Implémentation de l'accès conditionnel dans Azure AD pour renforcer la sécurité

Implémentation de l'accès conditionnel dans Azure AD pour renforcer la sécurité

01/05/2024

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans la mise en œuvre et l'optimisation de l'accès conditionnel dans Microsoft Entra ID (anciennement Azure Active Directory). L'accès conditionnel est le mécanisme phare d'application de la politique Zero Trust de Microsoft, permettant aux organisations de contrôler l'accès aux ressources en fonction de conditions en temps réel telles que l'identité de l'utilisateur, l'emplacement, l'état de l'appareil et le risque de session [1].

Présentation

Dans le paysage de la sécurité actuel, où les cybermenaces sont sophistiquées et où le travail à distance est répandu, la protection traditionnelle du périmètre réseau n'est plus suffisante. L'accès conditionnel Azure AD permet aux organisations de passer d'une approche de sécurité statique à une approche dynamique et adaptative dans laquelle chaque tentative d'accès est évaluée avant d'être accordée. Cela garantit que l'accès est accordé uniquement aux utilisateurs et appareils de confiance, dans des conditions spécifiques, protégeant ainsi plus efficacement les données et les applications de l'entreprise [2].

Ce guide pratique couvrira la création et la configuration des politiques d'accès conditionnel, notamment l'exigence d'une authentification multifacteur (MFA), les appareils pris en charge, les emplacements approuvés et le blocage de l'authentification héritée. Des instructions étape par étape, des exemples de configuration et des méthodes de validation seront fournis afin que le lecteur puisse mettre en œuvre et renforcer la posture de sécurité de son organisation, garantissant que l'accès aux ressources est sécurisé et conforme.

Pourquoi l'accès conditionnel est-il crucial ?

  • Zero Trust : il s'agit du moteur de politique permettant de mettre en œuvre le modèle Zero Trust, vérifiant explicitement chaque demande d'accès.
  • Contrôle adaptatif : permet aux politiques d'accès de s'adapter dynamiquement en fonction des signaux de risque en temps réel.
  • Protection complète : protège les identités, les appareils, les données et les applications dans le cloud et sur site.
  • MFA et conformité des appareils : facilite l'application de la MFA et exige l'accès aux appareils conformes ou joints à Azure AD.
  • Réduction des risques : aide à atténuer les risques tels que le vol d'identifiants, l'accès à partir d'appareils non autorisés et l'accès à partir d'emplacements suspects.

Prérequis

Pour implémenter l’accès conditionnel dans Azure AD, vous aurez besoin des éléments suivants :

  1. Licence : une licence Microsoft Enroll ID Premium P1 ou P2 (anciennement Azure AD Premium P1 ou P2). L'accès conditionnel est une caractéristique unique de ces licences [3].
  2. Accès administratif : Un compte avec le rôle d'« Administrateur d'accès conditionnel », d'« Administrateur de sécurité » ou d'« Administrateur global » dans le centre d'administration Microsoft Entra (https://entra.microsoft.com).
  3. Utilisateurs et groupes : utilisateurs et groupes de sécurité dans Microsoft Entra ID pour tester les stratégies.
  4. Authentification multifacteur (MFA) configurée : pour les stratégies qui nécessitent une MFA, les utilisateurs doivent avoir configuré et enregistré MFA.
  5. Appareils gérés (facultatif) : pour les stratégies qui nécessitent des appareils pris en charge ou joints à Azure AD/Hybrid, les appareils doivent être gérés par Microsoft Intune ou joints à Azure AD.

Étape par étape : configuration des politiques d'accès conditionnel

Créons quelques politiques d'accès conditionnel essentielles pour renforcer la sécurité.

1. Accès au portail Microsoft Accédez au centre d'administration

  1. Ouvrez votre navigateur et accédez à « https://entra.microsoft.com ».
  2. Connectez-vous avec un compte disposant des autorisations nécessaires.
  3. Dans le volet de navigation de gauche, sélectionnez Protection > Accès conditionnel.

2. Création d'une politique exigeant l'authentification multifacteur pour tous les utilisateurs (à l'exclusion des comptes d'urgence)

Il s'agit d'une politique fondamentale pour la plupart des organisations, garantissant que l'authentification MFA est requise pour toutes les tentatives d'accès, à l'exception des comptes d'accès d'urgence/brise-glace.

  1. Sur la page Accès conditionnel, cliquez sur Nouvelle stratégie > Créer une nouvelle stratégie.
  2. Nom : 01 - Exiger MFA pour tous les utilisateurs.

  3. Affectations > Utilisateurs d'identité ou charges de travail :

    • Dans Inclure, sélectionnez Tous les utilisateurs.
    • Sous Supprimer, sélectionnez Utilisateurs et groupes et ajoutez vos comptes d'accès emer.agence/break-glass (comptes hautement protégés pouvant être utilisés pour accéder au locataire en cas de panne de MFA ou d'indisponibilité de l'annuaire).

  4. Ressources ou actions cloud :

    • Sous Inclure, sélectionnez Toutes les applications cloud.

  5. Subvention :

    • Sélectionnez Accorder l'accès.
    • Cochez Exiger une authentification multifacteur.
    • Cliquez sur Sélectionner.

  6. Activer la stratégie : sélectionnez « Rapport uniquement » (pour tester l'impact avant de l'appliquer) ou « Activé ».

    • Conseil : commencez toujours par « Rapport uniquement » pour surveiller l'impact de la stratégie sans l'appliquer, en vérifiant les journaux d'entrée pour d'éventuels blocages indésirables.
  7. Cliquez sur Créer.

3. Création d'une stratégie pour bloquer l'authentification héritée

L'authentification héritée (telle que POP, IMAP, SMTP, authentification de base) ne prend pas en charge MFA et constitue un vecteur d'attaque courant. Il est crucial de le bloquer.

  1. Sur la page Accès conditionnel, cliquez sur Nouvelle stratégie > Créer une nouvelle stratégie.
  2. Nom : 02 - Bloquer l'authentification héritée.
  3. Affectations > Utilisateurs d'identité ou charges de travail : sélectionnez Tous les utilisateurs (à l'exclusion de vos comptes d'urgence).
  4. Ressources ou actions cloud : sélectionnez Toutes les applications cloud.

  5. Conditions > Applications client :

    • Définissez « Applications client » sur « Oui ».
    • Cochez « Clients Exchange ActiveSync » et « Autres clients ».

  6. Contrôles d'accès > Accorder :

    • Sélectionnez Bloquer l'accès.
    • Cliquez sur Sélectionner.

  7. Activer la stratégie : sélectionnez « Rapport uniquement » ou « Activé ».

  8. Cliquez sur Créer.

4. Création d'une politique exigeant un appareil compatible pour accéder aux applications critiques

Cette stratégie garantit que seuls les appareils répondant aux normes de sécurité (gérés par Intune, par exemple) peuvent accéder aux applications sensibles.

  1. Sur la page Accès conditionnel, cliquez sur Nouvelle stratégie > Créer une nouvelle stratégie.
  2. Nom : 03 - Nécessite un périphérique compatible pour les applications critiques.
  3. Affectations > Utilisateurs d'identité ou charges de travail : sélectionnez Tous les utilisateurs (ou un groupe spécifique).

  4. Ressources ou actions cloud :

    • Sous Inclure, sélectionnez Sélectionner les applications et choisissez les applications critiques (par exemple SharePoint Online, Dynamics 365, applications métier).

  5. Subvention :

    • Sélectionnez Accorder l'accès.
    • Cochez Exiger que l'appareil soit marqué comme pris en charge.
    • Cliquez sur Sélectionner.

  6. Activer la stratégie : sélectionnez « Rapport uniquement » ou « Activé ».

  7. Cliquez sur Créer.

5. Création d'une stratégie pour bloquer l'accès à partir d'emplacements non fiables

Cette stratégie permet de se protéger contre l'accès depuis des régions géographiques ou des adresses IP connues pour être des sources d'attaques.

  1. Tout d'abord, vous devez créer des Emplacements nommés (Emplacements nommés) dans Azure AD pour définir des emplacements approuvés (par exemple, bureaux de l'entreprise, VPN).

    • Dans le centre d'administration Microsoft Login, accédez à Protection > Accès conditionnel > Emplacements nommés.
    • Cliquez sur Nouveaux emplacements de pays/régions ou Nouveaux emplacements de plages IP pour définir vos emplacements de confiance.

  2. Sur la page Accès conditionnel, cliquez sur Nouvelle stratégie > Créer une nouvelle stratégie.

  3. Nom : 04 - Bloquer l'accès à partir d'emplacements non approuvés.
  4. Affectations > Utilisateurs d'identité ou charges de travail : sélectionnez Tous les utilisateurs.
  5. Ressources ou actions cloud : sélectionnez Toutes les applications cloud.

  6. Conditions > Emplacements :

    • Définissez « Emplacements » sur « Oui ».
    • Dans Inclure, sélectionnez N'importe quel emplacement.
    • Sous Exclure, sélectionnez Emplacements sélectionnés et choisissez les « Emplacements nommés » que vous avez définis comme approuvés.

  7. Contrôles d'accès > Accorder :

    • Sélectionnez Bloquer l'accès.
    • Cliquez sur Sélectionner.
  8. Activer la stratégie : sélectionnez « Rapport uniquement » ou « Activé ».
  9. Cliquez sur Créer.

Validation et tests

La validation des politiques d'accès conditionnel est essentielle pour garantir qu'elles fonctionnent comme prévu et ne provoquent pas de blocages indésirables.

1. Utiliser l'outil « Et si »

L'outil « What If » vous permet de simuler l'impact de vos politiques d'accès conditionnel sur un utilisateur ou un scénario spécifique.

  1. Sur la page Accès conditionnel, cliquez surEt si.
  2. Configurez le scénario de test (utilisateur, application, adresse IP, appareil, etc.).
  3. Cliquez sur Et si pour voir quelles stratégies seraient appliquées et le résultat (accorder ou bloquer l'accès).

2. Vérification des journaux d'entrée

Les journaux entrants fournissent des informations détaillées sur chaque tentative d'accès, notamment les stratégies d'accès conditionnel qui ont été évaluées et le résultat.

  1. Dans le centre d'administration Microsoft Login, accédez à Surveillance et santé > Journaux entrants.
  2. Filtrez les journaux par utilisateur, application ou statut (par exemple « Échec ») pour enquêter sur les tentatives d'accès.
  3. Cliquez sur une entrée du journal pour afficher les détails, y compris l'onglet Accès conditionnel, qui affichera les stratégies appliquées et le résultat.

3. Tests réels avec des utilisateurs tests

Effectuez des tests avec des utilisateurs tests dans différents scénarios (par exemple, accès depuis un emplacement non fiable, avec un appareil non pris en charge, sans MFA) pour confirmer le comportement attendu des stratégies.

Conseils de sécurité et bonnes pratiques

  • Planification minutieuse : planifiez vos politiques d'accès conditionnel en fonction des besoins de votre organisation et des principes Zero Trust. Commencez avec un petit ensemble de politiques et développez-le progressivement.
  • **Mode Rapport uniquement : déployez toujours d'abord les nouvelles stratégies en mode Rapport uniquement pour évaluer leur impact et les ajuster avant de les appliquer en mode Activé.
  • Comptes d'urgence : excluez toujours les comptes d'accès d'urgence/brise-glace de toutes les politiques d'accès conditionnel pour éviter les verrouillages accidentels.
  • Bloquer l'authentification héritée : il s'agit de l'une des politiques les plus efficaces pour réduire la surface d'attaque.
  • Exiger MFA pour tous les utilisateurs : une politique essentielle pour protéger les identités.
  • Appareils gérés : nécessite que les appareils soient gérés (rejoints à Azure AD ou compatibles Intune) pour accéder aux ressources sensibles.
  • Emplacements nommés : utilisez des emplacements nommés pour définir des réseaux approuvés et bloquer l'accès à partir d'emplacements non approuvés.
  • Révision et ajustement continus : examinez et ajustez régulièrement vos politiques d'accès conditionnel pour vous adapter aux changements dans l'environnement des menaces et aux exigences de l'entreprise.
  • Documentation : conservez une documentation claire de vos politiques d'accès conditionnel, y compris leur objectif, leur portée et toutes les exclusions.

Dépannage courant

  • Utilisateurs bloqués de manière inattendue : utilisez l'outil « Et si » et les journaux de connexion pour identifier la stratégie à l'origine du blocage. Vérifiez les inclusions et les exclusions de la police.
  • Politiques non appliquées : Vérifiez que la stratégie est en mode « Activé » et que l'utilisateur et l'application sont dans la portée de la stratégie. Vérifiez les journaux d’entrée pour voir si la stratégie a été évaluée.
  • Problèmes MFA : assurez-vous que les utilisateurs ont enregistré des méthodes MFA. Recherchez les problèmes de connectivité avec les fournisseurs MFA.
  • Problèmes de conformité des appareils : vérifiez l'état de conformité de votre appareil dans Intune. Assurez-vous que l’appareil est joint à Azure AD ou enregistré auprès d’Intune.
  • Conflits de politiques : l'accès conditionnel évalue toutes les politiques et applique la plus restrictive. S'il existe des politiques contradictoires, ajustez-les pour garantir le comportement souhaité.

Conclusion

La mise en œuvre de l’accès conditionnel dans Azure AD est un pilier fondamental pour créer une architecture de sécurité robuste et adaptative basée sur le modèle Zero Trust. En permettant aux organisations de définir des politiques d'accès granulaires basées sur diverses conditions, l'accès conditionnel renforce considérablement la protection des identités et des ressources contre les cybermenaces. La configuration stratégique des politiques, combinée à des tests rigoureux et à un cycle continu de révision et d'optimisation, permet aux équipes de sécurité de garantir que l'accès est toujours vérifié, peu privilégié et adapté au contexte de risque. Grâce à l'accès conditionnel, les entreprises peuvent protéger leurs actifs les plus précieux tout en permettant à leurs utilisateurs de travailler de manière sécurisée et productive depuis n'importe où et sur n'importe quel appareil.

Références :

[1] Microsoft Apprendre. Qu'est-ce que l'accès conditionnel ?. Disponible sur : https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview [2] Microsoft Apprendre. Planifier la mise en œuvre de l'accès conditionnel. Disponible sur : https://learn.microsoft.com/pt-br/entra/identity/conditional-access/plan-conditional-access [3] Microsoft Apprendre. Exigences de licence pour l'accès conditionnel. Disponible sur : https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview#license-requirements