Configurer et activer des stratégies de gestion des risques
Il existe deux sortes de stratégies de risques que vous pouvez configurer dans l’accès conditionnel Microsoft Entra. Vous pouvez utiliser ces stratégies pour automatiser la réponse aux risques, ce qui permet aux utilisateurs de corriger eux-mêmes le problème lorsqu’un risque est détecté :
Choix des niveaux de risque acceptables
Les organisations doivent déterminer le niveau de risque qu’elles veulent que le contrôle d’accès exige entre l’expérience utilisateur et la posture de sécurité.
L’application d’un contrôle d'accès sur un niveau de risque Élevé permet de réduire la fréquence de déclenchement d’une stratégie et minimise les désagréments pour les utilisateurs. Cependant, cela exclut les risques Faible et Moyen de la stratégie. Par conséquent, il se peut qu’un attaquant soit en mesure d’exploiter une identité compromise. La sélection d’un niveau de risque Faible pour exiger un contrôle d’accès introduit davantage d’interruptions utilisateur.
Les emplacements réseau approuvés qui ont été configurés sont utilisés par la Protection des ID Microsoft Entra dans certaines détections de risques afin de réduire les faux positifs.
Les configurations de stratégie suivantes incluent le contrôle de session de fréquence de connexion qui nécessite une réauthentification pour les utilisateurs et connexions à risque.
Recommandation de Microsoft
Microsoft recommande les configurations de stratégie de risque suivantes pour protéger votre organisation :
- Stratégie de risque d’utilisateur
- Exiger une modification sécurisée du mot de passe lorsque le niveau de risque de l’utilisateur est Élevé. L’authentification multifacteur Microsoft Entra est nécessaire pour que l’utilisateur puisse créer un mot de passe avec réécriture du mot de passe afin de corriger son risque.
- Une modification sécurisée du mot de passe à l’aide de la réinitialisation de mot de passe en libre-service est la seule façon de corriger automatiquement les risques des utilisateurs, quel que soit le niveau de risque.
- Stratégie en matière de risque à la connexion
- Exiger l’authentification multifacteur Microsoft Entra quand le niveau de risque de connexion est Moyen ou Élevé, les utilisateurs peuvent alors prouver leur identité en utilisant une des méthodes d’authentification inscrites, ce qui corrige le risque de connexion.
- Une authentification multifacteur réussie est le seul moyen de corriger automatiquement le risque de connexion, quel que soit le niveau de risque.
L’exigence d’un contrôle d’accès lorsque le niveau de risque est faible introduit plus de désagréments et d’interruptions pour l’utilisateur que les niveaux moyen ou élevé. Le choix de bloquer l’accès au lieu d’autoriser les options d’auto-correction, telles que la modification sécurisée du mot de passe et l’authentification multifacteur, a encore plus d’impact sur vos utilisateurs et vos administrateurs. Réfléchissez à ces choix lorsque vous configurez vos stratégies.
Mesures de correction des risques
Les organisations peuvent choisir de bloquer l’accès en cas de détection d’un risque. Le blocage empêche parfois les utilisateurs légitimes de faire ce dont ils ont besoin. Une meilleure solution consiste à configurer des stratégies d’accès conditionnel basées sur les utilisateurs et à la connexion qui permettent aux utilisateurs de se corriger automatiquement.
Avertissement
Les utilisateurs doivent s’inscrire à l’authentification multifacteur Microsoft Entra pour pouvoir faire face à une situation nécessitant une correction. Pour les utilisateurs hybrides synchronisés depuis un emplacement local, la réécriture du mot de passe doit être activée. Les utilisateurs qui ne sont pas inscrits sont bloqués et ont besoin de l’intervention d’un administrateur.
La modification du mot de passe (je connais mon mot de passe et je souhaite le remplacer par un nouveau) en dehors du processus risqué de correction de la stratégie utilisateur ne répond pas aux exigences de modification sécurisée du mot de passe.
Activer les stratégies
Les organisations peuvent choisir de déployer des stratégies basées sur les risques dans l’accès conditionnel en respectant les étapes suivantes ou à l’aide des modèles d’accès conditionnel.
Avant que les organisations n’activent ces stratégies, elles doivent prendre des mesures pour examiner et corriger les risques actifs.
Exclusions de stratégie
Les stratégies d’accès conditionnel sont des outils puissants. Nous vous recommandons donc d’exclure les comptes suivants de vos stratégies :
- Comptes d’accès d’urgence ou de secours pour empêcher le verrouillage en raison d’une mauvaise configuration. Dans le scénario improbable où tous les administrateurs seraient verrouillés, votre compte administratif d’accès d’urgence peut être utilisé pour la connexion et la prise de mesures pour récupérer l’accès.
- Pour obtenir plus d’informations, consultez l’article Gérer les comptes d’accès d’urgence dans Microsoft Entra ID.
- Comptes de service et principaux de service, tels que le compte Microsoft Entra Connect Sync. Les comptes de service sont des comptes non interactifs qui ne sont liés à aucun utilisateur particulier. Ils sont généralement utilisés par des services back-end autorisant l’accès par programmation aux applications, mais ils le sont également pour une connexion aux systèmes à des fins administratives. Les appels effectués par les principaux de service ne seront pas bloqués par les stratégies d’accès conditionnel destinées aux utilisateurs. Utilisez l’accès conditionnel des identités de charge de travail pour élaborer des stratégies ciblant les principaux de service.
- Si votre organisation utilise ces comptes dans des scripts ou du code, envisagez de les remplacer par des identités managées.
Stratégie d’utilisateur à risque dans l’accès conditionnel
- Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
- Accédez à Protection>Accès conditionnel.
- Sélectionnez Nouvelle stratégie.
- Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
- Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
- Sous Inclure, sélectionnez Tous les utilisateurs.
- Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
- Sélectionnez Terminé.
- Sous Applications cloud ou actions>Inclure, sélectionnez Toutes les ressources (anciennement « Toutes les applications cloud ») .
- Sous Conditions>Risque d’utilisateur, définissez Configurer sur Oui.
- Sous Configurer les niveaux de risque utilisateur nécessaires à l’application de la stratégie, sélectionnez Élevé. Cette aide se base sur les recommandations de Microsoft et peut être différente pour chaque organisation
- Sélectionnez Terminé.
- Sous Contrôles d’accès>Accorder, sélectionnez Accorder l’accès.
- Sélectionnez Exiger une force d’authentification, puis sélectionnez la force d’authentification intégrée Authentification multifacteur dans la liste.
- Sélectionnez Exiger la modification du mot de passe.
- Sélectionnez Sélectionner.
- Sous Session.
- Sélectionnez Fréquence de connexion.
- Vérifiez que À chaque fois est sélectionné.
- Sélectionnez Sélectionner.
- Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
- Sélectionnez Créer pour créer votre stratégie.
Une fois que les administrateurs ont confirmé les paramètres à l’aide du mode État uniquement, ils peuvent modifier la position du bouton bascule Activer la stratégie de État uniquement en Activé.
Scénarios sans mot de passe
Pour les organisations qui adoptent des méthodes d’authentification sans mot de passe, apportez les modifications suivantes :
Mettez à jour votre politique de risque des utilisateurs sans mot de passe
- Sous Utilisateurs :
- Inclure, sélectionner Utilisateurs et groupes et cibler vos utilisateurs sans mot de passe.
- Sous Contrôles d'accès,>bloquez l'accès pour les utilisateurs sans mot de passe.
Conseil
Vous devrez peut-être disposer de deux politiques pendant un certain temps lors du déploiement de méthodes sans mot de passe.
- Un outil qui permet l’auto-correction pour ceux qui n’utilisent pas de méthodes sans mot de passe.
- Un autre qui bloque les utilisateurs sans mot de passe à haut risque.
Corrigez et débloquez les risques liés aux utilisateurs sans mot de passe
- Exigez une enquête de l’administrateur et la correction de tout risque.
- Débloquez l'utilisateur.
Stratégie de connexion à risque dans l’accès conditionnel
- Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
- Accédez à Protection>Accès conditionnel.
- Sélectionnez Nouvelle stratégie.
- Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
- Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
- Sous Inclure, sélectionnez Tous les utilisateurs.
- Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
- Sélectionnez Terminé.
- Sous Applications cloud ou actions>Inclure, sélectionnez Toutes les ressources (anciennement « Toutes les applications cloud ») .
- Dans Conditions>Risque de connexion, définissez Configurer sur Oui.
- Sous Sélectionner le niveau de risque de connexion auquel cette stratégie s’applique, sélectionnez Haut et Moyen. Cette aide se base sur les recommandations de Microsoft et peut être différente pour chaque organisation
- Sélectionnez Terminé.
- Sous Contrôles d’accès>Accorder, sélectionnez Accorder l’accès.
- Sélectionnez Exiger une force d’authentification, puis sélectionnez la force d’authentification intégrée Authentification multifacteur dans la liste.
- Sélectionnez Sélectionner.
- Sous Session.
- Sélectionnez Fréquence de connexion.
- Vérifiez que À chaque fois est sélectionné.
- Sélectionnez Sélectionner.
- Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
- Sélectionnez Créer pour créer votre stratégie.
Une fois que les administrateurs ont confirmé les paramètres à l’aide du mode État uniquement, ils peuvent modifier la position du bouton bascule Activer la stratégie de État uniquement en Activé.
Scénarios sans mot de passe
Pour les organisations qui adoptent des méthodes d’authentification sans mot de passe, apportez les modifications suivantes :
Mettez à jour votre politique de risque de connexion sans mot de passe
- Sous Utilisateurs :
- Inclure, sélectionner Utilisateurs et groupes et cibler vos utilisateurs sans mot de passe.
- Sous Sélectionner le niveau de risque de connexion auquel cette politique s'appliquera, sélectionnez Élevé.
- Sous Contrôles d'accès,>bloquez l'accès pour les utilisateurs sans mot de passe.
Conseil
Vous devrez peut-être disposer de deux politiques pendant un certain temps lors du déploiement de méthodes sans mot de passe.
- Un outil qui permet l’auto-correction pour ceux qui n’utilisent pas de méthodes sans mot de passe.
- Un autre qui bloque les utilisateurs sans mot de passe à haut risque.
Corrigez et débloquez le risque de connexion sans mot de passe
- Exigez une enquête de l’administrateur et la correction de tout risque.
- Débloquez l'utilisateur.
Migrer des stratégies de risque vers l’accès conditionnel
Si vous avez des stratégies de risque héritées actives dans la protection Microsoft Entra ID, vous devez planifier leur migration vers l’accès conditionnel :
Avertissement
Les stratégies de risque héritées configurées dans Microsoft Entra ID Protection seront supprimées le 1er octobre 2026.
Migrer vers l’accès conditionnel
- Créez une stratégie équivalentebasée sur les risques utilisateur et basée sur les risques de connexion dans l’accès conditionnel en mode rapport seul. Vous pouvez créer une stratégie en suivant les étapes précédentes ou en utilisant des modèles d’accès conditionnel en fonction des recommandations de Microsoft et de vos exigences organisationnelles.
- Une fois que les administrateurs ont confirmé les paramètres à l’aide du mode État uniquement, ils peuvent modifier la position du bouton bascule Activer la stratégie de État uniquement en Activé.
- Désactivez les anciennes stratégies de risque dans ID Protection.
- Accédez à Protection>Identity Protection> Sélectionnez la stratégie d’utilisateur à risque ou de connexion à risque.
- Définissez Appliquer la stratégie sur Désactivé.
- Créez d’autres stratégies de risque si nécessaire dans l’accès conditionnel.