Sécuriser Azure Active Directory avec Conditional Access

Azure Active Directory

Présentation de Conditional Access

Aujourd’hui, je vous propose de découvrir Conditional Access. Il s’agit d’une fonction que vous allez pouvoir associer à la gestion des utilisateurs de votre Azure Active Directory.

Elle vous permet de sécuriser l’accès à votre portail d’admin où vos applications SaaS en fonction de certains contrôles effectués au moment de la connexion de vos utilisateurs.

Azure Conditional Access
Azure Conditional Access

Vous pourrez ainsi définir des contrôles à effectuer à la connexion et agir en fonction de la réponse.

Exemples de Stratégies

Voici quelques exemples de tests que vous allez pouvoir réaliser (et pour lesquels vous pourrez prendre adapter le comportement de réponse) :

  • Présence dans un groupe Active Directory,
  • Emplacement géographique au moment de la connexion,
  • Type de privilèges dont l’utilisateur dispose,
  • Type de device utilisé (managé par Intune ou non),
  • Informations concernant l’adresse IP de connexion,
  • Etc.

Une fois vos licences activées (démo ou non). Cherchez Conditional Access depuis le portail Azure. Vous verrez alors une liste de stratégies qui sont fournies par défaut.

Azure Conditional Access - Stratégies
Azure Conditional Access – Stratégies

La première stratégie activée par défaut vous permet d’imposer MFA – Multi-Factor Authentication, lorsque l’utilisateur qui se connecte dispose de privilèges (Global Administrator, etc.).

C’est le scénario que nous allons mettre en place plus bas. Vous pouvez donc désactiver cette stratégie afin d’éviter d’avoir un doublon. 🙂

Azure Conditional Access
Azure Conditional Access

Création d’une nouvelle stratégie Conditional Access

Pour créer une nouvelle stratégie, cliquez sur New Policy. Vous pourrez alors définir les conditions de votre nouvelle policy.

Le premier réglage vous permet de choisir la population qui sera visée. Il peut s’agir d’un groupe d’utilisateurs ou bien d’utilisateurs disposant d’un rôle particulier.

Azure Conditional Access - Choix utilisateurs / groupes
Azure Conditional Access – Choix utilisateurs / groupes

Sélectionnez par exemple :

  • Directory Role : et cochez Global Administrator.

Choisissez ensuite si votre stratégie doit être appliquée à l’ensemble de vos applications ou uniquement certaines.

Azure Conditional Access - Cloud Apps
Azure Conditional Access – Cloud Apps

Sur la partie Conditions, je ne vais rien choisir d’autre. Ma règle s’appliquera peu importe si l’utilisateur :

  • Utilise (ou non) un device géré par Intune,
  • Le type de périphérique,
  • La localisation géographique (par rapport à l’IP),
  • Etc.
Azure Conditional Access - Conditions
Azure Conditional Access – Conditions

Une fois que l’on a identifié tous les contrôles à effectuer. Il ne reste plus qu’à choisir l’action que l’on souhaite faire.

Azure Conditional Access - Action
Azure Conditional Access – Action

Je peux refuser l’accès ou bien l’autoriser mais ajouter de la sécurité. C’est l’exemple que j’ai choisi de mettre en place. Je vais autoriser la connexion mais imposer une confirmation additionnelle grâce à Azure MFA si l’utilisateur est un Global Administrator.

Il ne nous reste plus qu’à activer la policy en cliquant sur le bouton ON.

Test de notre nouvelle stratégie Conditional Access

Testez maintenant votre nouvelle stratégie.

Désormais, si vous vous connectez avec un compte disposant d’un privilège de type Global Administrator, vous devrez confirmer votre identité avec Azure MFA afin de pouvoir accéder à n’importe quelle application SaaS.

Azure MFA
Azure MFA

Licences nécessaires pour Conditional Access

Conditional Access nécessite de disposer de licences Azure AD Premium.

Sachez que si vous voulez tester cette fonctionnalité, vous pouvez activer pendant une durée limitée des licences de démo (Azure AD Premium P2 ou bien Enterprise Mobility E5). Dans les 2 cas, vous pourrez tester Conditional Access avec ces licences.

Azure Active Directory - Licences de démo
Azure Active Directory – Licences de démo

Pour aller plus loin

Conditional Access - Named Locations
Conditional Access – Named Locations

Toujours dans Conditional Access, vous verrez une option appelée Names Locations. Cette dernière vous permet de définir des emplacements de confiance grâce à vos plages IP.

Cela vous permettra notamment de répondre à des scénarios comme par exemple :

  • J’autorise les utilisateurs à se connecter depuis les bureaux classiquement avec identifiant + mot de passe mais j’impose un contrôle MFA si la connexion est réalisée depuis l’extérieur des bureaux.
  • Je refuse toute connexion d’un administrateur ailleurs que depuis les bureaux.

Bref, vous l’aurez compris, les possibilités sont nombreuses et Microsoft rajoute régulièrement des options ou des conditions que vous pourrez utiliser dans vos règles. 😉

Plus d’infos sur Conditional Access en consultant le lien suivant et voir mon précédent article sur Azure MFA.