Sujet précédent Sujet suivant

Accès conditionnel

L’accès conditionnel (CA) est le processus qui consiste à autoriser l’accès aux ressources informatiques en fonction de conditions prédéfinies. En créant des politiques d’accès basées sur les types d’appareils des utilisateurs, l’heure d’accès, les adresses IP ou la géolocalisation, vous pouvez contrôler strictement l’accès à votre réseau et à vos données. Le CA offre une sécurité renforcée et aide à empêcher les attaquants d’accéder aux ressources informatiques tout en garantissant une expérience utilisateur fluide en permettant aux utilisateurs approuvés d’accéder sans interruptions répétées de sécurité. En savoir plus sur les avantages de l’accès conditionnel.

ADSelfService Plus vous permet d’appliquer le CA sur les postes de travail, les applications connectées, les points d’extrémité protégés et diverses autres fonctionnalités d’ADSelfService Plus, en veillant à ce que l’accès soit limité aux utilisateurs vérifiés et autorisés.

Comprendre le fonctionnement de l’accès conditionnel dans ADSelfService Plus

L’accès conditionnel repose sur certains critères, traités via une fonction logique pour créer une condition. Les utilisateurs répondant à cette condition obtiennent un accès à ADSelfService Plus selon une politique spécifique, appelée règle CA. Cette règle détermine la politique d’auto-service qui sera appliquée à un utilisateur, et à son tour les méthodes d’authentification multi-facteurs (MFA), les applications cloud, et les fonctionnalités d’auto-service activées pour cet utilisateur.

Conditions

Les conditions sont des facteurs liés à l’utilisateur, tels que le type d’appareil, l’adresse IP ou la géolocalisation. Dans cette section, vous pouvez définir vos conditions puis les sélectionner pour définir vos critères selon vos besoins. Vous pouvez définir et sélectionner vos conditions selon les facteurs suivants :

Adresse IP : Si configuré, le CA évaluera la connexion entrante en fonction de l’adresse IP de l’appareil initiant la connexion. Vous pouvez choisir le type d’adresses IP pour lesquelles vous configurez la condition : IP statiques, IP de serveur proxy ou IP VPN. Vous pouvez aussi définir si les adresses IP spécifiées sont des IP de confiance ou non.

Appareil : Vous pouvez configurer cette condition pour évaluer la connexion entrante en fonction du type d’appareil d’origine : objets ordinateur spécifiques et/ou la plateforme (Windows, macOS, Linux, application web mobile ou application mobile native) sur laquelle ils fonctionnent.

Heures ouvrables : Vous pouvez définir les heures ouvrables et non ouvrables, et choisir d’évaluer la connexion entrante selon qu’elle se produise pendant les heures ouvrables (ou non).

Géolocalisation : Configurez cette condition pour évaluer les connexions entrantes en fonction du pays d’origine.

Critères

Une fois que vous avez défini et activé les conditions selon vos besoins, vous pouvez combiner les conditions activées en utilisant AND, OR, et NOT opérateurs pour formuler un critère qui déterminera comment les différentes conditions sont évaluées pour décider du résultat de la demande d’accès.

Par exemple, supposons que vos utilisateurs sont répartis dans le monde entier sauf dans certains pays. Vous devez faire en sorte qu’ils accèdent aux ressources uniquement pendant les heures ouvrables et uniquement depuis des adresses IP de confiance. Dans ce cas, vous devez activer :

1. Condition d’adresse IP (avec les IP de confiance).
2. Condition d’heures ouvrables (avec l’heure autorisée).
3. Condition de géolocalisation (avec les pays où vous n’avez pas d’utilisateurs).

Ensuite, vous pouvez utiliser une fonction logique comme celle-ci pour formuler votre critère :

Critère : 1 AND 2 AND (NOT 3)

Règle CA

En associant le critère à une ou plusieurs politiques d’auto-service, vous créez une règle CA. Une politique d’auto-service vous permet d’activer les fonctionnalités du produit et de configurer son fonctionnement pour différents groupes d’utilisateurs selon leur unité organisationnelle (OU) et leur appartenance aux groupes.

Si vous créez plusieurs règles CA, vous pouvez choisir de les prioriser. Ainsi, si un utilisateur correspond à plusieurs règles CA, la règle de plus haute priorité s’appliquera, et par la suite, les politiques d’auto-service associées à cette règle seront appliquées à l’utilisateur. Si un utilisateur ne correspond à aucune règle CA, les politiques d’auto-service seront appliquées selon la priorité définie dans la page de configuration des politiques.

Configuration du CA

Configuration des règles

1. Connectez-vous à ADSelfService Plus en tant qu’administrateur.
2. Accédez à Configuration > Auto-Service > Accès conditionnel > Configuration des règles.
3. Cliquez sur + Créer une règle CA.
4. Saisissez un Nom de règle CA et Description.
5. Sélectionnez le Conditions selon vos besoins : Adresse IP, Type d’appareil, Heures ouvrables et Géolocalisation.

Remarque: Ces conditions déterminent comment les décisions CA sont prises. Utilisez cette section pour définir, activer et appliquer les conditions dans vos critères d’accès.

• Basé sur l’adresse IP



• Pour inclure cette condition dans vos critères, sélectionnez les types d’adresses IP à évaluer en cochant les cases correspondantes :
• Pour les utilisateurs qui se connectent directement à votre réseau via leurs ordinateurs clients, vous pouvez activer IP statiques.
• Si vos utilisateurs se connectent via un serveur proxy, vous pouvez activer IP de serveur proxy.
• Si vos utilisateurs se connectent via un serveur VPN, vous pouvez activer IP VPN. Pour assurer que l’accès conditionnel basé sur l’IP fonctionne avec la fonction VPN MFA, référez-vous à cette section pour effectuer les changements nécessaires dans l’extension NPS.

Remarque: Si vous avez activé les trois types d’IP, la priorité sera décidée selon cette règle : * (IP statique ET IP proxy) OU IP VPN.

• Sélectionnez si les IP saisies sont de confiance ou non fiables.
• Pour les IP statiques, saisissez la plage d’adresses IP dans les champs Plage IP. Utilisez l’ + icône pour ajouter plus de plages IP. Vous pouvez aussi saisir des IP individuelles et utiliser * comme caractère générique pour sélectionner une classe complète d’adresses IP.
• Basé sur l’appareil



• Incluez cette condition dans vos critères en cochant la case Ordinateurs puis cliquez sur l’ + icône.
• Dans la boîte de dialogue Ordinateurs sélectionnés qui s’ouvre, sélectionnez le domaine puis les objets ordinateur. Cliquez sur Enregistrer.
• Cochez la case Plateformes puis utilisez le menu déroulant pour sélectionner la ou les plateformes. Vous pouvez choisir parmi Windows, macOS, Linux, l’application web mobile ADSelfService Plus, l’application mobile native ADSelfService Plus, et les applications ManageEngine.
• Basé sur les heures ouvrables



• Cochez la case Cochez la case Heures ouvrables
• pour configurer vos critères avec cette condition.
• Sélectionnez si vous souhaitez configurer les heures ouvrables ou non ouvrables en cliquant sur le bouton radio correspondant.

RemarqueÀ partir du jour et de la plage horaire fournis, configurez vos heures ouvrables ou non ouvrables. : L’heure sera appliquée en fonction du fuseau horaire que vous avez sélectionné dans.

• Admin > Personnaliser > Fuseau horaire



• Cochez la case Basé sur la géolocalisation Cochez la case
• Géolocalisation pour activer cette condition. Sélectionnez les
• pays

applicables dans le menu déroulant. Fonctionnement de l’accès conditionnel basé sur la géolocalisation dans ADSelfService Plus ADSelfService Plus se connecte au serveur de géolocalisation via Zoho Creator. Veuillez vous assurer que

https://creator.zoho.com

6. A Critères est exclu de vos paramètres de pare-feu pour que l’accès conditionnel basé sur la géolocalisation fonctionne. L’accès conditionnel basé sur la géolocalisation utilise l’adresse IP de l’utilisateur pour déterminer la localisation. Cela signifie que seul l’accès depuis des adresses IP publiques sera évalué. Cette condition n’inclut pas les utilisateurs avec des adresses IP privées., est automatiquement créé avec les conditions que vous avez activées. Si le critère créé correspond à vos besoins, vous n’avez pas à y apporter de modifications. Modifiez-le uniquement si vous êtes sûr qu’il ne répond pas à vos exigences. Vous pouvez utiliserAND NOT OR
7. Cliquez sur , et les opérateurs pour formuler la logique.

Configurez

pour créer la nouvelle règle CA.

1. Attribution des règles
2. Une fois la règle CA configurée, elle doit être assignée aux utilisateurs qui seront évalués pour le CA. Pour ce faire : Connectez-vous à ADSelfService Plus en tant qu’administrateur..



3. Sélectionnez le Allez à Configuration > Auto-Service > Accès conditionnel > Attribution des règles
4. sélectionnez la
Remarque : Cela fait référence à la politique en libre-service que vous pouvez configurer en allant dans Configuration > Libre-service > Configuration de la politique. En savoir plus ici.

Si un utilisateur fait partie de plusieurs politiques, et qu’au moins une a le CA activé, il ne pourra effectuer que les actions autorisées dans la politique où l'utilisateur satisfait la règle CA.

Exemple : Considérez trois politiques en libre-service, A, B et C, et deux règles CA, 1 et 2. Supposons qu’un utilisateur appartient aux politiques A et B. Disons que les politiques A et C sont attribuées à la règle 1. Si un utilisateur satisfait la règle 1, alors seule la politique A sera attribuée à l’utilisateur, car il a satisfait la règle CA attribuée à la politique A.
5. Vous pouvez également choisir d’autoriser ou de bloquer la connexion unique NTLM et l’accès au portail ADSelfService Plus. Ces paramètres seront applicables partout où la règle sélectionnée est satisfaite.
Remarque : L’option pour autoriser ou bloquer la connexion unique NTLM ne sera activée que si l’authentification NTLM est configurée dans les paramètres de connexion.

Priorisation des règles CA

Si vous avez créé plusieurs règles d’accès conditionnel, vous pouvez définir la priorité pour chaque règle afin que la règle avec la priorité la plus élevée soit appliquée aux utilisateurs concernés par plusieurs règles.

Pour prioriser les règles d’accès conditionnel :

1. Sur la page de configuration de l’Accès Conditionnel, cliquez sur l’icône modifier la priorité en haut à droite (à côté du bouton + Créer une règle CA ).



2. Faites glisser les règles et classez-les selon vos besoins. La règle en haut aura la priorité la plus élevée.

Modification, copie, désactivation et suppression des règles d’accès conditionnel

Une règle peut être modifiée pour changer les conditions ou la logique des conditions, copiée pour créer une nouvelle règle, désactivée ou supprimée.

1. Allez à la page de configuration de l’Accès Conditionnel (Configuration > Libre-service > Accès Conditionnel).
2. Vous verrez un tableau contenant toutes les règles d’accès conditionnel qui ont été créées.
3. Sous la colonne Actions, cliquez sur une icône en fonction de l’action que vous souhaitez effectuer.
4. Basculez les et icônes pour activer ou désactiver une règle. Si l’icône ☑ est cochée, cela signifie que la règle est activée, et si l’icône ☒ est barrée, cela signifie que la règle est désactivée.
5. Cliquez sur l’icône modifier pour modifier la règle.
6. Cliquez sur l’icône copier pour copier la règle et créer une nouvelle règle à partir de celle-ci.
7. Cliquez sur l’icône corbeille pour supprimer une règle.

Sujet précédent Sujet suivant