Stratégie d’accès conditionnel pour renforcer la sécurité Active Directory

Comprendre la stratégie d’accès conditionnel

Le modèle du télétravail s’est avéré favorable aux entreprises et au personnel et devrait perdurer. Les utilisateurs distants étant plus exposés aux cyberattaques, il faut établir des mesures de sécurité strictes comme la MFA Active Directory. pour éviter les violations de données dans le réseau. Toutefois, l’application d’une stratégie d’accès stricte et globale comme la MFA risque de nuire à l’expérience utilisateur. Alors que l’authentification à deux ou trois facteurs sécurise la connexion à distance, elle peut créer une complication inutile pour les utilisateurs Active Directory sur site déjà protégés au sein du périmètre du bureau. Une approche plus efficace consiste à appliquer des stratégies d’accès conditionnel selon le contexte. Elle permet à l’entreprise de :

• Déployer des contrôles d’accès sans intervention de l’administrateur.
• Améliorer l’état de sécurité de l’entreprise sans nuire à l’expérience utilisateur.

Qu’est-ce que l’accès conditionnel ? Quelles sont les conditions d’accès courantes analysées ?

L’accès conditionnel applique une série de règles qui analysent diverses conditions d’accès, comme l’adresse IP, l’heure d’accès, l’appareil et la géolocalisation de l’utilisateur, pour imposer des décisions de contrôle d’accès automatisées. Les décisions s’appliquent en temps réel selon ces facteurs contextuels pour éviter d’imposer des mesures de sécurité inutilement strictes en l’absence de risque. Cela assure une meilleure expérience utilisateur sans affecter la sécurité.

L’accès conditionnel permet d’établir certains scénarios courants et les mesures de sécurité correspondantes, comme :

• Obligation de vérification multifacteur pour les utilisateurs privilégiés.
• Instauration de la MFA pour l’accès externe à des applications stratégiques de tout le personnel.
• Blocage de l’accès à des opérations à haut risque comme les demandes de réinitialisation de mot de passe en libre-service d’adresses IP non approuvées ou d’appareils inconnus.

Stratégie d’accès conditionnel Active Directory avec ADSelfService Plus

Bases de la création d’une règle d’accès conditionnel dans ADSelfService Plus :

• Conditions

  Cela comprend la liste des facteurs déterminant la sécurité de l’entreprise. ADSelfService Plus permet de configurer des conditions selon les facteurs de risque suivants :

  • Adresse IP (approuvée ou pas)
  • Appareil (type d’appareil et plateforme)
  • Heures d’ouverture (pendant et en dehors)
  • Géolocalisation (selon l’origine de la demande)

• Critères

  Une fois les conditions configurées, on peut créer un critère avec des opérateurs comme AND, OR ou NOT. Il s’agit du critère associé à la stratégie d’accès.

• Stratégie d’accès

  On associe ensuite les critères à une stratégie d’accès prédéfinie, désignée dans ADSelfService Plus comme une stratégie de libre-service. Les administrateurs peuvent créer des stratégies de libre-service et offrir certaines fonctions à des utilisateurs appartenant à des domaines, des unités d’organisation (OU) ou des groupes donnés.

Pour en savoir plus sur la création de règles d’accès conditionnel, consultez les guides sur la configuration de stratégie de libre-service et de l’accès conditionnel.

1. Un utilisateur Active Directory se connecte à sa machine et tente d’accéder à une application ou l’une des fonctions en libre-service d’ADSelfService Plus.
2. Sur la base des conditions prédéfinies, les facteurs de risque comme l’adresse IP, l’heure d’accès et la géolocalisation sont analysés.
3. Si les données remplissent les conditions, une stratégie de libre-service est affectée à l’utilisateur pour permettre l’une de ces opérations :
   • Accès complet au compte du domaine et aux fonctions
   • Accès sécurisé via la MFA
   • Accès limité à certaines fonctions
   • Accès restreint à des fonctions particulières
4. Si l’utilisateur ne remplit pas l’une des règles d’accès conditionnel établies, une stratégie de libre-service s’applique selon son groupe ou unité d’organisation.

Cas d’usage illustrant comment fonctionne une stratégie d’accès conditionnel

Cas d’usage 1 : Besoin de sécuriser la connexion à distance au domaine Active Directory (AD) d’une entreprise via la MFA

Dans cet exemple, supposons qu’un personnel hybride représente 50 % des effectifs de l’entreprise. Les utilisateurs distants représentent quant à eux 20 %. Les 30 % restants sont des utilisateurs sur site. Il faut imposer l’authentification multifacteur aux utilisateurs se connectant à distance. Dans ce scénario, le recours à l’accès conditionnel implique :

1. Application d’une stratégie de libre-service pour l’authentification multifacteur sur les terminaux.
2. Configuration de deux conditions :
   • Adresse IP : une liste d’adresses IP approuvées est établie.
   • Localisation : choix d’emplacements en dehors des locaux de l’entreprise.
3. Création des critères suivants :
   • (NOT adresses IP approuvées) AND emplacements choisis
4. Le critère est associé à la stratégie de libre-service.

Voici comment fonctionne la stratégie d’accès conditionnel :

Lorsqu’un utilisateur tente de se connecter à une machine, son adresse IP et sa géolocalisation sont analysées. S’il ne s’agit pas d’une adresse IP approuvée et d’un emplacement choisi, le critère est satisfait et la stratégie de libre-service associée à l’utilisateur pour établir une authentification multifacteur sur le terminal. Si les conditions ne sont pas remplies, une autre stratégie de libre-service applicable à l’utilisateur est affectée.

Cas d’usage 2 : N’autoriser que les utilisateurs ayant des machines jointes au domaine à accéder à des applications d’entreprise via l’authentification unique

On utilise souvent des applications d’entreprise pour traiter et stocker des données utilisateur sensibles. La plupart des applications sont à présent déployées dans le cloud et à l’extérieur du périmètre de sécurité du réseau, en faisant une cible privilégiée des cyberattaques. Elles utilisent des techniques d’hameçonnage ou d’autre type pour accéder aux applications et exfiltrer des données à distance. L’accès conditionnel permet de n’autoriser que les utilisateurs ayant un ordinateur joint au domaine à accéder à des applications importantes qui contiennent des données sensibles. On peut aller plus loin et ne permettre qu’à une liste d’adresses IP approuvées d’accéder à des applications vitales, pour veiller à empêcher des attaquants d’y accéder même s’ils volent des identifiants d’utilisateur. Voici un exemple de configuration d’une règle d’accès conditionnel pour ce scénario :

1. Configuration d’une stratégie de libre-service activant l’authentification unique pour les applications concernées.
2. Configuration de deux conditions :
   • Selon l’adresse IP : une liste d’adresses IP approuvées est établie.
   • Selon l’appareil : tous les objets ordinateur joints au domaine sont choisis.
3. Création des critères suivants :
   • adresses IP approuvées AND objets ordinateur choisis
4. Association du critère à la stratégie de libre-service créée.

Voici comment fonctionne la règle d’accès conditionnel :

Lorsqu’un utilisateur tente de se connecter à une application d’entreprise via la SSO, l’adresse IP de l’appareil et le type sont analysés. S’il s’agit d’une adresse IP approuvée et que l’objet ordinateur appartient au domaine AD, le critère créé est rempli. La stratégie de libre-service associée au critère est alors affectée à l’utilisateur. Cela permet à l’utilisateur d’accéder aux applications d’entreprise via la SSO.

Avantages de l’accès conditionnel avec ADSelfService Plus

• Choix parmi 20 facteurs d’authentification forte, including clés FIDO ou la biométrie, pour adopter la MFA.
• Contrôle d’accès aux machines, VPN, OWA, RDP et centre d’administration Exchange dans une seule console.
• Mise en place de stratégies d’accès conditionnel fines pour différents services de l’organisation.