Categories: Azure

Sécuriser Azure Active Directory avec Conditional Access

Présentation de Conditional Access

Aujourd’hui, je vous propose de découvrir Conditional Access. Il s’agit d’une fonction que vous allez pouvoir associer à la gestion des utilisateurs de votre Azure Active Directory.

Elle vous permet de sécuriser l’accès à votre portail d’admin où vos applications SaaS en fonction de certains contrôles effectués au moment de la connexion de vos utilisateurs.

Azure Conditional Access

Vous pourrez ainsi définir des contrôles à effectuer à la connexion et agir en fonction de la réponse.

Exemples de Stratégies

Voici quelques exemples de tests que vous allez pouvoir réaliser (et pour lesquels vous pourrez prendre adapter le comportement de réponse) :

  • Présence dans un groupe Active Directory,
  • Emplacement géographique au moment de la connexion,
  • Type de privilèges dont l’utilisateur dispose,
  • Type de device utilisé (managé par Intune ou non),
  • Informations concernant l’adresse IP de connexion,
  • Etc.

Une fois vos licences activées (démo ou non). Cherchez Conditional Access depuis le portail Azure. Vous verrez alors une liste de stratégies qui sont fournies par défaut.

Azure Conditional Access – Stratégies

La première stratégie activée par défaut vous permet d’imposer MFA – Multi-Factor Authentication, lorsque l’utilisateur qui se connecte dispose de privilèges (Global Administrator, etc.).

C’est le scénario que nous allons mettre en place plus bas. Vous pouvez donc désactiver cette stratégie afin d’éviter d’avoir un doublon. 🙂

Azure Conditional Access

Création d’une nouvelle stratégie Conditional Access

Pour créer une nouvelle stratégie, cliquez sur New Policy. Vous pourrez alors définir les conditions de votre nouvelle policy.

Le premier réglage vous permet de choisir la population qui sera visée. Il peut s’agir d’un groupe d’utilisateurs ou bien d’utilisateurs disposant d’un rôle particulier.

Azure Conditional Access – Choix utilisateurs / groupes

Sélectionnez par exemple :

  • Directory Role : et cochez Global Administrator.

Choisissez ensuite si votre stratégie doit être appliquée à l’ensemble de vos applications ou uniquement certaines.

Azure Conditional Access – Cloud Apps

Sur la partie Conditions, je ne vais rien choisir d’autre. Ma règle s’appliquera peu importe si l’utilisateur :

  • Utilise (ou non) un device géré par Intune,
  • Le type de périphérique,
  • La localisation géographique (par rapport à l’IP),
  • Etc.
Azure Conditional Access – Conditions

Une fois que l’on a identifié tous les contrôles à effectuer. Il ne reste plus qu’à choisir l’action que l’on souhaite faire.

Azure Conditional Access – Action

Je peux refuser l’accès ou bien l’autoriser mais ajouter de la sécurité. C’est l’exemple que j’ai choisi de mettre en place. Je vais autoriser la connexion mais imposer une confirmation additionnelle grâce à Azure MFA si l’utilisateur est un Global Administrator.

Il ne nous reste plus qu’à activer la policy en cliquant sur le bouton ON.

Test de notre nouvelle stratégie Conditional Access

Testez maintenant votre nouvelle stratégie.

Désormais, si vous vous connectez avec un compte disposant d’un privilège de type Global Administrator, vous devrez confirmer votre identité avec Azure MFA afin de pouvoir accéder à n’importe quelle application SaaS.

Azure MFA

Licences nécessaires pour Conditional Access

Conditional Access nécessite de disposer de licences Azure AD Premium.

Sachez que si vous voulez tester cette fonctionnalité, vous pouvez activer pendant une durée limitée des licences de démo (Azure AD Premium P2 ou bien Enterprise Mobility E5). Dans les 2 cas, vous pourrez tester Conditional Access avec ces licences.

Azure Active Directory – Licences de démo

Pour aller plus loin

Conditional Access – Named Locations

Toujours dans Conditional Access, vous verrez une option appelée Names Locations. Cette dernière vous permet de définir des emplacements de confiance grâce à vos plages IP.

Cela vous permettra notamment de répondre à des scénarios comme par exemple :

  • J’autorise les utilisateurs à se connecter depuis les bureaux classiquement avec identifiant + mot de passe mais j’impose un contrôle MFA si la connexion est réalisée depuis l’extérieur des bureaux.
  • Je refuse toute connexion d’un administrateur ailleurs que depuis les bureaux.

Bref, vous l’aurez compris, les possibilités sont nombreuses et Microsoft rajoute régulièrement des options ou des conditions que vous pourrez utiliser dans vos règles. 😉

Plus d’infos sur Conditional Access en consultant le lien suivant et voir mon précédent article sur Azure MFA.

Share
Published by
thibault

Recent Posts

Dropbox Passwords : 5 alternatives après la fermeture de son service

Dropbox Passwords : 5 alternatives après la fermeture de son service Introduction Dropbox Passwords ferme…

2 jours ago

Palo Alto Networks rachète Cyberark pour 25 milliards de dollars

Palo Alto Networks rachète Cyberark pour 25 milliards de dollars Introduction Palo Alto Networks rachète…

3 jours ago

Microsoft reconnaît ne pas pouvoir garantir la souveraineté des données européennes

Microsoft reconnaît ne plus pouvoir garantir la souveraineté des données européennes Coup de tonnerre dans…

3 jours ago

Une semaine les pieds dans l’eau à Almyrida, perle discrète de la Crète

Illustration générée par intelligence artificielle Il y a des endroits où l’on se sent bien…

3 jours ago

Microsoft Réinvente Clippy avec une Nouvelle Mascotte Interactive pour Copilot

Microsoft Réinvente Clippy avec une Nouvelle Mascotte Interactive pour Copilot Introduction Microsoft a récemment dévoilé…

4 jours ago

GPT-5 : OpenAI redéfinit l’IA, préparez-vous au bond technologique

GPT-5 : OpenAI redéfinit l'IA, préparez-vous au bond technologique L'aube d'une nouvelle ère avec ChatGPT…

5 jours ago