Stratégies d’accès basées sur les risques
Des stratégies de contrôle d’accès peuvent être appliquées pour protéger les organisations lorsqu’une connexion ou un utilisateur à risque est détecté. Ces stratégies sont appelées des stratégies basées sur les risques.
L’accès conditionnel Microsoft Entra offre deux conditions de risque : risque de connexion et risque utilisateur. Les organisations peuvent créer des stratégies d’accès conditionnel basées sur les risques en configurant ces deux conditions de risque et en choisissant une méthode de contrôle d’accès. Pour chaque connexion, la Protection des ID Microsoft Entra envoie les niveaux de risque détectés à l’accès conditionnel et les stratégies basées sur les risques s’appliquent si les conditions de stratégie sont remplies.
Par exemple, si les organisations ont une stratégie de risque de connexion qui nécessite une authentification multifacteur lorsque le niveau de risque de connexion est moyen ou élevé, leurs utilisateurs doivent alors effectuer l'authentification multifacteur lorsque leur risque de connexion est moyen ou élevé.
L’exemple précédent illustre également un avantage principal d’une stratégie basée sur les risques : la correction automatique des risques. Lorsqu’un utilisateur réussit le contrôle d’accès requis, comme une modification de mot de passe sécurisée, son risque est corrigé. Cette session de connexion et le compte d’utilisateur ne sont pas à risque, et aucune action de l’administrateur n’est nécessaire.
En autorisant les utilisateurs à utiliser ce processus pour faire une auto-correction, vous réduisez fortement la charge d’examen et de correction des risques pour les administrateurs tout en protégeant vos organisations contre les compromissions de sécurité. Vous trouverez plus d’informations sur la correction des risques dans l’article Corriger les risques et débloquer les utilisateurs.
Stratégie d’accès conditionnel basée sur les risques de connexion
À chaque connexion, la protection des ID analyse des centaines de signaux en temps réel et calcule un niveau de risque de connexion qui représente la probabilité que la requête d’authentification donnée ne soit pas autorisée. Ce niveau de risque est ensuite envoyé à l’accès conditionnel, où les stratégies configurées de l’organisation sont évaluées. Les administrateurs peuvent configurer des stratégies d’accès conditionnel basées sur les risques de connexion afin d’appliquer des contrôles d’accès basés sur les risques de connexion, notamment les exigences suivantes :
- Bloquer l’accès
- Autoriser l’accès
- Exiger l’authentification multifacteur
Si des risques sont détectés sur une connexion, les utilisateurs peuvent effectuer le contrôle d’accès requis tel que l’authentification multifacteur pour s’auto-corriger et fermer l’événement de connexion à risque afin empêcher toute perturbation inutile pour les administrateurs.
Remarque
Les utilisateurs doivent s’être inscrits auprès de l’authentification multifacteur Microsoft Entra avant de déclencher la stratégie de connexion à risque.
Stratégie d’accès conditionnel en fonction des risques utilisateur
La protection des ID analyse les signaux sur les comptes d’utilisateurs et calcule un score de risque en fonction de la probabilité que l’utilisateur ait été compromis. Si un utilisateur a un comportement de connexion à risque ou si ses identifiants sont divulgués, la protection des ID utilise ces signaux pour calculer le niveau de risque de l’utilisateur. Les administrateurs peuvent configurer des stratégies d’accès conditionnel basées sur les risques utilisateur afin d’appliquer des contrôles d’accès basés sur les risques utilisateur, notamment les exigences suivantes :
- Bloquer l’accès
- Autorisez l’accès, mais exigez un changement de mot de passe sécurisé.
Un changement de mot de passe sécurisé corrige le risque utilisateur et ferme l’événement utilisateur à risque afin d’éviter toute perturbation inutile pour les administrateurs.
Migrer des stratégies de risque de protection des ID vers l'accès conditionnel
Si vous activez la stratégie de risque utilisateur héritée ou si la stratégie de risque de connexion est activée dans ID Protection (anciennement Identity Protection), nous vous invitons à les migrer vers l'accès conditionnel.
Avertissement
Les stratégies de risque héritées configurées dans Microsoft Entra ID Protection seront supprimées le 1er octobre 2026.
La configuration des stratégies de risque dans l'accès conditionnel offre des avantages suivants :
- gestion des stratégies d'accès dans un emplacement unique.
- Mode Rapport uniquement et prise en charge de l'API Graph.
- Application d'une fréquence d'ouverture de session à chaque fois pour exiger une réauthentification à chaque fois.
- Contrôle d'accès granulaire en combinant des conditions de risque avec d'autres conditions comme l'emplacement.
- Renforcement de la sécurité grâce à plusieurs stratégies basées sur les risques et ciblant différents groupes d'utilisateurs ou niveaux de risque.
- Amélioration de l'expérience de diagnostic détaillant la stratégie basée sur les risques appliquée dans les journaux de connexion.
- Prise en charge par le système d'authentification de sauvegarde.
Stratégie d’inscription de l’authentification multifacteur Microsoft Entra
La protection des ID peut aider les organisations à déployer l’authentification multifacteur Microsoft Entra via une stratégie imposant une inscription au moment de la connexion. L’activation de cette stratégie est un excellent moyen de s’assurer que les nouveaux utilisateurs de votre organisation s’inscrivent à l’authentification MFA la première fois. L’authentification multifacteur est l’une des méthodes d’autocorrection pour les événements à risque dans la protection des ID. L’auto-restauration permet à vos utilisateurs d’effectuer leurs propres actions pour réduire le volume d’appels du support technique.
Pour plus d’informations sur l’authentification multifacteur Microsoft Entra, consultez l’article Comment fonctionne l’authentification multifacteur Microsoft Entra.