Cette semaine, Microsoft vient juste d’annoncer la disponibilité générale (GA) de fonctionnalités récentes liées à l’Accès Conditionnel, et très présent au cœur d’Entra ID. L’ajout de tableaux de bord sur plusieurs ressources (utilisateurs, périphériques et applications) faciliteront grandement le contrôle de la bonne couverture des polices d’accès conditionnels sur les besoins.
Voici un lien vers un article pour un bref rappel de l’accès conditionnel, déjà expliqué dans un autre article dédié à Azure Virtual Desktop.
Qu’est-ce que l’Accès Conditionnel ?
Tous les environnements informatiques sont en quête d’une protection toujours plus efficace pour se prémunir des intrusions extérieures. L’ouverture des architectures IT au travers du Cloud apporte une plus grande disponibilité de l’information aux utilisateurs, mais occasionne un plus de grand nombre de connexions à distances, et donc de situations sécuritaires à gérer.
Le périmètre de sécurité moderne s’étend au-delà du périmètre réseau d’une organisation pour inclure l’identité de l’utilisateur et de l’appareil. Les organisations utilisent désormais des signaux basés sur l’identité dans le cadre de leurs décisions de contrôle d’accès.
Microsoft Learn
Qu’est-ce qu’un Signal pour Entra ID ?
L’accès conditionnel repose sur un certain nombre de signaux ou paramètres d’entrée. Ces derniers sont les éléments mêmes qui caractérise la connexion de l’utilisateur, tels que :
- Emplacement (adresse IP)
- Appareil (OS, version, conformité, …)
- Utilisateur Entra ID
- Application interrogée
- IA (Détection des risques en temps réel géré par Entra ID Identity Protection)
Qu’est-ce qu’une Décision pour Entra ID ?
La décision est le résultat dicté par la police d’accès conditionnel en correspondance avec les signaux. Il est possiblement question de bloquer l’accès à l’utilisateur, ou de l’autoriser selon des conditions particulières. Ces conditions correspondent à des mesures de sécurité supplémentaires, telles que :
- Exiger une authentification multifacteur (cas plus utilisé)
- Exiger que l’appareil soit marqué comme conforme
- Exiger un appareil joint en hybride à Entra ID
- Exiger une stratégie de protection des applications
Qu’est-ce qu’une Option d’application pour Entra ID ?
Ces options apportent une supervision de session et des accès de l’utilisateur telles que :
- Empêcher l’exfiltration des données
- Protéger lors du téléchargement
- Empêcher le chargement de fichiers sans label
- Bloquer les programmes malveillants potentiels
- Surveiller les sessions utilisateur pour la conformité
- Bloquer l’accès
Doit-on disposer de licence pour utiliser l’accès conditionnel ?
Rappel important : Mi-juillet 2023, Microsoft a annoncé renommer son service Azure AD (Azure Active Directory). Ce changement est encore en cours et devrait être finalisé pour la fin de cette année. Cette simplification de dénomination est en cohérence avec le périmètre de la gestion identitaire élargie et gérée par le Cloud de Microsoft.
Cela a aussi pour conséquence un léger changement de nom de certaines licences :
L’utilisation de l’accès conditionnel d’Azure AD est une composante des licences Microsoft Entra ID Premium P1/P2. Vous retrouvez donc le service d’accès conditionnel dans un grand nombre de licences utilisateurs, dont les suivantes :
- Microsoft Entra ID Premium P1
- Microsoft Entra ID Premium P2
- Enterprise Mobility + Security E3
- Enterprise Mobility + Security E5
- Microsoft 365 Business Premium
- Microsoft 365 A3
- Microsoft 365 A5
- Microsoft 365 F1
- Microsoft 365 F3
- Microsoft 365 F5 Security
- Microsoft 365 F5 Security + Compliance
Je vous remets également le lien vers le site très utile créé par Aaron Dinnage :
Qu’est-ce qu’alors la licence directement renseignée au niveau du tenant ?
Cette question me revient très souvent 😉. Il faut savoir que cette information provient des licences assignées aux utilisateurs du tenant. Ce n’est pas à proprement parler d’une licence ou un service du tenant :
Certains services clients ne sont actuellement pas en mesure de limiter les avantages à des utilisateurs spécifiques. Nous vous recommandons d’acquérir des licences pour tout utilisateur dont vous avez l’intention de bénéficier et/ou d’accéder au service.
Microsoft Learn
Autrement dit, une seule licence ayant la fonctionnalité d’accès conditionnel active l’option pour l’ensemble des utilisateurs du même tenant. Seulement, les règles d’utilisation du service exigent que chaque utilisateur soit couvert par une licence disposant de cette fonctionnalité.
Maintenant que la partie licence est clarifiée, nous allons pouvoir nous intéresser aux principales fonctionnalités de l’accès conditionnel.
Pour vous rendre sur les règles d’accès conditionnel, allez sur la page suivante d’Entra ID dédiée :
Voici quelques fonctionnalités de l’accès conditionnel d’Entra ID que je vous propose d’étudier :
- Fonctionnalité I – Le nouveau tableau de bord
- Fonctionnalité II – Création d’une police
- Fonctionnalité III – Création d’une police à partir d’un modèle
- Fonctionnalité IV – Test d’une police avec la fonction « Et si »
- Fonctionnalité V – Déclaration de lieux nommés
- Fonctionnalité VI – Configuration d’une MFA renforcée
Fonctionnalité I – Le nouveau tableau de bord :
La page d’accueil de l’accès conditionnelle a été revue pour afficher plusieurs informations essentielles aux équipes IT :
C’est vraiment ce qui manquait à ce service : la visibilité. Il est maintenant beaucoup plus simple de comprendre d’un rapide coup d’œil les éléments suivants :
- Polices actives ou non : les polices d’accès conditionnel ont 3 statuts possibles. Le mode « Rapport seulement » est utile pour contrôler l’impact durant une phase de test sans perturber les utilisateurs.
- Utilisateurs : Affiche le nombre d’utilisateurs ayant pu s’authentifier sans passer par aucune police d’accès conditionnel.
- Périphériques : Affiche le nombre de poste étant non managés ou non conformes.
- Applications : lien vers une liste des applications couvertes et non couvertes par une police d’accès conditionnel
Par exemple, un clic sur la première rubrique affiche le journal d’événements d’ouverture de session avec les filtres adéquats :
Un clic sur les applications ou sur l’onglet Couverture montre 2 différents tops applications :
- Top des applications non couvertes par un accès conditionnel
- Top des applications couvertes par un accès conditionnel
Là encore, un clic est possible pour basculer à nouveau sur le journal des événements d’ouverture de sessions afin d’identifier plus facilement les utilisateurs concernés par l’application ciblée :
Microsoft a même pensé au graphique afin d’améliorer la prise de vue dans son ensemble de ce que représente les accès conditionnés à ceux en étant dépourvues :
Voici une nouvelle vidéo qui résume bien ce nouvel écran :
Fonctionnalité II – Création d’une police :
Le véritable moteur de l’accès conditionnel d’Entra ID est : la police.
Depuis longtemps, il est possible de créer une police d’accès conditionnel depuis une feuille blanche. Vous devrez alors choisir parmi toutes les options disponibles dans les sections suivantes :
- Utilisateur(s) : cible la police sur un utilisateur, un groupe d’utilisateurs ou même des utilisateurs selon leurs rôles. Il est même possible d’exclure des utilisateurs selon ces mêmes règles.
- Destination(s) cible(s) : cible une ou plusieurs applications Cloud créées sur votre tenant. Là encore, Il est même possible d’exclure des applications si nécessaire.
- Condition(s) : ajoute des conditions (ou signaux) présents au moment de l’authentification. Comme le risque calculé par Entra ID Identity Protection ou encore la localisation du poste.
- Condition(s) d’accès : détermine si l’accès est bloqué et cela même si le processus d’authentification est réussi, ou conditionne l’accès selon des critères supplémentaires : MFA, poste conforme…
- Contrôle(s) de session : renforce si besoin les conditions de persistance de la session au sein de l’application.
Fonctionnalité III – Création d’une police à partir d’un modèle :
Microsoft a proposé il y a plusieurs mois déjà de simplifier la création de police d’accès conditionnel en proposant des modèles de départ :
Ces modèles de base sont classifiées dans les 5 sections suivantes :
- Sécurisation de base
- Zero Trust
- Travail à distance
- Protection des administrateurs
- Menaces émergentes
Par exemple, le blocage de l’authentification traditionnelle peut se faire en seulement quelques clics :
Vous pouvez à tout moment changer le statut de votre police. Cela permet de désactiver celle-ci si les résultats sécuritaires obtenus ne sont pas ceux attendus :
Fonctionnalité IV – Test d’une police avec la fonction « Et si » :
Tester une police d’accès conditionnel est possible avec un utilisateur de test ou via la fonction Et si. Cette second option est très utile si l’utilisateur n’est pas disponible ou si le scénario de test demande des conditions très particulières.
Un grand nombre de paramètres (signaux) sont disponibles pour réaliser des tests dans tous les sens :
Et le résultat ne se fait pas attendre, notre nouvelle police d’accès conditionnel créée à partir d’un modèle joue bien son rôle :
Fonctionnalité V – Déclaration de lieux nommés :
Par exemple, quand des lieux sont considérés comme des sites de l’entreprise et que la sécurité réseau est géré par le service IT, il devient utile de les renseigner ici :
Cela permet alors de créer des règles d’accès conditionnel plus précises en incluant ou excluant ces lieux :
Fonctionnalité VI – Configuration d’une MFA renforcée :
L’authentification multi-facteurs est devenue la norme pour s’authentifier sur Internet. Mais toutes les méthodes multi-facteurs ne se valent pas. Microsoft propose de laisser le choix des méthodes MFA aux administrateurs :
Par exemple, ils peuvent faire en sorte que seules les méthodes d’authentification résistantes au hameçonnage soient disponibles pour accéder à une ressource sensible. Toutefois, pour accéder à une ressource non sensible, ils peuvent autoriser des combinaisons d’authentification multifacteur (MFA) moins sécurisées, telles que mot de passe + SMS.
Microsoft Learn
Plusieurs méthodes de MFA renforcées sont déjà disponibles et il est aussi possible de créer les siennes :
Il suffit après d’appeler ces méthodes de MFA renforcées dans la configuration de la police d’accès conditionnel :
Conclusion :
L’accès conditionnel sous Entra ID a réussi s’imposer comme la référence de base dans l’autorisation d’accès aux ressources de l’entreprise. Les personnalisations possibles et la prise en compte d’exclusions apporte beaucoup de souplesse et évite la fatigue sécuritaire chez les utilisateurs. Nul doute que d’autres fonctionnalités sont encore à venir 😎.
Good afternoon.
A question arose which is the following in the « USERS » option I have the following message: « 17 users logged in in the last 7 days without any policy coverage », and I have MFA policies and access blocking outside my country which is Brazil configured, so I didn’t understand when it says that it does not have any policy coverage.
Hello Eduardo,
That is a good question !
Because users are sign-in from Brazil, criteria do not match to the created MFA policy excluding Brazil, right ?
You could create another MFA who only include Brazil location and require periodic MFA checks every 30 days for example ?
What do you think ?