Bloquer les flux d’authentification avec une stratégie d’accès conditionnel

Aperçu

Les étapes suivantes vous aident à créer des stratégies d’accès conditionnel pour limiter l’utilisation du flux de code d’appareil et du transfert d’authentification au sein de votre organisation.

Stratégies de flux de code d’appareil

Nous recommandons aux organisations de se rapprocher le plus possible d'une politique unilatérale de blocage du flux des codes des appareils. Envisagez de créer une stratégie pour auditer l’utilisation existante du flux de code d’appareil et déterminer s’il est toujours nécessaire. Autorisez uniquement le flux de code de l’appareil dans des cas d’usage bien documentés et sécurisés, comme les outils hérités qui ne peuvent pas être mis à jour.

Pour les organisations qui n’utilisent pas de flux de code d’appareil, bloquez-la avec la stratégie d’accès conditionnel suivante :

1. Connectez-vous au centre d’administration Microsoft Entra comme au moins un Administrateur d’accès conditionnel.
2. Accédez à Entra ID>Accès Conditionnel>Politiques.
3. Sélectionnez Nouvelle stratégie.
4. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
   1. Sous Inclure, sélectionnez les utilisateurs que vous souhaitez inclure dans l’étendue de la stratégie (tous les utilisateurs recommandés ).
   2. Sous Exclure :
      1. Sélectionnez Utilisateurs et groupes, puis choisissez les comptes de sécurité en cas d'urgence de votre organisation et tous les autres utilisateurs nécessaires. Auditez régulièrement cette liste d’exclusions.
5. Sous Ressources cibles>(anciennement applications cloud)>Inclure, sélectionnez les applications que vous souhaitez inclure dans l’étendue de la stratégie (toutes les ressources (anciennement « Toutes les applications cloud ») recommandées .
6. Sous Conditions>Flux d’authentification, définissez Configurer sur Oui.
   1. Sélectionnez Flux de code du dispositif.
   2. Sélectionnez Terminé.
7. Sous Contrôles d'accès>, sélectionnez Bloquer l’accès.
   1. Sélectionner.
8. Confirmez vos paramètres et définissez la politique Activer sur le mode Rapport uniquement.
9. Sélectionnez Créer pour activer votre stratégie.

Après avoir confirmé vos paramètres à l’aide de l’impact de la stratégie ou du mode Rapport uniquement, déplacez le bouton bascule Activer la stratégie de rapport uniquement vers Activé.

Stratégies de transfert d’authentification

Utilisez la condition de flux d’authentification dans l’accès conditionnel pour gérer la fonctionnalité. Bloquer le transfert d’authentification si vous ne souhaitez pas que les utilisateurs transfèrent l’authentification de leur PC vers un appareil mobile. Par exemple, bloquer le transfert d'authentification si vous n'autorisez pas l'utilisation de Outlook sur des appareils personnels par certains groupes. Utilisez la stratégie d’accès conditionnel suivante pour bloquer le transfert d’authentification :

1. Connectez-vous au centre d’administration Microsoft Entra comme au moins un Administrateur d’accès conditionnel.
2. Accédez à Entra ID>Accès Conditionnel>Politiques.
3. Sélectionnez Nouvelle stratégie.
4. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
   1. Sous Inclure, sélectionnez Tous les utilisateurs ou groupes d’utilisateurs que vous souhaitez bloquer pour le transfert d’authentification.
   2. Sous Exclure :
      1. Sélectionnez Utilisateurs et groupes, puis choisissez les comptes de sécurité en cas d'urgence de votre organisation et tous les autres utilisateurs nécessaires. Auditez régulièrement cette liste d’exclusions.
5. Sous Ressources cibles>(anciennement applications cloud)>Inclure, sélectionnez Toutes les ressources (anciennement « Toutes les applications cloud ») ou les applications que vous souhaitez bloquer pour le transfert d’authentification.
6. Sous Conditions>Flux d'authentification, définissez Configurer sur Oui
   1. Sélectionnez Transfert d’authentification.
   2. Sélectionnez Terminé.
7. Sous Contrôles d'accès>, sélectionnez Bloquer l’accès.
   1. Sélectionner.
8. Vérifiez vos paramètres et définissez Activer la politique sur Activé.
9. Sélectionnez Créer pour activer votre stratégie.

Exclusions d’utilisateurs

Les stratégies d’accès conditionnel sont des outils puissants. Nous vous recommandons d’exclure les comptes suivants de vos stratégies :

• Comptes accès d’urgence ou secours pour empêcher le verrouillage en raison d’une mauvaise configuration de stratégie. Dans le scénario peu probable où tous les administrateurs sont verrouillés, votre compte d’administration d’accès d’urgence peut être utilisé pour se connecter et récupérer l’accès.
  • Pour plus d’informations, consultez l’article Manage des comptes d’accès d’urgence dans Microsoft Entra ID.
• comptes Service et principaux Service, tels que le compte de synchronisation Microsoft Entra Connect. Les comptes de service sont des comptes non interactifs qui ne sont pas liés à un utilisateur spécifique. Ils sont généralement utilisés par les services principaux pour autoriser l’accès programmatique aux applications, mais ils sont également utilisés pour se connecter aux systèmes à des fins administratives. Les appels effectués par les entités de service ne sont pas bloqués par les stratégies d'accès conditionnel applicables aux utilisateurs. Utilisez l'accès conditionnel pour les identités liées aux charges de travail afin de définir des stratégies qui ciblent les principaux de service.
  • Si votre organisation utilise ces comptes dans des scripts ou du code, remplacez-les par des identités managées.

Contenu connexe

• Accès conditionnel : flux d’authentification
• Accès conditionnel : Transfert d’authentification
• Accès conditionnel : conditions