Leçon 6 / 6
Leçon 06 · Entra ID

Accès conditionnel

Qu'est-ce que l'accès conditionnel ?

L'accès conditionnel est le moteur de décision de sécurité d'Entra ID. Il repose sur un paradigme simple : Si (signal) → Alors (décision). Avant d'autoriser un accès à une ressource, Entra ID évalue un ensemble de conditions et applique une décision en conséquence.

Par exemple : Si un administrateur se connecte depuis un pays inconnu → exiger la MFA. Si un utilisateur présente un risque de connexion élevé → bloquer l'accès. Si un appareil n'est pas géré par Intune → exiger la conformité avant de continuer.

C'est l'outil le plus puissant d'Entra ID pour appliquer le principe de Zero Trust : ne jamais faire confiance, toujours vérifier.

Les signaux (conditions)

Une politique d'accès conditionnel évalue plusieurs types de signaux avant de prendre une décision. Ces signaux sont les conditions configurables dans la politique.

Utilisateurs et groupes

La politique peut cibler des utilisateurs spécifiques, des groupes de sécurité, des rôles d'annuaire (ex : Administrateur global) ou s'appliquer à tous les utilisateurs. On peut aussi exclure certains comptes (ex : compte break-glass).

Localisation (Named Locations)

L'adresse IP de connexion est comparée à des emplacements nommés (plages IP de confiance ou pays autorisés). On peut bloquer tous les accès hors de certains pays, ou exiger la MFA depuis toute connexion extérieure au réseau de l'entreprise.

Appareil

Entra ID vérifie si l'appareil est joint au domaine (Hybrid Azure AD Join), enregistré dans Entra ID ou marqué comme conforme par Microsoft Intune. Un appareil non géré peut se voir refuser l'accès ou limiter sa session.

Application

La politique peut s'appliquer à toutes les applications cloud ou seulement à certaines (ex : SharePoint, Exchange Online, une application métier enregistrée dans Entra ID).

Risque de connexion (Identity Protection)

Microsoft Identity Protection analyse chaque connexion en temps réel et attribue un niveau de risque : faible, moyen ou élevé. L'accès conditionnel peut utiliser ce signal pour déclencher une MFA ou bloquer la connexion.

Les décisions

Quand les conditions sont réunies, la politique applique l'une des décisions suivantes :

  • Autoriser l'accès — accès accordé sans contrainte supplémentaire.
  • Bloquer l'accès — refus total, l'utilisateur voit un message d'erreur.
  • Exiger la MFA — l'utilisateur doit compléter une vérification supplémentaire (authenticator, SMS…).
  • Exiger un appareil conforme — seuls les appareils validés par Intune sont autorisés.
  • Exiger une jointure Hybrid Azure AD — l'appareil doit être joint au domaine Active Directory local synchronisé.
  • Session limitée — accès accordé mais avec des restrictions (fréquence de réévaluation, interdiction de téléchargement via Defender for Cloud Apps).
⚠️

Ordre des politiques : Entra ID évalue toutes les politiques applicables à une connexion, pas seulement la première correspondante. La décision finale est la plus restrictive de toutes les politiques qui s'appliquent. Si une politique bloque et une autre autorise, le blocage l'emporte.

Créer une politique d'accès conditionnel

Les politiques se créent dans le portail Entra ID : Protection > Accès conditionnel > Créer une nouvelle politique.

Entra ID — Nouvelle politique d'accès conditionnel

1. Nom

Donne un nom descriptif : "MFA — Admins — Hors réseau"

2. Affectations — Utilisateurs

Sélectionne les utilisateurs/groupes cibles. Pense à exclure les comptes break-glass.

3. Affectations — Ressources cibles

Choisis "Toutes les applications cloud" ou des apps spécifiques.

4. Conditions

Configure les signaux : localisations, plateformes, niveau de risque…

5. Contrôles d'accès — Octroyer

Choisis la décision : Bloquer / Autoriser avec MFA / Appareil conforme…

6. Activer la politique

Commence par "Rapport uniquement", observe, puis passe à "Activé".

💡

Mode rapport uniquement (Report-only) : avant d'activer une politique, active-la en mode rapport uniquement. Entra ID journalise ce qui se serait passé sans bloquer personne. Consulte les journaux de connexion pour vérifier l'impact réel pendant 1 à 2 semaines avant de basculer en mode "Activé".

Politiques courantes

Exiger la MFA pour les administrateurs

C'est la politique la plus importante à mettre en place. Les comptes administrateurs sont les cibles privilégiées des attaques. Configurer MFA obligatoire pour tous les rôles d'administrateur réduit considérablement le risque de compromission.

  • Utilisateurs : Rôles — sélectionner tous les rôles administratifs
  • Applications : Toutes les applications cloud
  • Décision : Exiger l'authentification multifacteur

Bloquer les connexions depuis des pays à risque

Si votre organisation n'a aucun utilisateur légitime dans certains pays, bloquer ces localisations réduit la surface d'attaque sans impact sur les utilisateurs.

  • Utilisateurs : Tous les utilisateurs
  • Conditions — Localisation : Inclure les pays non approuvés (ou exclure les Named Locations approuvées)
  • Décision : Bloquer l'accès

Exiger un appareil conforme Intune

Pour les données sensibles (SharePoint, Exchange), on peut n'autoriser l'accès qu'aux appareils gérés et conformes aux politiques Intune (chiffrement, antivirus, etc.).

  • Applications : SharePoint Online, Exchange Online
  • Décision : Exiger que l'appareil soit marqué comme conforme

Named Locations — emplacements de confiance

Les Named Locations permettent de définir des plages d'adresses IP ou des pays considérés comme fiables. On les configure dans : Protection > Accès conditionnel > Named Locations.

Cas d'usage typiques :

  • Plage IP du bureau : les connexions depuis le réseau local sont considérées sûres — pas de MFA exigée.
  • Plage IP du VPN : les connexions via VPN d'entreprise sont traitées comme internes.
  • Pays autorisés : liste blanche des pays où l'organisation opère.

On peut ensuite référencer ces emplacements dans les conditions d'une politique : "Exiger MFA si la connexion n'est PAS depuis un emplacement de confiance."

Identity Protection et accès conditionnel basé sur le risque

Microsoft Entra Identity Protection analyse en continu les connexions et les comportements utilisateurs pour détecter des anomalies. Il produit deux types de signaux :

Risque de connexion (Sign-in risk)

Évalué à chaque tentative de connexion. Exemples de signaux qui font monter le risque :

  • Connexion depuis une adresse IP anonyme (Tor, proxy)
  • Voyage impossible (connexion depuis Paris puis New York en 30 minutes)
  • Propriétés de connexion inhabituelles (navigateur ou OS inconnu)
  • Informations d'identification divulguées (credential leak détecté)

Risque utilisateur (User risk)

Évalué sur la durée. Se construit si plusieurs connexions suspectes sont détectées ou si le compte figure dans une fuite de données. Un utilisateur avec un risque élevé peut se voir forcer une réinitialisation de mot de passe via une politique d'accès conditionnel.

Niveaux de risque et actions recommandées

  • Faible (Low) : surveiller, journaliser. Pas de blocage.
  • Moyen (Medium) : exiger la MFA pour continuer.
  • Élevé (High) : bloquer l'accès ou forcer la réinitialisation du mot de passe.
⚠️

Comptes break-glass : prévois toujours au moins deux comptes d'urgence (break-glass accounts) exclus des politiques d'accès conditionnel. Si une politique mal configurée verrouille tous les administrateurs, ces comptes permettent de reprendre la main. Surveille leur utilisation avec des alertes.

// À retenir
  • L'accès conditionnel fonctionne selon le paradigme Si (signal) → Alors (décision).
  • Les signaux combinent : identité, localisation IP, conformité de l'appareil, application ciblée, niveau de risque.
  • Les décisions possibles : autoriser, bloquer, exiger MFA, exiger appareil conforme, limiter la session.
  • Toutes les politiques applicables sont évaluées : c'est la décision la plus restrictive qui l'emporte.
  • Commence toujours en mode rapport uniquement avant d'activer une politique en production.
  • Les Named Locations définissent les plages IP ou pays de confiance.
  • Identity Protection attribue des niveaux de risque (low/medium/high) aux connexions et aux utilisateurs.
  • Prévois des comptes break-glass exclus de toutes les politiques pour garder un accès d'urgence.

Bilan du module Entra ID : tu as exploré les fondations de la gestion des identités Microsoft — de la création d'un tenant à la synchronisation Active Directory, en passant par la MFA, les groupes dynamiques, les rôles RBAC et maintenant l'accès conditionnel. Ensemble, ces briques forment une architecture Zero Trust complète : chaque accès est vérifié, chaque identité est confirmée, chaque appareil est évalué.