Partager via

Configurer les stratégies d’accès conditionnel Essential Eight MFA

  • Article

Cet article fournit des conseils sur la configuration de la stratégie d’accès conditionnel dans Microsoft Entra ID pour répondre aux exigences d’un niveau de maturité donné.

Remarque

  • Ne créez aucune exclusion pour les stratégies MFA suivantes (par exemple, n’excluez pas en fonction de l’emplacement, de l’état de l’appareil).
  • Il existe un problème connu avec l’activation des licences Windows lorsque l’authentification multifacteur est requise pour l’application Windows Store pour Entreprises. Une solution de contournement intermédiaire consiste à exclure cette application de la stratégie d’accès conditionnel.

Pour créer la stratégie d’accès conditionnel.

  1. Accédez au centre d’administration Microsoft Entra>centre d’administration Microsoft Entra.
  2. Sélectionnez Protection>Accès> conditionnelCréer une stratégie.
  3. Configurez la stratégie pour le niveau de maturité requis.
  4. Définissez Activer la stratégiesur Activé, puis sélectionnez Créer.

Niveau de maturité 1

  • Nom : ACSC Essential Huit MFA – Niveau de maturité 1
  • Utilisateurs :
    • Inclure : Tous les utilisateurs
  • Applications cloud :
    • Inclure : Toutes les applications cloud
  • Conditions : Aucune
  • Octroi : Exiger la force de l’authentification

Niveaux de maturité 2 & 3

  • Nom : ACSC Essential Huit MFA – Niveau de maturité 2 & 3
  • Utilisateurs :
    • Inclure : Tous les utilisateurs
  • Applications cloud :
    • Inclure : Toutes les applications cloud
  • Conditions : Aucune
  • Octroi : Exiger la force de l’authentification

Recommandations Microsoft

En plus des stratégies d’accès conditionnel de niveau de maturité, nous vous recommandons d’implémenter les contrôles suivants.

Exiger des appareils conformes ou joints hybrides

La résistance au hameçonnage peut être obtenue à n’importe quel niveau de maturité en limitant les connexions aux appareils joints hybrides (de bureau et mobiles) conformes ou Microsoft Entra. Ce contrôle est recommandé pour tous les niveaux de maturité et doit être appliqué à tous les appareils appartenant au organization. Si possible, ce contrôle doit également être appliqué pour apporter votre propre appareil (BYOD).

Suivez ce guide pour activer l’exigence d’un appareil joint hybride conforme ou Microsoft Entra :

Bloquer l’authentification héritée

Les protocoles d’authentification hérités ne prennent pas en charge l’authentification moderne et sont donc vulnérables aux attaques par vol d’informations d’identification. Nous vous recommandons de bloquer les protocoles d’authentification hérités pour réduire le risque d’attaques par vol d’informations d’identification.

Pour bloquer l’authentification héritée, suivez ce guide :

Protection contre la prise de contrôle de l’authentification multifacteur des comptes dormants

Les comptes dormants qui ne sont pas inscrits pour l’authentification multifacteur sont sensibles aux attaques de prise de contrôle de l’authentification multifacteur. Nous vous recommandons de configurer une stratégie d’inscription MFA pour vous assurer que les utilisateurs configurent l’authentification multifacteur dans le cadre du flux d’intégration des utilisateurs.

Identifiez les comptes dormants qui ne sont pas inscrits pour l’authentification multifacteur en consultant régulièrement le rapport d’activité d’inscription de l’authentification multifacteur. Une solution de gouvernance des identités telle que Gouvernance Microsoft Entra ID peut être utilisée pour automatiser la révision des comptes dormants.

Microsoft Entra sécurité par défaut

Microsoft Entra locataires qui n’ont pas de licence Microsoft Entra ID P1 ou P2 peuvent atteindre le niveau de maturité 1 d’ACSC Essential Huit en activant Microsoft Entra sécurité par défaut.

Des conseils sur l’activation des paramètres de sécurité par défaut sont disponibles dans Fournir un niveau de sécurité par défaut dans Microsoft Entra ID.

Étapes suivantes