Bloquer l’accès à Microsoft 365 sur base de l’emplacement


L’offre Azure AD Premium Plan 1 offre deux outils qui vous permettent de mieux contrôler les accès à votre plateforme Microsoft 365. On parlera donc ici des Accès conditionnels et des Emplacements nommés.  Ces stratégies d’accès sont appliquées au terme de l’authentification premier facteur.  Elles ne sont donc pas destinées à être la première ligne de défense d’une organisation, mais elles sont une des barrières contre les cyberattaques potentielles. 

Avant de commencer, un petit mot sur les licences.  Pour activer ces fonctionnalités, vous devez avoir la licence ‘Azure Active Directory Premium P1’.  Actuellement au prix de 5,10€ par licence et par mois.  Selon moi, et je n’ai pas trouvé de documentation contradictoire, il suffirait d’une licence Azure AD Premium P1 pour activer et mettre en place les accès conditionnels.  Cette fonctionnalité s’applique sur le Tenant et non les utilisateurs, donc vos utilisateurs n’ont besoin d’aucune licence spécifique pour en bénéficier.

 

Voici ce qui est dit dans la documentation officielle : Conditions de licence : « L’utilisation de cette fonctionnalité nécessite une licence Azure AD Premium P1 ».

Azure Active Directory Premium Pl 
VOUS POSSÉDEZ DÉJÀ CET ÉLÉMENT 
Ensemble fiable de fonctionnalités pour les organisations 
ayant des besoins importants en termes de gestion des 
identités et des accès. 
À partir de 5,10 € licences/mois 
a Comparaison 
Détails

Notre point de départ sera la console d’administration Azure Active Directory

https://aad.portal.azure.com/

 

Centre d'administration Azure Active Tableau de bord Tous les services FAVORIS Azure Active Directory Utilisateurs Applications d'entreprise Tableau de bord v Tableau de bord prive Nouveau tableau de bord v Neomytic neo c Azure AD Premium PI Utilisateurs et groupes ocooo Connexions des utilisateurs CD Actualiser Plein 'cran Modifier Exporter v Cloner Bienvenue dans le centre d'administration d'Azu.. Azure AD vous aide å protéger votre entreprise et valoriser vos utilisateurs. En savoir plus sur Azure AD Recommandé Sync with Windows Server AD Sync users and groups from your on- premises directory to your Azure AD Supprimer Täches rapides Azur... Ajouter un utilisateur Ajouter un utilisateur i... Ajouter un groupe Rechercher un utilisateur Rechercher un groupe Rechercher une applica... Portail Azure portal.azure.com pour Tous les • 12/01/2022 et 16 jam. Nouveautés 23 janv. 30 jam'. 6 févr Azure AD Connect Synchronisation Journaux d 'audit Afficher l•activité Azure AD makes the leaders quadrant in Gartner's 2017 Magic Quadrant for Access Management Azure Information Protection (formerly Rights Management Service) is available in the Azure portal

 

Plus précisément, dans la partie « Sécurité »Centre d•administration Azure Active Directory Tableau de bord Tous les services FAVOR'S Azure Active Directory Utilisateurs Applications d'entreprise Tableau de bord > Neomytic > Sécurité I Prise en main Rechercher (Ctrl*/) Prise en main Protéger Acces conditionnel Identity Protection Centre de sécurité Justificatifs (préversion) Gérer Score d 'identité sécurisée Emplacements nommés Méthodes d •authentification O MFA Rapport utilisateurs risque Identités de charge de travail risque (préversion) Documentation Azure Active Directory propose une gamme de fonctionnalités de sécurité afin de Prot* Acces conditionnel Azure AD Azure AD Identity Protection Azure Security Center • Score d•identité sécurisée Emplacements nommés Méthodes d•authentification Authentification multifacteur (MFA) Guide de la sécurité Pour une sécurité renforcée, nous vous recommandons ce qui suit: 5 étapes pour sécuriser votre infrastructure d•identité Guide Sur le mot de passe Azure AD Livre blanc sur la sécurité des données Azure AD • Fonctionnement de la synchronisation de hachage de mot de passe (PHS)

La première étape sera de définir les emplacements de confiance, c’est-à-dire les pays depuis lesquels la connexion à votre plateforme Microsoft 365 est autorisée.

 

Tableau de bord > Neomytic > Sécurité Sécurité I Emplacements nommés « Emplacement des pays + Emplacement des plages IP Configurer des adresses IP approuv'ées MFA Prise en main Protéger Accès conditionnel Identity Protection Centre de sécurité Justificatifs (préversion) Gérer Score d'identité sécurisée Emplacements nommés Méthodes d'authentification O MFA Les emplacements nommés sont utilisés par les rapports de sécurité Azure AD afin de réduire les faux positifs et par I Type d'emplacement : Tous les types Rechercher dans les noms Nom Aucun emplacement nommé trouvé. Type approuvé : Tous les types

 

Nous allons travailler sur base des emplacements par Pays, et donc créer un élément listant les pays de confiance.

Mon établissement étant Belge, mon hypothèse de travail sera d’autoriser les accès à ma plateforme 365 que depuis la Belgique.  A vous d’adapter en fonction de vos besoins.

Ajout d’un emplacement des pays, nommé ‘Trusted Countries’, et ne reprenant que la Belgique comme pays.  Le pays est déterminé sur base des adresses IP réservées à la Belgique, vous pouvez aussi jouer sur la localisation GPS en créant un deuxième Emplacement nommé.

Nouvel emplacement (Pays) 
O Seules les adresses IPv4 sont mappées à des pays/rëgions. Les 
adresses IPv6 sont incluses dans des pays,'régions inconnu(e)s. 
Nom 
Trusted Countries 
Déterminer remplacement avec l'adresse IP (IPv4 unique... 
Inclure des pays/régions inconnus Q) 
Rechercher dans les pays 
Nom 
x

Maintenant que ma liste ‘Blanche’ des pays de confiance est établie, je dois créer une stratégie d’accès !

Accès conditionnel – Centre d’administration Azure Active Directory

 

 

Accès conditionnel I Stratégies 
Azure Active Directory 
Vue d•ensemble (p réversion) 
stratégies 
Insights et rapports 
Diagnostiquer et résoudre les 
problèmes 
Gérer 
Emplacements nommés 
Contrôles personnalisés 
(préversion) 
Conditions d'utilisation 
Connectivité VPN 
Contexte d'authentification 
(préversion) 
Stratégies classiques 
Supervision 
Journaux de connexion 
Journaux d'audit 
+ Nouvelle stratégie v What 
Qu'est-ce que l'accès conditionnel ? 
Des commentaires ? 
L'accès conditionnel vous donne la possibilité d'appliquer des exigences d'accès quand des conditions spécifiques se produisent. Examinons quelques exemples 
Conditions 
Quand un utilisateur est en dehors du réseau de société 
Contrôle 
Ils doivent se connecter avec l'authentification multifacteur 
Quand des utilisateurs du groupe 'Responsables' se connectent Ils doivent étre sur un appareil Intune ou joint au domaine 
Vous voulez en savoir plus sur l'accès conditionnel ? 
Démarrer 
• Créer votre première stratégie en cliquant sur « -s Nouvelle stratégie » 
Spécifier les conditions et contrôles de la stratégie 
Quand vous avez terminé, n'oubliez pas d'activer la stratégie et de la créer 
Vous êtes intéressé par les scénarios courants ?

« Nouvelle Stratégie »

 

Nom de la stratégie : Countries Black List

 

Nom 
Countries Black List 
Affectations 
utilisateurs ou identités de charge de travail @ 
Tous les utilisateurs 
Applications ou actions cloud O 
Toutes les applications cloud 
Conditions Q) 
I condition sélectionnée 
Contrôles d'accès 
Octroyer (J) 
Bloquer l'accès 
Session Q) 
O contrôles sélectionnés

Cette stratégie sera
appliquée à tous les utilisateurs

 

Nom Countries Black List Affectations utilisateurs ou identités de charge de travail Tous les utilisateurs Applications ou actions cloud O Toutes les applications cloud Conditions Q) I condition sélectionnée Contrôles d'accès Octroyer Q) Bloquer l'accès Session (D O contrôles sélectionnés À quoi cette stratégie s'applique-t-elle ? Utilisateurs et groupes Inclure Exclure O Aucun @ Tous les utilisateurs O Sélectionner des utilisateurs et des groupes Tous les utilisateurs invités et externes Q) Rôles d'annuaire CD utilisateurs et groupes Ne bloquez pas votre accès ! Cette stratégie aura une incidence sur tous vos utilisateurs. Nous vous recommandons d'appliquer d'abord une stratégie à un petit ensemble d'utilisateurs pour vérifier qu'elle se comporte comme prévu.

Remarque : Dans un premier temps, il est conseillé de ne pas l’appliquer sur tous vos utilisateurs.  Il vaut mieux faire quelques tests sur un groupe restreint d’utilisateur, histoire de ne pas bloquer votre propre compte utilisateur.

Cette stratégie sera appliquée à toutes vos applications Microsoft 365Nom * Countries Black List Affectations Utilisateurs ou identités de charge de travail (D Tous les utilisateurs Applications ou actions cloud @ Toutes les applications cloud Conditions @ 1 condition sélectionnée Contrôles d'accès Octroyer CD Bloquer l'accès Session Q) O contrôles sélectionnés s'applique Applications Cloud Inclure Exclure O Aucun Toutes les applications cloud C) Sélectionner les applications n Ne bloquez pas votre accès ! Cette stratégie a un impact sur le portail Azure. Avant de continuer, assurez- vous que vous ou quelqu'un d'autre sera en mesure de revenir au portail. Ignorez cet avertissement si vous configurez une stratégie de session de navigateur persistante qui ne fonctionne correctement que si l'option Toutes les applications Cloud » est sélectionnée.

Cette stratégie sera appliquée sur ‘Tous les emplacements’

Contrôlez l'accès en fonction de la stratégie 
d'accès conditionnel pour regrouper les 
signaux, prendre des décisions et appliquer 
des stratégies organisationnelles. En savoir 
plus 
Nom 
Countries Black List 
Affectations 
Utilisateurs ou identités de charge de travail (D 
Tous les utilisateurs 
Applications ou actions cloud 
Toutes les applications cloud 
Conditions O 
1 condition sélectionnée 
Contrôles d'accès 
Octroyer CD 
Bloquer l'accès 
Session Q) 
O contrôles sélectionnés 
Contrôlez l'accès en fonction des signaux à 
partir de conditions telles que le risque, la 
plateforme d'appareil, l'emplacement, les 
applications clientes ou l'état de l'appareil. En 
savoir plus 
Plateformes d'appareils Q) 
Non configuré 
Emplacements (D 
Tous les emplacements et 1 exclus 
Applications clientes Q) 
Non configuré 
État de l'appareil (préversion) Q) 
Non configuré 
Filtre pour les appareils @ 
Non configuré 
Contrêlez l'accès des utilisateurs en fonction 
de leur emplacement physique. (En savoir plus) 
[I] III : http://aka.ms/ux_ca_locationconditian 
Configurer @ 
Non 
Inclure Exclure 
@ Tous les emplacements 
O Tous les emplacements approuvés 
O Emplacements sélectionnés

 

Mais on prendra garde à Exclure notre ‘Emplacement nommé – Trusted Countries’Contrôlez l'accès en fonction de la stratégie 
d'accès conditionnel pour regrouper les 
signaux, prendre des décisions et appliquer 
des stratégies organisationnelles. En sav.n)ir 
plus 
Nom 
Countries Black List 
Affectations 
Utilisateurs ou identités de charge de travail Q) 
Tous les utilisateurs 
Applications ou actions Cloud @ 
Toutes les applications Cloud 
Conditions Q) 
1 condition sélectionnée 
Contrôles d'accès 
Octroyer Q) 
Bloquer l'accès 
Session (D 
O contrôles sélectionnés 
Contrôlez l'accès en fonction des signaux à 
partir de conditions telles que le risque, la 
plateforme d'appareil, l'emplacement, les 
applications clientes ou l'état de l'appareil. En 
savoir plus 
Plateformes d Q) 
Non configuré 
Emplacements @ 
Tous les emplacements et 1 exclus 
Applications clientes Q) 
Non configuré 
État de l'appareil (préversion) @ 
Non configuré 
Filtre pour les appareils @ 
Non configuré 
Contrôlez l'accès des utilisateurs en fonction 
de leur emplacement physique. [En savoir plus] 
[Il [I] : http://aka.ms/ux_ca_locationcondition 
Configurer @ 
Non 
Inclure Exclure 
Sélectionner les emplacements à exclure de 
la stratégie 
C) Tous les emplacements approuvés 
@ Emplacements sélectionnés 
Sélectionner 
Trusted Countries 
Trusted Countries

Cette stratégie, si elle est vérifiée, va bloquer la connexion

 

Contrôles d'accès 
Octroyer (D 
Bloquer l'accès 
Session Q) 
O contrôles sélectionnés