Qu’est-ce que le mode rapport seul de l’accès conditionnel ?

L’accès conditionnel est largement utilisé par nos clients pour maintenir leur niveau de sécurité en appliquant des contrôles d’accès adaptés aux circonstances. Toutefois, l’une des problématiques posées par le déploiement d’une stratégie d’accès conditionnel dans une organisation est de déterminer l’impact sur les utilisateurs finaux. Il peut être difficile d’anticiper le nombre et le nom des utilisateurs affectés par les initiatives de sécurité courantes. Ces initiatives peuvent inclure le blocage de l’authentification héritée, l’exigence de l’authentification multifacteur pour une population d’utilisateurs, ou l’implémentation de stratégies de connexion à risque.

Le mode rapport seul est un nouvel état de la stratégie d’accès conditionnel qui permet aux administrateurs d’évaluer l’impact des stratégies d’accès conditionnel avant de les activer dans leur environnement.

  • Les stratégies d’accès conditionnel peuvent être évaluées en mode rapport seul, sauf pour les éléments inclus dans l’étendue « Actions utilisateur ».
  • Lors de la connexion, les stratégies en mode rapport seul sont évaluées, mais non appliquées.
  • Les résultats sont journalisés dans les onglets Accès conditionnel et Rapport seul des détails du journal de connexion.
  • Les clients disposant d’un abonnement Azure Monitor peuvent surveiller l’impact de leurs stratégies d’accès conditionnel dans le classeur Insights sur l’accès conditionnel.

Avertissement

Les stratégies en mode rapport seul qui exigent des appareils conformes peuvent inviter les utilisateurs Mac, iOS et Android à sélectionner un certificat d’appareil lors de l’évaluation de la stratégie, même si la conformité des appareils n’est pas appliquée. Ces invites sont susceptibles de se répéter jusqu’à ce que l’appareil ait été rendu conforme. Pour éviter aux utilisateurs finaux de recevoir des invites lors de la connexion, excluez les plateformes d’appareils Mac, iOS et Android des stratégies rapport seul qui effectuent des vérifications de conformité des appareils. Notez que le mode Rapport seul n’est pas applicable pour les stratégies d’accès conditionnel avec l’étendue « Actions de l’utilisateur ».

Screenshot showing the report-only tab in a sign-in log.

Résultats de la stratégie

Lorsqu’une stratégie en mode rapport seul est évaluée pour une connexion donnée, quatre nouvelles valeurs de résultat sont possibles :

Résultats Description
Rapport seul : Succès Toutes les conditions de stratégie configurées, tous les contrôles d’autorisation non interactifs requis et tous les contrôles de session sont remplis. Par exemple, une demande d’authentification multifacteur est satisfaite par une revendication MFA déjà présente dans le jeton ou une stratégie d’appareil conforme est satisfaite en effectuant une vérification de l’appareil sur un appareil conforme.
Rapport seul : Échec Toutes les conditions de stratégie configurées sont remplies, mais pas tous les contrôles d’autorisation non interactifs requis et contrôles de session. Par exemple, une stratégie s’applique à un utilisateur pour lequel un contrôle de bloc est configuré ou un appareil ne respecte pas une stratégie d’appareil conforme.
Rapport seul : Action requise de la part de l’utilisateur Toutes les conditions de stratégie configurées sont remplies, mais une action de l’utilisateur est nécessaire pour satisfaire les contrôles d’autorisation requis ou les contrôles de session. En mode rapport seul, l’utilisateur n’est pas invité à satisfaire les contrôles requis. Par exemple, des demandes de l’authentification multifacteur ou des conditions d’utilisation.
Rapport seul : Non applicable Toutes les conditions de stratégie configurées ne sont pas satisfaites. Par exemple, l’utilisateur est exclu de la stratégie ou la stratégie s’applique uniquement à certains emplacements nommés approuvés.

Classeur Insights sur l’accès conditionnel

Les administrateurs ont la possibilité de créer plusieurs stratégies en mode rapport seul. Il est donc nécessaire de comprendre l’impact individuel de chacune et l’impact combiné de plusieurs stratégies évaluées ensemble. Le nouveau classeur Insights sur l’accès conditionnel permet aux administrateurs de visualiser les requêtes d’accès conditionnel et de surveiller l’impact d’une stratégie pour un intervalle de temps, un ensemble d’applications et des utilisateurs donnés.