Configuration de l'accès conditionnel pour la récupération de compte Entra ID

Introduction

La récupération de compte dans Microsoft Entra ID a considérablement évolué avec l'introduction de la vérification d'identité automatisée. Cependant, cette fonctionnalité présentait initialement une lacune majeure : l'absence de contrôles d'accès conditionnel (CA). Cette limitation pouvait potentiellement créer une porte dérobée pour les attaquants, leur permettant de compromettre des comptes en exploitant le processus de récupération.

Bonne nouvelle

Microsoft déploie progressivement le support de l'accès conditionnel pour la récupération de compte, selon l'élément 529855 de la roadmap officielle.

L'importance stratégique de cette mise à jour

Avant l'introduction de la récupération de compte Entra ID, la perte de toutes les méthodes d'authentification nécessitait obligatoirement l'intervention du service d'assistance technique. La nouvelle fonctionnalité de récupération automatisée permet aux utilisateurs de récupérer leur accès via une vérification d'identité approfondie avec un fournisseur de confiance.

La mise à jour apporte deux éléments cruciaux :

La possibilité de cibler l'action utilisateur spécifique urn:user:accountrecovery dans les stratégies d'accès conditionnel
L'intégration du contrôle verifiedID pour renforcer la sécurité du processus

Contrôle administrateur

Cette évolution permet aux administrateurs de définir précisément les conditions à remplir avant qu'un utilisateur puisse utiliser le processus de récupération par identité vérifiée.

Bien que les conditions exactes supportées ne soient pas encore entièrement définies, les administrateurs pourront potentiellement contrôler :

Localisation géographique : Limiter la récupération à certaines zones
Conformité des appareils : Exiger des dispositifs gérés
Plateforme : Restreindre selon le système d'exploitation

Configuration de la stratégie d'accès conditionnel

La mise en œuvre de cette stratégie reste accessible, même si le déploiement complet est prévu pour mai 2026. Certaines fonctionnalités sont d'ores et déjà disponibles dans le centre d'administration Entra.

Accès au centre d'administration

Connectez-vous à entra.microsoft.com et naviguez vers Entra ID > Accès conditionnel.

Création depuis un modèle

Sélectionnez Créer une nouvelle stratégie à partir de modèles dans l'interface principale.

Recherche du modèle spécialisé

Saisissez verified dans la barre de recherche. Le modèle Secure account recovery with identity verification (Preview) apparaîtra uniquement lors d'une recherche active.

Validation et création

Sélectionnez la stratégie trouvée et cliquez sur Réviser + Créer pour finaliser la configuration.

Déploiement via PowerShell et Microsoft Graph

Pour une approche programmatique, utilisez l'applet de commande Invoke-MgGraphRequest avec Microsoft Graph PowerShell :

⚡PowerShell

1$body = @{
2    sessionControls = $null
3    conditions = @{
4        userRiskLevels = @()
5        signInRiskLevels = @()
6        clientAppTypes = @("all")
7        servicePrincipalRiskLevels = @()
8        applications = @{
9            includeApplications = @()
10            excludeApplications = @()
11            includeUserActions = @("urn:user:accountrecovery")
12            includeAuthenticationContextClassReferences = @()
13            applicationFilter = $null
14        }
15        users = @{
16            includeUsers = @("All")
17            excludeUsers = @()
18            includeGroups = @()
19            excludeGroups = @()
20            excludeGuestsOrExternalUsers = @{
21                guestOrExternalUserTypes = "b2bCollaborationGuest,b2bCollaborationMember,b2bDirectConnectUser,otherExternalUser,serviceProvider"
22                externalTenants = @{
23                    "@odata.type" = "#microsoft.graph.conditionalAccessAllExternalTenants"
24                    membershipKind = "all"
25                }
26            }
27        }
28    }
29    grantControls = @{
30        operator = "AND"
31        builtInControls = @("verifiedID")
32        customAuthenticationFactors = @()
33        authenticationStrength = $null
34    }
35    displayName = "Secure account recovery with identity verification (Preview)"
36}
37 
38Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/beta/identity/conditionalAccess/policies" -Body $body

Analyse technique de la stratégie

La configuration repose sur deux composants fondamentaux qui définissent son efficacité :

Ciblage de l'action utilisateur

L'élément crucial se trouve dans la condition applications où nous spécifions :

{}JSON

1"includeUserActions": ["urn:user:accountrecovery"]

Cette directive indique à Entra ID que la stratégie ne s'applique pas à une ressource ou un contexte spécifique, mais exclusivement à l'action de récupération elle-même.

Contrôle par identité vérifiée

Le second pilier réside dans la section grantControls :

{}JSON

1"builtInControls": ["verifiedID"]

Principe de fonctionnement

Cette configuration impose littéralement : "Pour récupérer votre compte, vous devez présenter une identité vérifiée." Cette approche garantit un niveau de sécurité élevé.

Perspectives et recommandations

Bien que cette évolution représente un progrès significatif, elle soulève des questions sur la stratégie de déploiement de Microsoft. Le lancement de fonctionnalités de sécurité sans contrôles appropriés constitue une pratique risquée, particulièrement dans un contexte professionnel.

Attention aux déploiements précipités

Il est essentiel que les organisations évaluent soigneusement ces nouvelles fonctionnalités avant leur mise en production, même lorsqu'elles proviennent de fournisseurs établis.

La réactivité de Microsoft pour combler cette lacune via l'accès conditionnel démontre néanmoins une approche responsable face aux retours de la communauté.

Liens de référence officiels Microsoft

Glossaire des termes techniques

Accès conditionnel (Conditional Access) : Système de contrôle d'accès basé sur des politiques qui évalue les conditions avant d'autoriser l'accès aux ressources.

Entra ID : Service d'identité et de gestion des accès de Microsoft, anciennement Azure Active Directory.

Identité vérifiée (Verified ID) : Système de vérification d'identité décentralisé basé sur des standards ouverts permettant la vérification cryptographique d'identité.

Microsoft Graph : API unifiée de Microsoft permettant d'accéder aux données et services Microsoft 365, Windows 10 et Enterprise Mobility + Security.

URN (Uniform Resource Name) : Identifiant unique utilisé pour nommer des ressources de manière persistante, ici urn:user:accountrecovery.

Stratégie d'accès conditionnel : Règle configurée dans Entra ID définissant les conditions et contrôles d'accès pour des scénarios spécifiques.

Contrôles de subvention (Grant Controls) : Mécanismes de sécurité qui doivent être satisfaits avant qu'un accès soit accordé dans une stratégie d'accès conditionnel.