Introduction
Microsoft Entra Authentication Contexts offrent une solution puissante pour renforcer la sécurité des actions sensibles et des ressources critiques. Ces Contextes permettent une granularité accrue dans l'application des politiques d'accès conditionnel, parfaitement adaptées aux scénarios où la protection doit être stricte et ciblée.
Bon a savoir
Les Authentication Contexts sont disponibles avec une licence incluant l'accès conditionnel, tel que Microsoft Entra ID P1.
Qu'est-ce qu'un Authentication Context ?
Un Authentication Context est un tag utilisé dans Entra pour appliquer des politiques d'accès conditionnel à des actions ou ressources spécifiques. Cela inclut :
- Actions protégées
- Rôles de gestion des identités privilégiées (PIM)
- Étiquettes de sensibilité
Chaque organisation peut créer jusqu'à 99 contextes distincts (c1-c99). Ces contextes peuvent être réutilisés pour diverses applications ou points d'accès, et ciblés par plusieurs politiques d'accès conditionnel simultanément.
Astuce
Un contexte peut être configuré pour exiger des méthodes d'authentification spécifiques, comme les solutions résistantes au phishing.
Pourquoi utiliser les Authentication Contexts ?
La plupart des solutions d'accès conditionnel offrent une protection standard. Cependant, pour des environnements hautement sensibles ou des rôles critiques, une sécurité renforcée est essentielle. Voici pourquoi :
- Prévention contre les attaques : Même avec une authentification réussie, des contrôles supplémentaires réduisent les risques liés aux attaques par token volé.
- Minimisation des erreurs humaines : Les politiques ciblées limitent les actions pouvant entraîner des conséquences involontaires.
- Conformité avancée : Permet de satisfaire les exigences réglementaires ou contractuelles strictes.
Gestion des Authentication Contexts dans Entra
Création d'un Authentication Context
Accéder au portail
Connectez-vous au portail Microsoft Entra et naviguez dans l'onglet Accès conditionnel.
Créer un contexte
Cliquez sur Nouveau contexte d'authentification, nommez-le et ajoutez une description si nécessaire. Sélectionnez l'ID du contexte et publiez-le aux applications.
Utilisation dans une politique
Associez ce contexte aux politiques d'accès conditionnel ou ciblez-le sur des actions spécifiques.
Suppression d'un Authentication Context
La suppression d'un contexte entraîne également son retrait des politiques liées. Assurez-vous de dépublier ou d'archiver les politiques avant de procéder.
Utilisation des Authentication Contexts dans différents scenarii
Actions protégées
Les actions protégées sont des tâches critiques nécessitant des contrôles supplémentaires :
- Accès administrateur
- Création de politiques d'accès conditionnel
Configurer des actions protégées
Accédez à Rôles et administrateurs → Actions protégées, puis ajoutez les actions à protéger.
Associer un contexte
Sélectionnez le contexte d'authentification à appliquer à ces actions.
Étiquettes de sensibilité
Les étiquettes de sensibilité permettent de classifier et de protéger les données critiques en combinant Contextes et stratégies rigoureuses.
Attention
Les étiquettes ne sont pas prises en charge par toutes les applications. Vérifiez les compatibilités dans la documentation officielle.
Exemple de configuration via PowerShell :
1Set-SPOSite -identity https://<yourcompany>.sharepoint.com/sites/<siteName> -ConditionalAccessPolicy AuthenticationContext -AuthenticationContextName "Contexte affiché"Microsoft Defender pour Cloud Apps
Entra offre la capacité d'imposer une authentification renforcée en temps réel pour des sessions Web via Defender pour Cloud Apps. Cela est particulièrement utile pour les téléchargements de fichiers sensibles.
Astuce
Configurez des politiques dans Defender pour exiger des identifiants résistants au phishing avant des opérations critiques.
Glossaire
- PIM : Gestion des identités privilégiées permettant une activation des rôles "Just-in-Time".
- MFA : Authentification multi-facteurs utilisée pour renforcer la sécurité de la connexion.
- MDCA : Microsoft Defender pour Cloud Apps supervisant les sessions applicatives.