Qu’est-ce que les actions protégées dans l’ID Microsoft Entra ?
Les actions protégées dans l’ID Microsoft Entra sont des autorisations associées à stratégies de gestion des accès conditionnels. Lorsqu’un utilisateur tente d’effectuer une action protégée, il doit d’abord satisfaire les stratégies d’accès conditionnel affectées aux autorisations requises. Par exemple, pour permettre aux administrateurs de mettre à jour les politiques d’accès conditionnel, vous pouvez exiger qu’ils satisfassent d’abord à la politique d’authentification multifacteur résistante à l'hameçonnage .
Cet article fournit une vue d’ensemble de l’action protégée et explique comment commencer à les utiliser.
Pourquoi utiliser des actions protégées ?
Vous utilisez des actions protégées lorsque vous souhaitez ajouter une couche de protection supplémentaire. Les actions protégées peuvent être appliquées aux autorisations qui nécessitent une protection forte de la stratégie d’accès conditionnel, indépendamment du rôle utilisé ou de la façon dont l’utilisateur a reçu l’autorisation. Étant donné que l’application de la stratégie se produit au moment où l’utilisateur tente d’effectuer l’action protégée et non pendant l’activation de la règle ou de la connexion de l’utilisateur, les utilisateurs sont invités uniquement si nécessaire.
Quelles stratégies sont généralement utilisées avec des actions protégées ?
Nous vous recommandons d’utiliser l’authentification multifacteur sur tous les comptes, en particulier les comptes avec des rôles privilégiés. Les actions protégées peuvent être utilisées pour exiger une sécurité supplémentaire. Voici quelques stratégies d’accès conditionnel plus fortes courantes.
- Des forces d’authentification MFA plus fortes, telles que l’authentification multifacteur sans mot de passe ou l’authentification multifacteur résistante au hameçonnage,
- Stations de travail d’accès privilégié, à l’aide de filtres d’appareil de stratégie d’accès conditionnel.
- Durées de session plus courtes, grâce à l'utilisation de l'accès conditionnel et des contrôles de la fréquence de connexion.
Quelles autorisations peuvent être utilisées avec des actions protégées ?
Les stratégies d’accès conditionnel peuvent être appliquées à un ensemble limité d’autorisations. Vous pouvez utiliser des actions protégées dans les zones suivantes :
- Gestion des stratégies d’accès conditionnel
- Gestion des paramètres d’accès entre locataires
- Suppression matérielle de certains objets d’annuaire
- Règles personnalisées qui définissent des emplacements réseau
- Gestion des actions protégées
Voici l’ensemble initial d’autorisations :
| Autorisation | Description |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Mettre à jour les propriétés de base pour les stratégies d’accès conditionnel |
| microsoft.directory/conditionalAccessPolicies/create | Créer des stratégies d’accès conditionnel |
| microsoft.directory/conditionalAccessPolicies/delete | Supprimer des stratégies d’accès conditionnel |
| microsoft.directory/conditionalAccessPolicies/basic/update | Mettre à jour les propriétés de base pour les stratégies d’accès conditionnel |
| microsoft.directory/conditionalAccessPolicies/create | Créer des stratégies d’accès conditionnel |
| microsoft.directory/conditionalAccessPolicies/delete | Supprimer des stratégies d’accès conditionnel |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Mettre à jour les points de terminaison cloud autorisés de la stratégie d’accès interlocataire |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Mettre à jour les paramètres de Microsoft Entra B2B Collaboration de la stratégie d’accès inter-tenants par défaut |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Mettre à jour les paramètres de connexion directe Microsoft Entra B2B de la stratégie d’accès inter-tenants par défaut |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Mettre à jour les paramètres de réunion Teams interclouds de la stratégie d’accès inter-locataires par défaut. |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Mettre à jour les restrictions de locataire de la stratégie d’accès inter-locataires par défaut. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Mettre à jour les paramètres de Microsoft Entra B2B Collaboration de la stratégie d’accès inter-tenants pour les partenaires. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Mettre à jour les paramètres de connexion directe Microsoft Entra B2B de la stratégie d’accès inter-tenants pour les partenaires. |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Créer une stratégie d’accès inter-locataires pour les partenaires. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Mettre à jour les paramètres de réunion Teams interclouds de la stratégie d’accès inter-locataires pour les partenaires. |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Supprimer une stratégie d’accès inter-locataires pour les partenaires. |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Mettre à jour les restrictions de locataire de la stratégie d’accès inter-locataires pour les partenaires. |
| microsoft.directory/deletedItems/delete | Supprimer définitivement des objets, qui ne peuvent plus être restaurés |
| microsoft.directory/namedLocations/basic/update | Mettre à jour les propriétés de base des règles personnalisées qui définissent des emplacements réseau |
| microsoft.directory/namedLocations/create | Créer des règles personnalisées qui définissent des emplacements réseau |
| microsoft.directory/namedLocations/delete | Supprimer des règles personnalisées qui définissent des emplacements réseau |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Mettre à jour le contexte d'authentification de l'accès conditionnel des actions de ressources du contrôle d'accès basé sur les rôles (RBAC) de Microsoft 365 |
Suppression d’objets d’annuaire
Microsoft Entra ID prend en charge deux types de suppression pour la plupart des objets d’annuaire : suppression réversible et suppression dure. Lorsqu’un objet de répertoire est supprimé de manière réversible, l’objet, ses valeurs de propriété et ses relations sont conservées dans la corbeille pendant 30 jours. Un objet supprimé de manière réversible peut être restauré avec le même ID et toutes les valeurs et relations de propriété intactes. Lorsqu’un objet supprimé de manière réversible est supprimé en dur, l’objet est définitivement supprimé et il ne peut pas être recréé avec le même ID d’objet.
Pour vous protéger contre les suppressions accidentelles ou malveillantes de certains objets de répertoire supprimés de manière réversible à partir de la corbeille et la perte de données permanente, vous pouvez ajouter une action protégée pour l’autorisation suivante. Cette suppression s’applique aux utilisateurs, aux groupes Microsoft 365 et aux applications.
- microsoft.directory/deletedItems/delete
Comment les actions protégées sont-elles comparées à l’activation de rôle Privileged Identity Management ?
L’activation de rôle Privileged Identity Management peut également se voir attribuer des stratégies d’accès conditionnel. Cette fonctionnalité autorise l’application de stratégie uniquement lorsqu’un utilisateur active un rôle, fournissant la protection la plus complète. Les actions protégées sont appliquées uniquement lorsqu’un utilisateur effectue une action qui nécessite des autorisations avec la stratégie d’accès conditionnel qui lui est attribuée. Les actions protégées permettent de protéger les autorisations à impact élevé, indépendamment d’un rôle d’utilisateur. L’activation de rôle Privileged Identity Management et les actions protégées peuvent être utilisées ensemble pour une couverture plus forte.
Étapes d’utilisation des actions protégées
Remarque
Vous devez effectuer ces étapes dans la séquence suivante pour vous assurer que les actions protégées sont correctement configurées et appliquées. Si vous ne suivez pas cet ordre, vous pouvez obtenir un comportement inattendu, tel que obtenir des requêtes répétées pour réauthentifier.
Vérifier les autorisations
Vérifiez que vous disposez des rôles Administrateur de l’accès conditionnel ou Administrateur de sécurité. Si ce n’est pas le cas, contactez votre administrateur pour attribuer le rôle approprié.
Configurer la stratégie d’accès conditionnel
Configurez un contexte d’authentification d’accès conditionnel et une stratégie d’accès conditionnel associée. Les actions protégées utilisent un contexte d’authentification, ce qui permet l'application des politiques pour les ressources de granularité fine dans un service, comme les autorisations Microsoft Entra. Une bonne stratégie pour commencer consiste à exiger une authentification multifacteur sans mot de passe et à exclure un compte d’urgence. En savoir plus
Ajouter des actions protégées
Ajoutez des actions protégées en affectant des valeurs de contexte d’authentification d’accès conditionnel aux autorisations sélectionnées. En savoir plus
Tester les actions protégées
Connectez-vous en tant qu’utilisateur et testez l’expérience utilisateur en effectuant l’action protégée. Vous devez être invité à répondre aux exigences de stratégie d’accès conditionnel. Par exemple, si la stratégie nécessite une authentification multifacteur, vous devez être redirigé vers la page de connexion et vous demander une authentification forte. En savoir plus
Que se passe-t-il avec les actions et applications protégées ?
Si une application ou un service tente d’effectuer une action de protection, il doit être en mesure de gérer la stratégie d’accès conditionnel requise. Dans certains cas, un utilisateur peut avoir besoin d’intervenir et de satisfaire la politique. Par exemple, il peut être nécessaire de terminer l’authentification multifacteur. Les applications suivantes prennent en charge l’authentification par étapes pour les actions protégées :
- Expériences d’administrateur Microsoft Entra pour les actions dans le centre d’administration Microsoft Entra
- Microsoft Graph PowerShell
- Explorateur de graphes
Il existe certaines limitations connues et attendues. Les applications suivantes échouent si elles tentent d’effectuer une action protégée.
- Azure PowerShell
- Azure AD PowerShell
- Création d’une page de conditions d’utilisation ou d’uncontrôle personnalisé dans le Centre d’administration Microsoft Entra. Les nouvelles pages des conditions d'utilisation ou les contrôles personnalisés sont enregistrés avec l'accès conditionnel et sont donc soumis aux actions protégées de création, mise à jour et suppression de l'accès conditionnel. La suppression temporaire de l’exigence de stratégie pour créer, mettre à jour et supprimer des actions d’accès conditionnel permet de créer une nouvelle page de conditions d’utilisation ou un contrôle personnalisé.
Si votre organisation a développé une application qui appelle l’API Microsoft Graph pour effectuer une action protégée, vous devez passer en revue l’exemple de code pour savoir comment gérer un défi de revendications à l’aide de l’authentification pas à pas. Pour plus d’informations, consultez Guide du développeur sur le contexte d’authentification par accès conditionnel.
Meilleures pratiques
Voici quelques bonnes pratiques pour l’utilisation d’actions protégées.
disposer d’un compte d’urgence
Lors de la configuration des stratégies d’accès conditionnel pour les actions protégées, veillez à disposer d’un compte d’urgence exclu de la stratégie. Cela offre une protection contre le verrouillage accidentel.
Déplacer les stratégies de risque pour les utilisateurs et les connexions vers les politiques d'accès conditionnel
Les autorisations d’accès conditionnel ne sont pas utilisées lors de la gestion des stratégies de risque microsoft Entra ID Protection. Nous vous recommandons de déplacer des stratégies de risque d’utilisateur et de connexion vers l’accès conditionnel.
Utiliser des emplacements réseau nommés
Les autorisations d’emplacement réseau nommées ne sont pas utilisées lors de la gestion des IP de confiance pour l'authentification à plusieurs facteurs. Nous vous recommandons d’utiliser des emplacements réseau nommés.
N’utilisez pas d’actions protégées pour bloquer l’accès en fonction de l’identité ou de l’appartenance au groupe
Les actions protégées sont utilisées pour appliquer une exigence d’accès pour effectuer une action protégée. Ils ne sont pas destinés à bloquer l’utilisation d’une autorisation uniquement en fonction de l’identité de l’utilisateur ou de l’appartenance au groupe. Qui a accès à des autorisations spécifiques est une décision d’autorisation et doit être contrôlé par l’attribution de rôle.
Conditions requises pour la licence
Cette fonctionnalité nécessite des licences Microsoft Entra ID P1. Pour trouver la licence appropriée pour vos besoins, consultez Comparer les fonctionnalités généralement disponibles de Microsoft Entra ID.