Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Aperçu
Microsoft Entra ID déploie un modèle d’application amélioré pour les stratégies d’accès conditionnel qui ciblent toutes les ressources et incluent une ou plusieurs exclusions de ressources. Cette modification garantit que les connexions demandant uniquement des étendues de référence reçoivent les mêmes protections d’accès conditionnel que d’autres accès aux ressources.
Auparavant, certaines étendues à privilège faible étaient automatiquement exclues de l’application de la stratégie lorsqu’une exclusion de ressource existait. Avec cette modification, ces étendues sont désormais évaluées en tant qu’accès au répertoire et sont soumises à vos stratégies d’accès conditionnel.
Pour plus de détails techniques, consultez Nouveau comportement de l'accès conditionnel lorsqu'une stratégie 'toutes les ressources' a une exclusion de ressources.
Important
Cette mise à jour sur l'application des règlements s'aligne sur l'initiative de Microsoft pour un avenir sécurisé et sur les investissements en matière de défense en profondeur. Microsoft recommande d’adopter le nouveau modèle d’application pour améliorer votre posture de sécurité.
Qui est affecté
Cette modification affecte votre locataire si toutes les conditions suivantes sont remplies :
- Vous avez une ou plusieurs stratégies d’accès conditionnel qui ciblent toutes les ressources.
- Ces stratégies ont une ou plusieurs exclusions de ressources.
- Les utilisateurs de votre locataire se connectent via des applications qui demandent uniquement des étendues de base de référence.
Si vos stratégies ciblent toutes les ressources sans exclusion de ressources, cette modification ne vous affecte pas.
Qu’est-ce que les étendues de référence
Les étendues de référence sont un terme générique pour l’ensemble d’étendues suivant :
-
Étendues OpenID Connect (OIDC) :
email,offline_access,openid,profile -
Étendues du répertoire de référence :
User.Read,User.Read.All,User.ReadBasic.All,People.Read,People.Read.All,GroupMember.Read.All,Member.Read.Hidden
Ce qui change
Après le déploiement, les scénarios suivants peuvent maintenant déclencher des défis d’accès conditionnel (par exemple, MFA ou conformité des appareils) où l’accès a été précédemment accordé sans application :
-
Applications clientes publiques (comme les applications de bureau) qui demandent uniquement des étendues de référence. Par exemple, un utilisateur se connecte au client de bureau Visual Studio Code, qui demande les périmètres
openidetprofile, ou Azure CLI, qui demande uniquementUser.Read. -
Applications clientes confidentielles (comme les applications web) qui sont exclues d’une stratégie Toutes les ressources et demandent uniquement des étendues de répertoire de base. Par exemple, une application web exclue de la stratégie qui demande uniquement
User.ReadetPeople.Read.
Les défis exacts dépendent des contrôles d’accès configurés dans vos stratégies qui ciblent toutes les ressources ou ciblent explicitement Windows Azure Active Directory (répertoire Microsoft Entra ID) comme ressource.
Ce qui ne change pas
- Lorsqu’une application (publique ou confidentielle) demande une étendue au-delà des étendues de base (par exemple),
Mail.Readl’application est déjà soumise à l’application de l’accès conditionnel. Ce comportement ne change pas. - Pour les applications clientes confidentielles exclues de toutes les stratégies de ressources et qui demandent uniquement des étendues OIDC, aucune modification n’est attendue.
Ce que vous devez faire
Utilisez le tableau suivant pour déterminer les actions requises pour vos applications :
| Type d’application | Propriété | Action requise |
|---|---|---|
| Client public demandant uniquement des étendues de base de référence | N'importe lequel | Vérifiez si ces applications doivent rester exemptées de l’application de l’accès conditionnel. S’il existe des raisons professionnelles valides de conserver une exemption, consultez Conserver le comportement hérité avec les paramètres d’étendue de référence. |
| Client confidentiel demandant uniquement des étendues de répertoire de base, exclues de la politique de toutes les ressources | Propriété du locataire | Vérifiez si l’exclusion est toujours nécessaire. Collaborez avec vos développeurs d’applications pour déterminer si l’application peut demander des étendues OIDC (comme openid, profile) au lieu des étendues de répertoire comme User.Read pour les informations utilisateur de base. Si les mises à jour ne peuvent pas être effectuées avant le déploiement, consultez Conserver le comportement hérité avec les paramètres d’étendue de référence. |
| Client confidentiel demandant uniquement des étendues de répertoire de base, exclues de la politique de toutes les ressources | Propriété de l'éditeur de logiciels indépendants | Vérifiez si l’exclusion est toujours nécessaire. Collaborez avec votre éditeur de logiciels indépendants pour déterminer si l’application peut demander des étendues OIDC au lieu d’étendues de répertoire. Dans la plupart des cas, les étendues OIDC fournissent l’accès le moins privilégié requis pour ces scénarios. Si l’éditeur de logiciels indépendants ne peut pas effectuer de mises à jour à temps, consultez Conserver le comportement hérité avec les paramètres d’étendue de référence. |
Important
Pour les applications clientes publiques et confidentielles appartenant à votre locataire, assurez-vous que l’application peut gérer les problèmes d’accès conditionnel (par exemple, l’authentification multifacteur ou la conformité des appareils). Si ce n’est pas le cas, les mises à jour d’application peuvent être requises. Reportez-vous aux instructions du développeur d’accès conditionnel sur la façon de mettre à jour votre application de manière appropriée.
Comment évaluer l’impact
Afficher un aperçu de la modification de l'application d'une règle
Vous pouvez afficher un aperçu du comportement d’application amélioré avant le début du déploiement :
- Connectez-vous au centre d'administration Microsoft Entra en tant qu'au moins un administrateur d’accès conditionnel.
- Accédez aux paramètres des étendues de référence dans l’accès conditionnel. Ce lien direct est requis pour afficher les paramètres d’aperçu.
- Choisissez la ressource cible default (Windows Azure Active Directory).
- Cliquez sur Enregistrer.
Note
Ce paramètre active immédiatement le comportement d’accès conditionnel mis à jour pour toutes les stratégies de ressources avec exclusions.
Par conséquent, certaines connexions utilisateur qui n’étaient pas précédemment soumises à l’application de l’autorité de certification peuvent désormais être évaluées et appliquées sous l’accès conditionnel à l’aide de Windows Azure Active Directory comme ressource cible.
Pour revenir au comportement hérité, sélectionnez réinitialiser les paramètres d’étendue de la base de référence.
Si aucune ressource cible personnalisée n'est sélectionnée, le déploiement basé sur Windows Azure Active Directory en tant que ressource cible par défaut pour les étendues de référence est appliquée en phases.
Identifier les applications affectées avec une ressource cible personnalisée
Vous pouvez utiliser les paramètres d’étendue de référence pour identifier les applications de votre locataire affectées. Une fois le paramètre d’aperçu activé, les événements de connexion où les applications demandent des étendues de référence répertorient l’application personnalisée en tant qu’audience d’accès conditionnel dans les journaux de connexion. Pour plus d’informations, consultez Résoudre les problèmes de connexion avec l’accès conditionnel.
Requête pour les applications affectées
Utilisez la requête Microsoft Graph suivante pour répertorier les applications qui demandent uniquement les étendues de base de référence :
https://graph.microsoft.com/beta/auditLogs/signIns?$filter=conditionalAccessAudiences/any(a:a eq '<your-custom-app-id>')&$select=appId,appDisplayName
Remplacez <your-custom-app-id> par l’ID d’application de votre application personnalisée.
Sur une période de plusieurs jours, le résultat de cette requête fournit une liste d’applications clientes qui demandent uniquement des étendues minimales.
Conserver le comportement hérité avec les paramètres d’étendue de référence
Note
Microsoft recommande de s’aligner sur le nouveau modèle d’application. Utilisez les paramètres d’étendue de référence uniquement si vous avez des scénarios spécifiques qui nécessitent le comportement hérité.
Les paramètres d’étendue de référence sont une configuration au niveau du locataire qui vous permet d’utiliser une application personnalisée appartenant au locataire comme ressource cible pour les étendues de référence. En excluant cette application personnalisée de certaines stratégies de ressources, vous pouvez conserver le comportement hérité.
Qui doit utiliser ce paramètre
Utilisez ce paramètre si vous avez des scénarios spécifiques qui vous obligent à conserver le comportement hérité. Quelques exemples de scénarios :
- Toutes les stratégies de ressources nécessitant un contrôle d’octroi d’appareil conforme : les applications exclues de cette stratégie, car elles doivent être accessibles à partir d’appareils non gérés.
- Toutes les stratégies de ressources nécessitant un contrôle d’octroi de stratégie de protection des applications : les applications clientes qui ne sont pas intégrées au SDK Intune et ne peuvent pas satisfaire la stratégie de protection des applications.
- Toutes les stratégies de ressources avec contrôle de bloc : applications clientes qui doivent être exclues de la stratégie de bloc.
- Clients publics qui doivent être exemptés des exigences d’appareil conformes : en raison de raisons de sécurité et de conformité spécifiques.
Questions fréquentes (FAQ)
Comment puis-je afficher un aperçu du changement de l'application des règles avant son déploiement ?
Accédez à https://aka.ms/BaselineScopesSettingsUX, choisissez la ressource cible default (Windows Azure Active Directory), puis sélectionnez Save. Ce paramètre applique immédiatement le comportement amélioré. Pour revenir à nouveau, sélectionnez Réinitialiser. Pour plus d'informations, consultez Aperçu de la modification de l'exécution.
Comment puis-je conserver le comportement hérité après le déploiement ?
Utilisez les paramètres d’étendue de référence pour affecter une application personnalisée appartenant au locataire comme ressource cible pour les étendues de référence, puis excluez cette application de vos stratégies Toutes les ressources. Pour plus d’informations, consultez Conserver le comportement hérité avec les paramètres d’étendue de référence.
Dois-je mettre à jour toutes les applications ?
Non. Seules les applications qui demandent exclusivement des périmètres de référence et qui sont affectées par vos stratégies de toutes les ressources avec des exclusions de ressources nécessitent une attention particulière. Les applications qui demandent des étendues au-delà de la base de référence (par exemple) Mail.Readsont déjà soumises à l’application de l’accès conditionnel et ne sont pas affectées par cette modification.