Évaluation continue de l’accès universel (aperçu)
L'évaluation universelle de l'accès continu (CAE) est une fonctionnalité de la plateforme Global Secure Access (GSA) qui fonctionne avec Microsoft Entra ID pour garantir que l'accès à la périphérie GSA est validé à chaque fois qu'une connexion à une nouvelle ressource d'application est établie. Universal CAE protège les jetons d'accès de la GSA contre le vol et la relecture. Universal CAE révoque et revalide l'accès au réseau en temps quasi réel chaque fois que Entra ID détecte des changements dans l'identité. La CAE traditionnelle de Entra ID exige que chaque charge de travail adopte des bibliothèques spéciales et se limite aux applications de première main. La CAE universelle étend les avantages de la CAE à toute application à laquelle on accède par Global Secure Access, sans qu'il soit nécessaire que l'application soit consciente de la CAE.
Avantages de la CAE universelle
Voici quelques exemples de la façon dont la CAE universelle profite à votre organisation lorsque Entra ID détecte un changement d'identité et déclenche la CAE en temps quasi réel :
- Accès privé : la session de l'utilisateur via le bureau à distance, l'accès aux serveurs de fichiers et l'accès à toutes les ressources privées protégées par l'accès privé sont interrompus, ce qui réduit le risque d'exfiltration de données par un employé qui quitte l'entreprise ou par une activité malveillante d'un initié.
- Accès à Internet : l'accès de l'utilisateur à toutes les ressources Internet, y compris les services susceptibles de contenir des données de l'entreprise, tels que les services de partage de fichiers non-Microsoft et les outils de collaboration de l'entreprise, est interrompu, ce qui réduit le risque d'exfiltration de données par un employé quittant l'entreprise.
- Services Microsoft : si de nombreux services Microsoft utilisent déjà CAE en mode natif, certaines applications ne le font pas. Avec Universal CAE, l'accès de l'utilisateur aux applications Microsoft est interrompu, même si l'application est consciente de l'existence de CAE.
- Vous pouvez exiger que vos utilisateurs soient sur des réseaux spécifiques avant qu'ils ne soient autorisés à se connecter à des services avec GSA, empêchant ainsi le déplacement vers un autre réseau même après l'authentification initiale du tunnel. Dans ce scénario, lorsque l'utilisateur change de réseau, l'accès au réseau via la GSA est ré-authentifié et les politiques d'accès conditionnel basées sur la localisation sont réévaluées.
- Le mode optionnel d’application stricte, configuré dans l'accès conditionnel, protège contre le vol et la relecture des jetons d'accès GSA. Si le rejeu du jeton est tenté à partir d'une adresse IP différente de l'adresse IP d'origine utilisée lors de l'authentification, l'accès au réseau est bloqué.
Fonctionnement
Global Secure Access s'appuie sur les jetons d'accès Entra ID pour s'authentifier auprès des tunnels de service (trafic Microsoft, accès Internet et profils de transfert de trafic d'accès privé). Les jetons d’accès sont valides pendant 60 à 90 minutes. Avant l'expiration du jeton d'accès, le client GSA utilise le jeton de rafraîchissement Entra ID pour obtenir un nouveau jeton d'accès.
Conformément à la spécification OAuth2, les jetons d'accès sont valables jusqu'à leur expiration. Par exemple, lorsque vous désactivez un compte d’utilisateur, l’ID Entra invalide immédiatement les jetons d’actualisation, mais l’expiration des jetons d’accès GSA prend jusqu’à 90 minutes.
Avec Universal CAE, les changements d'identité des utilisateurs sont communiqués à Global Secure Access en temps quasi réel. Même si le jeton d'accès est encore valide, Global Secure Access renvoie à l'utilisateur final un défi de réclamations spéciales, qui l'oblige à se réauthentifier. Si l'utilisateur n'est pas en mesure de répondre au défi d'authentification Entra ID, l'accès au réseau par l'intermédiaire de la GSA est bloqué. Le CAE universel raccourcit le délai entre le changement d'état du compte Entra ID et l'obligation pour l'utilisateur de se réauthentifier, ce qui réduit le risque d'exfiltration de données par un employé qui quitte l'entreprise.
Signaux Microsoft Entra ID qui déclenchent la réauthentification Universal CAE
Global Secure Access est en mesure de recevoir des signaux de Entra ID en temps quasi réel pour les événements suivants :
- Le compte d’utilisateur est supprimé ou désactivé
- Le mot de passe d’un utilisateur a été modifié ou réinitialisé
- Le service Authentification multifacteur est activé pour l’utilisateur
- Un administrateur révoque explicitement tous les jetons d’actualisation d’un utilisateur
- Risque élevé pour l’utilisateur détecté par Microsoft Entra ID Protection
Lorsqu'il reçoit l'événement de sécurité, le client Global Secure Access demande à l'utilisateur de s'authentifier à nouveau. Si la réauthentification est réussie, la connectivité réseau de l'utilisateur aux ressources protégées par Global Secure Access est rétablie.
Mode d’application stricte
Avec le mode de mise en conformité strict, Universal CAE arrête immédiatement l’accès si l’adresse IP détectée par le fournisseur de ressources n’est pas autorisée par la stratégie d’accès conditionnel. Cette option est le mode de sécurité le plus élevé de l'application stricte de l’emplacement dans l'évaluation continue de l'accès (CAE), et elle exige que les administrateurs comprennent le cheminement des demandes d'authentification et d'accès dans leur environnement réseau. Lorsque l’application stricte est activée, l’accès aux services d’accès sécurisé global (GSA) est possible uniquement lorsque vos utilisateurs se connectent au service GSA à partir de plages d’adresses IP autorisées par votre organisation.
Désactivation de le CAE universelle
L'accès conditionnel Entra ID peut être utilisé pour contrôler le comportement du CAE dans votre locataire. Par défaut, la CAE est activée pour toutes les applications qui la prennent en charge. Vous pouvez désactiver le CAE dans votre locataire Entra ID, ce qui désactivera le CAE pour tous les services, y compris Global Secure Access. Pour désactiver CAE dans votre locataire, suivez les étapes de la documentation sur l’accès conditionnel
Remarque
La CAE universelle est opportuniste, sauf si le mode d'application stricte facultatif est activé dans l'accès conditionnel et appliqué aux identités de la charge de travail de la GSA. Par défaut, les clients Global Secure Access pris en charge tenteront d'obtenir un jeton d'accès CAE auprès de Entra ID. Si le jeton CAE ne peut être obtenu auprès de Entra ID (par exemple, en raison d'une version client non prise en charge), un jeton d'accès normal sera délivré. Grâce au comportement de repli, il ne devrait pas être nécessaire de désactiver le CAE universel.
Limitations connues
Cette fonctionnalité présente une ou plusieurs limitations connues. Pour plus d’informations sur les problèmes connus et les limitations de cette fonctionnalité, consultez Limitations connues pour l’accès sécurisé global.