Stratégies d’accès conditionnel
Accueil »  Fonctionnalités  » Stratégies d’accès conditionnel

Accès conditionnel

Le modèle du télétravail s’est avéré favorable pour les organisations et nombre d’entre elles offrent maintenant cette possibilité à leur personnel. Les utilisateurs distants étant plus exposés aux cyberattaques, il faut établir des mesures de sécurité strictes comme l’authentification multifacteur (MFA) pour éviter des incidents. Toutefois, l’application d’une stratégie d’accès stricte à toute l’organisation risque de nuire à l’expérience utilisateur. Alors que l’authentification à deux ou trois facteurs sécurise la connexion distante, elle peut créer une complication inutile pour les utilisateurs sur site déjà protégés au sein du périmètre du bureau. Une approche plus efficace consiste à appliquer des stratégies d’accès contextuelles. La fonctionnalité de stratégie d’accès conditionnel qu’offre ADSelfService Plus le permet. Cette fonctionnalité aide les organisations à :

  • Déployer des contrôles d’accès sans intervention de l’administrateur.
  • Améliorer le niveau de sécurité de l’organisation sans nuire à l’expérience utilisateur.

Automatisation de décisions d’accès conditionnel

L’accès conditionnel applique une série de règles qui analysent divers facteurs de risque, comme l’adresse IP, l’heure d’accès, l’appareil et la géolocalisation de l’utilisateur, pour imposer des décisions de contrôle d’accès automatisées. Les décisions s’appliquent en temps réel selon les facteurs de risque de l’utilisateur pour éviter des mesures de sécurité inutilement strictes imposées en l’absence de risque. On garantit ainsi une meilleure expérience utilisateur sans nuire à la sécurité.

L’accès conditionnel permet d’établir certains scénarios courants et les mesures de sécurité correspondantes :

  • Authentification biométrique obligatoire à la connexion de l’administrateur.
  • Accès à des applications importantes limité à des machines autorisées via l’authentification unique (SSO).
  • Instauration de trois niveaux d’authentification pour les demandes de réinitialisation de mot de passe d’adresses à risque ou de clients pas membres du domaine.

Mode de fonctionnement de l’accès conditionnel

Avant d’apprendre comment fonctionne l’accès conditionnel, examinons les bases de la création d’une règle d’accès conditionnel :

  1. Conditions

    Cela comprend la liste des facteurs déterminant la sécurité de l’organisation. ADSelfService Plus permet de configurer des conditions selon les facteurs de risque suivants :

    • Adresse IP (de confiance et à risque)
    • Appareil (type d’appareil et plateforme)
    • Heures de bureau (heures d’ouverture et fermeture)
    • Géolocalisation (selon l’origine de la demande)
  2. Critères

    Une fois les conditions configurées, on peut créer un critère avec des opérateurs comme AND, OR et NOT. On associe ensuite ce critère à la stratégie d’accès.

  3. Stratégies d’accès

    On associe ensuite des critères à une stratégie d’accès prédéfinie, désignée dans ADSelfService Plus comme une stratégie de libre-service. Les administrateurs peuvent créer des stratégies de libre-service et activer des fonctions données pour des utilisateurs appartenant à certains domaines, unités d’organisation et groupes.

Pour en savoir plus sur la création de règles d’accès conditionnel, consultez les guides sur la configuration de stratégie de libre-service et d’accès conditionnel.

Une fois une règle d’accès conditionnel établie, voici le processus :

conditional-access-policy

  1. Un utilisateur tente de se connecter à sa machine ou, après sa connexion, tente d’accéder à une application ou l’une des fonctions en libre-service d’ADSelfService Plus.
  2. Sur la base des conditions prédéfinies, les facteurs de risque comme l’adresse IP, l’heure d’accès et la géolocalisation sont analysés.
  3. Si les données remplissent les conditions, une stratégie de libre-service est affectée à l’utilisateur pour permettre l’une de ces opérations :
    • Accès complet au compte du domaine et aux fonctions.
    • Accès sécurisé avec l’authentification multifacteur.
    • Accès limité à certaines fonctions.
    • Accès restreint à des fonctions particulières.
  4. Si l’utilisateur ne remplit pas l’une des règles d’accès conditionnel établies, une stratégie de libre-service s’applique selon son groupe ou unité d’organisation.

Voici quelques cas d’usage illustrant le processus ci-dessus.

Cas d’usage 1 : protéger la connexion distante au domaine Active Directory (AD) d’une organisation via l’authentification multifacteur.

Dans cet exemple, supposons que les utilisateurs sur site représentent 50 % du personnel de l’organisation. Les utilisateurs distants représentent quant à eux 20 %. Le reste (30 %) sont des utilisateurs alternant entre le travail sur site et le télétravail au besoin. Il faut appliquer l’authentification multifacteur pour les utilisateurs se connectant à distance. Dans ce scénario, le recours à l’accès conditionnel implique :

  1. Application d’une stratégie de libre-service pour l’authentification multifacteur sur les terminaux.
  2. Configuration de deux conditions :
    • Adresse IP : une liste d’adresses IP de confiance est établie.
    • Emplacement : choix d’emplacements en dehors des locaux de l’organisation.
  3. Création des critères suivants :

    (NOT adresses IP de confiance) AND emplacements choisis

  4. Le critère est associé à la stratégie de libre-service.

Voici comment fonctionne la stratégie d’accès conditionnel :

Lorsqu’un utilisateur tente de se connecter à une machine, son adresse IP et sa géolocalisation sont analysées. S’il ne s’agit pas d’une adresse IP de confiance et d’un emplacement choisi, le critère est satisfait et la stratégie de libre-service associée à l’utilisateur pour appliquer une authentification multifacteur sur le terminal. Si les conditions ne sont pas remplies, une autre stratégie de libre-service s’appliquant à l’utilisateur lui est associée.

Cas d’usage 2 : n’autoriser que les utilisateurs ayant des machines jointes au domaine à accéder à des applications d’entreprise via l’authentification unique.

On utilise souvent des applications d’entreprise pour traiter et stocker des données utilisateur sensibles. La plupart des applications sont maintenant déployées dans le cloud et en dehors du périmètre de sécurité du réseau, ce qui en fait une cible privilégiée des cyberattaques. Elles utilisent des techniques d’hameçonnage ou d’autre type pour accéder aux applications et exfiltrer des données à distance. L’accès conditionnel permet de n’autoriser que les utilisateurs ayant un ordinateur joint au domaine à accéder à des applications importantes qui contiennent des données sensibles. On peut aller plus loin et ne permettre qu’à une liste d’adresses IP de confiance d’accéder à des applications cruciales, pour veiller à empêcher des attaquants d’y accéder même s’ils volent des identifiants d’utilisateur. Voici un exemple de configuration d’une règle d’accès conditionnel pour ce scénario :

  1. Configuration d’une stratégie de libre-service activant l’authentification unique pour les applications concernées.
  2. Configuration de deux conditions :
    • selon l’adresse IP : une liste d’adresses IP de confiance est établie.
    • selon l’appareil : tous les objets ordinateur joints au domaine sont sélectionnés.
  3. Création des critères suivants :

    adresses IP de confiance AND objets ordinateur sélectionnés

  4. Association du critère à la stratégie de libre-service créée.

Voici comment fonctionne la règle d’accès conditionnel :

Lorsqu’un utilisateur tente de se connecter à une application d’entreprise via l’authentification unique, l’adresse IP de l’appareil et le type sont analysés. S’il s’agit d’une adresse IP de confiance et que l’objet ordinateur appartient au domaine AD, le critère créé est rempli. La stratégie de libre-service associée au critère est alors affectée à l’utilisateur. L’utilisateur peut ainsi accéder à des applications d’entreprise via l’authentification unique.

Outil de réinitialisation de mot de passe en libre-service pour Windows AD, G Suite, etc.

Obtenez votre essai gratuit  
Points forts

Libre-service de mot de passe

Libérez les utilisateurs d'Active Directory d'assister à de longs appels au service d'assistance en leur permettant d'effectuer en libre-service leurs tâches de réinitialisation de mot de passe/de déverrouillage de compte. Changement de mot de passe sans tracas pour les utilisateurs d'Active Directory avec la console ADSelfService Plus « Changer le mot de passe ».

Une identité avec authentification unique

Obtenez un accès transparent en un clic à plus de 100 applications cloud. Avec l'authentification unique d'entreprise, les utilisateurs peuvent accéder à toutes leurs applications cloud avec leurs informations d'identification Active Directory. Merci à ADSelfService Plus !

Notification d'expiration de mot de passe/compte

Informez les utilisateurs d'Active Directory de l'expiration imminente de leur mot de passe/compte en leur envoyant ces notifications d'expiration de mot de passe/compte.

Synchroniseur de mot de passe

Synchronisez automatiquement les modifications de mot de passe/compte utilisateur Windows Active Directory sur plusieurs systèmes, notamment Office 365, G Suite, IBM iSeries et plus encore.

Application de la politique de mot de passe

Garantissez des mots de passe utilisateur forts qui résistent à diverses menaces de piratage avec ADSelfService Plus en obligeant les utilisateurs d'Active Directory à adhérer à des mots de passe conformes via l'affichage des exigences de complexité des mots de passe.

Mise à jour automatique de l'annuaire et recherche d'entreprise

Portail qui permet aux utilisateurs d'Active Directory de mettre à jour leurs dernières informations et une fonction de recherche rapide pour rechercher des informations sur leurs pairs en utilisant des clés de recherche, comme le numéro de contact, de la personnalité recherchée.