Windows 8.1 | Prise en charge | Prise en charge | N/A | N/A | Prise en charge |
| Android | Prise en charge | Prise en charge | Prise en charge | Prise en charge | S/O |
| iOS | Prise en charge | Prise en charge | Prise en charge | Prise en charge | S/O |
| macOS | Prise en charge | Prise en charge | N/A | NON APPLICABLE | Non pris en charge |
| Linux | Non pris en charge | Non pris en charge | Non pris en charge | Non pris en charge | Non pris en charge |
Prise en charge du client Microsoft 365
Pour plus d’informations sur la prise en charge des clients dans Microsoft 365, consultez les articles suivants :
- Prise en charge des applications clientes Microsoft 365 – Accès conditionnel
- Prise en charge des applications clientes Microsoft 365 – Authentification multifacteur
Protection des comptes d’administrateur
Pour Microsoft 365 E3 ou E5 ou avec des licences Microsoft Entra ID P1 ou P2 distinctes, vous pouvez exiger l’authentification multifacteur pour les comptes d’administrateur avec une stratégie d’accès conditionnel créée manuellement. Pour plus d’informations, consultez Accès conditionnel : exiger l’authentification multifacteur pour les administrateurs.
Pour les éditions de Microsoft 365 ou Office 365 qui ne prennent pas en charge l’accès conditionnel, vous pouvez activer les paramètres de sécurité par défaut afin d’exiger l’authentification multifacteur pour tous les comptes.
Voici quelques autres recommandations :
- Utilisez Microsoft Entra Privileged Identity Management pour réduire le nombre de comptes d’administration permanents.
- Utilisez la gestion des accès privilégiés pour protéger votre organisation contre les violations qui peuvent utiliser des comptes d’administration privilégiés existants avec un accès permanent aux données sensibles ou un accès aux paramètres de configuration critiques.
- Créez et utilisez des comptes distincts avec des rôles d’administrateur Microsoft 365uniquement pour l’administration. Les administrateurs doivent disposer de leur propre compte d’utilisateur pour une utilisation normale hors administration, et utiliser un compte d’administration seulement quand c’est nécessaire pour effectuer une tâche associée à leur rôle ou à leur fonction.
- Suivez les meilleures pratiques pour sécuriser les comptes privilégiés dans Microsoft Entra ID.
Étape suivante
Configurer les stratégies d’accès courantes pour les identités et les appareils Confiance zéro
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour