Dans un
article précédent
, j'ai mentionné le passage à Intune Standalone, qui nous a permis d'utiliser les capacités d'Azure Active Directory dans une plus large mesure, à savoir pour travailler avec l'accès conditionnel. Je vais vous en dire plus sur la façon dont cela peut être fait.
Qu'est ce que c'est
L'accès conditionnel (CA) est un mécanisme permettant de vérifier chaque processus de connexion au système en fonction du script configuré et de la décision qui détermine quoi faire avec cette connexion. Et cela peut être interdit, autorisé sans conditions ou autorisé avec conditions. Il s'agit d'un composant d'Azure AD.
Ce scénario est décrit par les paramètres suivants:
Affectations - dans quels cas le script doit être déclenché.
Contrôles d'accès - que faire.
La section
Affectations contient:
-
Utilisateurs et groupes - quels utilisateurs sont soumis à la politique. Il peut s'agir de tous les utilisateurs d'Azure AD ou de groupes / utilisateurs spécifiques. Séparément, vous pouvez spécifier des exceptions. Vous pouvez appliquer la stratégie à tous les utilisateurs à l'exception d'un seul groupe.
-
Applications cloud - les scripts peuvent être appliqués à n'importe quelle application enregistrée dans Azure AD. Autrement dit, vous n'êtes pas limité à travailler uniquement avec des applications Office 365.
-
Conditions - conditions supplémentaires.
-
Risque de connexion - la possibilité d'utiliser le mécanisme d'évaluation des risques d'autorisation. On estime où, à quelle heure, en utilisant quel client, à quel point ce comportement est généralement, etc. Nécessite la licence Azure AD Premium 2.
-
Plateformes d'appareils - il est possible d'indiquer à quelle plateforme la politique sera applicable. Par exemple, créer une stratégie uniquement pour les clients mobiles ou uniquement pour les machines Windows.
-
Emplacements - impliquent des emplacements réseau. Vous pouvez utiliser la liste des adresses IP approuvées.
-
Applications client (aperçu) - évalue le type de client. Il est possible d'utiliser pour créer une stratégie pour navigateur uniquement ou EAS (Exchange Active Sync). Pour ceux qui souhaitent cesser d'utiliser OWA sur les appareils mobiles, mais laisser l'option pour les ordinateurs de bureau.
-
État de l'appareil (aperçu) - permet d'exclure des appareils dans un certain état.
Ensuite, vous devez configurer ce que la stratégie fera ou exigera exactement.
Il y a deux sections pour cela:
Accorder - c'est là que le scénario est configuré: bloquer l'accès ou nécessiter des mesures de sécurité supplémentaires.
Session - contrôle dans la session elle-même. Pour l'instant, l'utilisation n'est possible qu'avec Exchange Online et Sharepoint Online. Plus d'informations
ici .
Voyons maintenant quelques cas d'utilisation.
Scénario 1. Ouvrez l'accès aux applications Azure AD uniquement sur les appareils mobiles gérés par Intune.Disons que nous devons restreindre l'accès aux applications enregistrées dans Azure AD et ne le donner qu'aux appareils gérés par Intune. Et cela devrait être applicable à tous les appareils.
Nous choisissons d'appliquer la politique à tous les utilisateurs.
Ensuite, sélectionnez toutes les applications.
IMPORTANT: le portail de gestion Azure (portal.azure.com) est également considéré comme une application, alors soyez prudent. Il y a une histoire: si vous créez une stratégie pour tous les utilisateurs et toutes les applications qui bloquera toutes les connexions, personne n'entrera jamais dans votre locataire et même le support Microsoft ne vous aidera pas.
Nous devons maintenant configurer la stratégie, pour une utilisation uniquement sur les appareils mobiles. Pour ce faire, accédez à Plateformes d'appareils et sélectionnez OS mobile (iOS, Android, Windows Phone).
Nous avons choisi toutes les conditions nécessaires pour appliquer la politique, maintenant nous sélectionnons la condition pour autoriser la connexion. Dans ce cas, l'option nécessaire est l'obligation pour l'appareil de se conformer aux politiques de sécurité dans Intune (politique de conformité). L'état de l'appareil est extrait d'Intune.
Après avoir créé et appliqué la stratégie, les utilisateurs avec des appareils gérés par Intune continueront à utiliser les applications. Ceux qui ont utilisé des appareils non connectés à Intune verront un message les invitant à enregistrer l'appareil.
Scénario 2. Accès au portail d'entreprise uniquement à partir d'ordinateurs d'entreprise.Vous devez configurer la synchronisation entre Active Directory et Azure Active Directory. Ainsi, les ordinateurs d'AD existeront lorsque Hybrid Azure AD sera joint. Le portail interne doit être enregistré auprès d'Azure AD. Vous pouvez même configurer l'authentification unique.
Maintenant, cela dépend de la politique, qui sera appliquée aux bons utilisateurs et nécessitera une connexion uniquement à partir des appareils hybrides lors de la connexion au portail / à l'application spécifié. Tout fonctionnera hors de la boîte avec IE et Edge. Chrome nécessitera une extension.
Et si quelque chose se casse?À un certain moment, vous pouvez rencontrer des situations où l'utilisateur ne peut pas se connecter à l'application et vous ne comprenez pas très bien quelle politique est à blâmer pour cela.
Dans ce cas, les journaux de connexion dans Azure AD aideront au filtrage par état d'application des stratégies.
Dans les détails de chaque événement, vous pouvez voir quelle politique a fonctionné et pourquoi.
ConclusionsL'accès conditionnel vous permet de différencier de manière flexible l'accès aux applications et aux services. Il peut y avoir un nombre infini de conditions et de cas d'utilisation. Ce service est mieux divulgué avec les services Microsoft. Par exemple, il peut être intégré à Azure Application Proxy pour restreindre l'accès aux ressources internes ou pour s'intégrer à la protection des points de terminaison tout en bloquant l'accès au réseau d'entreprise.