Bloquer les utilisateurs
Le Onglet Bloquer les utilisateurs comprend des paramètres qui renforcent la sécurité des comptes en empêchant les tentatives d’accès non autorisées. Lorsque les utilisateurs dépassent un nombre prédéfini de vérifications d’identité invalides ou de tentatives d’actions en libre-service, ADSelfService Plus peut automatiquement bloquer leur accès—soit temporairement, soit jusqu’à l’intervention d’un administrateur. Cela minimise les attaques par force brute et renforce la posture d’authentification globale sur tous les points d’accès protégés par ADSelfService Plus.
Limitations
- Les échecs MFA avec Duo Security ou l’authentification par carte à puce ne sont pas comptabilisés dans le seuil de blocage car ces authentificateurs mettent en œuvre leurs propres mécanismes de blocage et de verrouillage.
- Le blocage est appliqué uniquement pour les opérations et points d’accès protégés par ADSelfService Plus ; il ne remplace ni ne contredit les politiques natives de verrouillage de compte configurées dans votre domaine AD.
Configurer le blocage des utilisateurs
- Connectez-vous à ADSelfService Plus avec des identifiants administratifs.
- Accédez à Configuration > Libre-service > Configuration des politiques.
- Dans la liste des politiques, cliquez sur l’icône Avancé pour la politique pour laquelle vous souhaitez activer le blocage des utilisateurs.
- Dans la fenêtre contextuelle, sélectionnez Onglet Bloquer les utilisateurs.
- Sous Bloquer les utilisateurs qui échouent à la vérification d’identité, configurez les paramètres suivants :
- Définir le seuil
Utilisez Autoriser un maximum de X tentatives invalides en Y minutes pour spécifier le nombre d’échecs de vérification d’identité autorisés dans une fenêtre temporelle spécifique.
- Définir la limite de blocage
Utilisez Bloquer les utilisateurs pendant une période de X minutes pour définir la durée du blocage. Après expiration du temps spécifié, l’utilisateur est débloqué automatiquement. Vous pouvez définir une période en minutes ou sélectionner Toujours pour maintenir l’utilisateur bloqué jusqu’à ce qu’un administrateur le débloque manuellement.
- Cliquez sur OK pour enregistrer vos modifications.
Remarque
Chaque tentative échouée de vérification d’identité compte dans la limite, y compris :
- Saisie de mot de passe incorrecte
- Codes de secours invalides
- Soumissions de OTP incorrectes ou expirées, y compris lors de l’enrôlement
- Échecs de vérifications MFA, sauf pour Duo Security et carte à puce
Pendant qu’il est bloqué, l’utilisateur :
- Ne peut pas réinitialiser les mots de passe ni déverrouiller les comptes via ADSelfService Plus
- Ne peut pas se connecter aux applications ou aux appareils finaux qui utilisent ADSelfService Plus pour l’authentification/MFA
Restreindre les actions en libre-service
Pour atténuer davantage les attaques automatisées, vous pouvez limiter la fréquence des opérations en libre-service des utilisateurs.
- Dans la même fenêtre Paramètres avancés , naviguez à la section Restreindre les actions en libre-service .
- Configurez les paramètres suivants :
- Autoriser les utilisateurs à réinitialiser les mots de passe seulement X fois en Y jours: Définissez une limite sur les réinitialisations de mot de passe sur une période spécifique. Par exemple, autoriser trois réinitialisations en sept jours empêche un utilisateur de réinitialiser son mot de passe plus de trois fois par semaine.
- Autoriser les utilisateurs à débloquer les comptes seulement X fois en Y jours: Définissez une limite sur les déblocages de compte sur une période spécifique. Par exemple, cinq déblocages en 30 jours signifie que les utilisateurs ne peuvent pas débloquer leur compte plus de cinq fois par mois.
- Cliquez sur OK pour enregistrer vos modifications.
Auditer les utilisateurs bloqués
Vous pouvez consulter la liste des utilisateurs ayant échoué la vérification d’identité et ayant été bloqués pour accéder à ADSelfService Plus.
- Dans le portail administrateur d’ADSelfService Plus, accédez à Rapports > Rapports de libre-service mot de passe > Rapport des utilisateurs bloqués.
- Sélectionnez la politique concernée pour laquelle vous souhaitez afficher la liste des utilisateurs bloqués et spécifiez la période.
- Cliquez sur Générer.
- Consulter :
- Utilisateurs actuellement bloqués
- Utilisateurs précédemment bloqués et leur historique de blocage/déblocage
- Horodatages indiquant quand les utilisateurs ont été bloqués
Cliquez ici pour en savoir plus sur le Rapport des utilisateurs bloqués.
Débloquer les utilisateurs
Pour débloquer des utilisateurs,
- Accédez à Rapports > Rapports de libre-service mot de passe > Rapport des utilisateurs bloqués.
- Choisissez la politique et cliquez sur Générer.
- Sélectionnez les cases à cocher à côté des utilisateurs que vous souhaitez débloquer dans la liste.
- Cliquez sur Débloquer, puis cliquez sur OK pour confirmer.
Conseils
- Fixez des seuils raisonnables pour les tentatives invalides afin d’équilibrer facilité d’utilisation et sécurité.
- Révisez périodiquement le Rapport des utilisateurs bloqués pour identifier des motifs pouvant indiquer des attaques ciblées.
- Encouragez les utilisateurs à s’enregistrer aux méthodes MFA et à maintenir leurs informations de récupération à jour pour réduire les échecs de vérification.
- Utilisez le blocage temporaire plutôt que le blocage permanent sauf si la politique de sécurité l’exige.
- Appliquez des politiques séparées pour les comptes à privilèges élevés afin d’imposer des limites de vérification plus strictes.
Vous ne trouvez pas ce que vous cherchez ?
-
Visitez notre communauté
Publiez vos questions sur le forum.
-
Demandez des ressources supplémentaires
Envoyez-nous vos besoins.
-
Besoin d’aide à l’implémentation ?
Essayez OnboardPro
ADManager Plus
ADAudit Plus
Exchange Reporter Plus
M365 Manager Plus
Sujet précédent