Partager via


Accès conditionnel : flux d’authentification (Préversion)

Microsoft Entra ID prend en charge une grande variété de flux d’authentification et d’autorisation afin d’offrir une expérience transparente pour tous les types d’applications et d’appareils. Certains de ces flux d’authentification sont plus risqués que d’autres. Afin de mieux contrôler votre sécurité, nous avons ajouté la possibilité de contrôler certains flux d’authentification à l’accès conditionnel. Ce contrôle commence par la possibilité de cibler explicitement flux de code d’appareil.

Flux de code d’appareil

Le flux de code de l’appareil est utilisé lors de la signature sur des appareils qui peuvent ne pas avoir de périphériques d’entrée locaux, comme les appareils partagés ou les enseignes numériques. Le flux de code d’appareil est un flux d’authentification à haut risque qui peut être utilisé dans le cadre d’une attaque par hameçonnage ou pour accéder aux ressources de l’entreprise sur des appareils non gérés. Vous pouvez configurer le contrôle de flux de code de l’appareil avec d’autres contrôles dans vos stratégies d’accès conditionnel. Par exemple, si le flux de codes d’appareils est utilisé pour les appareils Android utilisés dans les salles de conférence, vous pouvez choisir de bloquer le flux de codes d’appareils partout, sauf pour les appareils Android situés dans un emplacement spécifique du réseau.

Vous devez autoriser uniquement le flux de code de l’appareil si nécessaire. Microsoft recommande de bloquer le flux de code de l’appareil dans la mesure du possible.

Transfert d’authentification

Le transfert d’authentification est un nouveau flux qui offre un moyen transparent de transférer l’état authentifié d’un appareil à un autre. Par exemple, les utilisateurs pourraient se voir présenter un code QR dans la version de bureau d’Outlook qui, lorsqu’il est scanné sur leur appareil mobile, transfère leur état d’authentification sur l’appareil mobile. Cette capacité offre une expérience utilisateur simple et intuitive qui réduit le niveau global de friction pour les utilisateurs.

La capacité à contrôler le transfert d’authentification est en préversion. Utilisez la condition Flux d’authentification dans l’accès conditionnel pour gérer la fonctionnalité.

Suivi des protocoles

Pour s’assurer que les politiques d’accès conditionnel sont correctement appliquées aux flux d’authentification spécifiés, nous utilisons une fonctionnalité appelée suivi de protocole. Ce suivi est appliqué à la session à l’aide du flux de code d’appareil ou du transfert d’authentification. Dans ces cas, les sessions sont considérées comme suivies par protocole. Toutes les sessions suivies par protocole sont soumises à l’application de la stratégie si une stratégie existe. L’état de suivi du protocole est soutenu par les actualisations suivantes. Les flux de code ou de transfert d’authentification ne provenant pas d’un dispositif peuvent être soumis à l’application des politiques relatives aux flux d’authentification si la session fait l’objet d’un suivi protocolaire.

Par exemple :

  1. Vous configurez une politique pour bloquer le flux de code de l’appareil partout sauf pour SharePoint.
  2. Vous utilisez le flux de code de l’appareil pour vous connecter à SharePoint, comme autorisé par la stratégie configurée. À ce stade, la session est considérée comme un protocole suivi
  3. Vous essayez de vous connecter à Exchange dans le contexte de la même session en utilisant n’importe quel flux d’authentification et pas seulement le flux de code de l’appareil.
  4. Vous êtes bloqué(e) par la stratégie configurée en raison de l’état suivi du protocole de la session

Journaux d’activité de connexion

Lors de la configuration d’une politique visant à restreindre ou à bloquer le flux de code d’un appareil, il est important de comprendre si et comment le flux de code d’un appareil est utilisé dans votre organisation. La création d’une stratégie d’accès conditionnel en mode rapport uniquement ou le filtrage des journaux de connexion pour les événements de flux de code d’appareil avec le protocole d’authentification filtre peut vous aider.

Pour faciliter la résolution des erreurs liées au suivi des protocoles, nous avons ajouté une nouvelle propriété appelée méthode de transfert d’origine aux détails de l’activité section des journaux de connexion l’accès conditionnel. Cette propriété affiche l’état de suivi du protocole de la requête en question. Par exemple, pour une session dans laquelle le flux de code d’appareil a été effectué précédemment, la méthode de transfert d’origine est définie sur flux de code d’appareil.

Application de stratégies de flux d’authentification sur une ressource du service d’inscription d’appareil

À compter de début septembre 2024, Microsoft commencera à appliquer des stratégies de flux d’authentification sur le service d’inscription d’appareil. Ceci va s’appliquer seulement aux stratégies qui ciblent toutes les ressources dans le sélecteur de ressources. Si votre organisation utilise actuellement le flux de code d’appareil à des fins d’inscription d’appareil et que vous avez une stratégie de flux d’authentification ciblant toutes les ressources, vous devez exclure la ressource d’inscription d’appareil de l’étendue de votre stratégie d’accès conditionnel pour éviter tout impact. Vous trouverez la ressource du service d’inscription d’appareil dans l’option Ressources cibles qui est présente dans l’expérience de configuration de la stratégie d’accès conditionnel. Pour exclure le service d’inscription d’appareil via l’expérience utilisateur de l’accès conditionnel, vous devez accéder à Ressources cibles ->Exclure ->Sélectionner les applications cloud exclues ->Service d’inscription d’appareil. Pour l’API, vous devez mettre à jour votre stratégie en excluant l’ID client du service d’inscription d’appareil : 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.

Si vous ne savez pas si votre organisation utilise le flux de code d’appareil pour le service d’inscription d’appareil, vous pouvez utiliser les Journaux de connexion de Microsoft Entra pour le déterminer. Vous pouvez filtrer ici l’ID client du service d’inscription d’appareil dans le filtre ID de ressource et le limiter à l’utilisation du flux de code d’appareil en utilisant l’option Code de l’appareil dans le filtre Protocole d’authentification.

Dépannage des blocages inattendus

Si une ouverture de session est bloquée de manière inattendue par une politique d’accès conditionnel, vous devez vérifier s’il s’agit d’une politique de flux d’authentification. Vous pouvez effectuer cette confirmation en accédant à journaux de connexion, en cliquant sur la connexion bloquée, puis en accédant à l’onglet accès conditionnel dans les détails de l’activité  : connexions volet. Si la politique appliquée est une politique de flux d’authentification, sélectionnez la politique pour déterminer le flux d’authentification correspondant.

Si le flux du code de l’appareil correspond mais que le flux du code de l’appareil n’est pas le flux effectué pour cette connexion, cela signifie que le jeton de rafraîchissement a fait l’objet d’un suivi protocolaire. Vous pouvez vérifier ce cas en cliquant sur la connexion bloquée et en recherchant la propriété Méthode de transfert d’origine dans la partie Informations de base du volet Détails de l’activité : connexions.

Remarque

Les blocs en raison des sessions suivies par protocole sont des comportements attendus pour cette stratégie. Aucune mesure corrective n’est recommandée.