ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Comment bloquer les applications Microsoft 365 à l'aide de la stratégie d'accès conditionnel

Comment bloquer les applications Microsoft 365 à l'aide de la stratégie d'accès conditionnel

Créez et configurez des stratégies d'accès conditionnel Microsoft Entra pour bloquer l'accès non autorisé aux applications Microsoft 365 depuis des appareils non gérés ou BYOD, sécurisant ainsi l'environnement cloud de votre organisation.

26 mars 2026 15 min
mediumaccès conditionnel 10 étapes 15 min

Pourquoi bloquer l'accès à Microsoft 365 depuis des appareils non gérés ?

Les appareils non gérés représentent l'un des risques de sécurité les plus importants dans les organisations modernes. Ces appareils—qu'il s'agisse de smartphones personnels, d'ordinateurs domestiques ou de tablettes BYOD—n'ont pas les contrôles de sécurité, la surveillance de la conformité et la supervision de gestion que fournissent les appareils gérés par l'entreprise. Lorsque les employés accèdent aux applications Microsoft 365 depuis ces appareils, ils exposent potentiellement des données d'entreprise sensibles aux logiciels malveillants, au vol de données et aux violations de conformité.

Les politiques d'accès conditionnel de Microsoft Entra offrent une approche puissante de Zero Trust face à ce défi. En mettant en œuvre des contrôles d'accès basés sur les appareils, vous pouvez vous assurer que seuls les appareils conformes et gérés peuvent accéder à l'environnement Microsoft 365 de votre organisation. Ce tutoriel vous guide dans la création de politiques d'accès conditionnel complètes qui bloquent l'accès non autorisé aux appareils tout en maintenant la productivité des utilisateurs légitimes.

Quels changements sont prévus pour l'accès conditionnel en 2026 ?

Microsoft déploie des mises à jour significatives de l'accès conditionnel entre mars et juin 2026. Auparavant, les connexions demandant des autorisations de répertoire de base (comme les portées email, offline_access et openid) pouvaient contourner certaines politiques avec des exclusions de ressources. À partir de 2026, ces flux seront désormais soumis à vos politiques d'accès conditionnel, ce qui pourrait déclencher des exigences MFA ou des blocages d'accès qui n'étaient pas appliqués auparavant.

Ce changement renforce la sécurité mais nécessite un examen attentif des politiques. Les organisations doivent auditer leurs politiques existantes et tester l'impact sur les applications qui contournaient auparavant certains contrôles. Le moment rend ce tutoriel particulièrement pertinent—vous apprendrez à créer des politiques robustes qui fonctionnent efficacement avec ces mécanismes d'application renforcés.

Comment l'accès conditionnel de Microsoft Entra protège-t-il votre organisation ?

L'accès conditionnel agit comme le moteur de politique pour la sécurité Zero Trust, évaluant plusieurs signaux avant d'accorder l'accès aux ressources. Ces signaux incluent l'identité de l'utilisateur, le statut de conformité de l'appareil, l'emplacement, l'application accédée et l'évaluation des risques en temps réel. Lorsqu'un utilisateur tente d'accéder à Microsoft 365 depuis un appareil non géré, le moteur de politique peut détecter cette condition et bloquer automatiquement l'accès ou exiger des étapes d'authentification supplémentaires.

Les politiques que vous créerez dans ce tutoriel ciblent spécifiquement les vecteurs d'attaque les plus courants : les appareils non gérés utilisant l'authentification moderne et les protocoles d'authentification hérités. En bloquant ces chemins d'accès, vous réduisez considérablement la surface d'attaque de votre organisation tout en maintenant un accès transparent pour les utilisateurs sur des appareils gérés et conformes.

Guide de mise en oeuvre

Procédure complète

01

Accédez au Centre d'administration Microsoft Entra et naviguez vers Accès conditionnel

Commencez par vous connecter au centre d'administration Microsoft Entra avec vos identifiants administratifs. C'est ici que vous créerez et gérerez toutes les politiques d'accès conditionnel.

Ouvrez votre navigateur web et accédez à https://entra.microsoft.com. Connectez-vous en utilisant un compte avec les autorisations d'administrateur général, d'administrateur de la sécurité ou d'administrateur de l'accès conditionnel.

Une fois connecté, accédez à la section Accès conditionnel :

  1. Dans le volet de navigation de gauche, développez Protection
  2. Cliquez sur Accès conditionnel

Alternativement, vous pouvez y accéder depuis le centre d'administration Microsoft 365 en allant dans Centres d'administration > Identité > Accès conditionnel.

Astuce pro : Ajoutez aux favoris l'URL directe https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies pour un accès rapide à vos politiques d'accès conditionnel.

Vérification : Vous devriez voir la page d'aperçu de l'accès conditionnel avec toutes les politiques existantes listées. L'interface affichera des options pour créer de nouvelles politiques et gérer celles existantes.

02

Créer une nouvelle stratégie d'accès conditionnel

Vous allez maintenant créer une nouvelle stratégie spécifiquement conçue pour bloquer l'accès à Microsoft 365 depuis des appareils non gérés. Cette stratégie servira de défense principale contre l'accès non autorisé aux appareils.

Dans le tableau de bord d'accès conditionnel :

  1. Cliquez sur Nouvelle stratégie en haut de la page
  2. Dans le champ Nom, entrez un nom descriptif : Bloquer les applications M365 depuis des appareils non gérés

Le nom de la stratégie doit être clair et descriptif pour que les autres administrateurs comprennent son objectif d'un coup d'œil.

Avertissement : Utilisez toujours des noms de stratégie descriptifs. Des noms génériques comme "Stratégie 1" ou "Stratégie de test" peuvent entraîner de la confusion et des modifications accidentelles dans les environnements de production.

Laissez la stratégie dans l'état par défaut pour l'instant - nous configurerons tous les paramètres avant de l'activer.

Vérification : Vous devriez voir une nouvelle page de création de stratégie avec des sections pour les Assignations, les Conditions et les contrôles d'accès. Le nom de la stratégie devrait apparaître en haut de la page de configuration.

03

Configurer les affectations d'utilisateur et de groupe

Configurez les utilisateurs et groupes auxquels cette politique s'appliquera. Pour une sécurité maximale, vous voudrez généralement l'appliquer à tous les utilisateurs tout en excluant les comptes d'accès d'urgence.

Dans la section Affectations, cliquez sur Utilisateurs et groupes :

  1. Sous Inclure, sélectionnez Tous les utilisateurs
  2. Sous Exclure, cliquez sur Sélectionner les utilisateurs et groupes exclus
  3. Ajoutez vos comptes d'accès d'urgence (comptes de secours) et tous les comptes de service qui doivent contourner cette politique
  4. Cliquez sur Sélectionner pour confirmer vos exclusions

Les comptes d'accès d'urgence sont essentiels pour maintenir l'accès lors de conflits ou de mauvaises configurations de politique.

Astuce pro : Créez un groupe de sécurité dédié appelé "CA-Emergency-Access" contenant vos comptes de secours. Cela facilite la gestion des exclusions à travers plusieurs politiques.

Pour les tests initiaux, envisagez de créer un groupe pilote avec quelques utilisateurs de test au lieu de l'appliquer immédiatement à tous les utilisateurs.

Vérification : La section Utilisateurs et groupes devrait afficher "Tous les utilisateurs" sous Inclure et vos comptes d'urgence sous Exclure. Le résumé devrait afficher le nombre total d'utilisateurs inclus et exclus.

04

Sélectionner les applications cibles Microsoft 365

Configurez les applications cloud que cette politique protégera. Vous ciblerez la suite d'applications Microsoft 365 que les utilisateurs accèdent généralement depuis divers appareils.

Dans la section Affectations, cliquez sur Ressources cibles :

  1. Assurez-vous que Applications cloud est sélectionné
  2. Sous Inclure, choisissez Sélectionner des applications
  3. Cliquez sur Sélectionner pour ouvrir le sélecteur d'applications
  4. Recherchez et sélectionnez Office 365 (cela couvre l'ensemble de la suite Microsoft 365)
  5. Alternativement, vous pouvez sélectionner des applications individuelles comme Microsoft Teams, SharePoint Online, Exchange Online, etc.
  6. Cliquez sur Sélectionner pour confirmer vos choix

La sélection d'Office 365 est recommandée car elle offre une couverture complète de toutes les applications Microsoft 365 avec une seule sélection.

Avertissement : Soyez prudent lorsque vous sélectionnez "Toutes les applications cloud" car cela inclura des applications non-Microsoft 365 et pourrait avoir des conséquences inattendues pour d'autres applications professionnelles.

Vérification : La section Ressources cibles devrait afficher "Office 365" ou vos applications individuelles sélectionnées. Vous pouvez cliquer sur la sélection pour vérifier quelles applications spécifiques sont incluses.

05

Configurer les conditions de l'appareil et de l'application cliente

Configurez les conditions qui déclencheront cette politique. Vous configurerez les plateformes de dispositifs et les applications clientes pour cibler spécifiquement les scénarios de dispositifs non gérés.

Dans la section Conditions, configurez ce qui suit :

Plateformes de dispositifs :

  1. Cliquez sur Plateformes de dispositifs et réglez Configurer sur Oui
  2. Sous Inclure, sélectionnez N'importe quel dispositif ou choisissez des plateformes spécifiques comme Windows, iOS, Android

Applications clientes :

  1. Cliquez sur Applications clientes et réglez Configurer sur Oui
  2. Cochez Applications mobiles et clients de bureau pour cibler les applications natives
  3. Décochez éventuellement Navigateur si vous souhaitez autoriser l'accès web depuis des dispositifs non gérés
  4. Cochez Clients d'authentification héritée pour bloquer les anciens protocoles comme IMAP, POP et SMTP

L'authentification héritée est couramment utilisée par les dispositifs non gérés et représente un risque de sécurité important.

Conseil de pro : Commencez par bloquer l'authentification héritée en premier, car c'est le vecteur d'attaque le plus courant pour les dispositifs non gérés. Vous pouvez créer une politique distincte spécifiquement pour cela.

Vérification : Les plateformes de dispositifs et les applications clientes doivent apparaître comme "Configuré" avec vos options sélectionnées visibles dans le résumé.

06

Configurer les conditions de conformité de l'appareil

Configurez les exigences de conformité des appareils pour distinguer les appareils gérés des appareils non gérés. Cette étape nécessite l'intégration de Microsoft Intune pour la gestion des appareils.

Dans la section Conditions, cliquez sur Filtrer pour les appareils :

  1. Réglez Configurer sur Oui
  2. Sélectionnez Exclure les appareils filtrés
  3. Cliquez sur + Ajouter un filtre
  4. Créez une règle de filtre : device.isCompliant -eq True
  5. Nommer le filtre : Appareils conformes

Si vous n'avez pas Intune, vous pouvez utiliser les conditions d'état de l'appareil :

  1. Cliquez sur État de l'appareil et réglez Configurer sur Oui
  2. Sous Exclure, sélectionnez Appareil joint à Azure AD hybride et Appareil marqué comme conforme

Cette configuration garantit que seuls les appareils non gérés (non conformes, non joints au domaine) sont bloqués.

Avertissement : Sans un filtrage approprié des appareils, vous pourriez accidentellement bloquer des appareils d'entreprise gérés. Testez toujours avec un groupe pilote d'abord.

Vérification : Les conditions de l'appareil doivent apparaître comme configurées avec vos exigences de conformité. Testez la logique du filtre en utilisant l'outil "Et si" dans l'accès conditionnel.

07

Définir le contrôle d'accès pour bloquer l'accès

Configurez l'action de la politique pour bloquer l'accès lorsque les conditions sont remplies. C'est le contrôle de sécurité principal qui empêchera les appareils non gérés d'accéder à Microsoft 365.

Dans la section Contrôles d'accès, cliquez sur Accorder :

  1. Sélectionnez Bloquer l'accès
  2. Laissez toutes les autres options décochées
  3. Cliquez sur Sélectionner pour confirmer

Le contrôle de blocage d'accès est absolu - lorsqu'il est déclenché, les utilisateurs se verront complètement refuser l'accès aux applications ciblées.

Vous pouvez également configurer un message de blocage personnalisé :

  1. Faites défiler vers le bas pour trouver Personnaliser le message de blocage
  2. Entrez un message convivial : Accès refusé : Veuillez utiliser un appareil géré par l'entreprise pour accéder aux applications Microsoft 365. Contactez le support informatique pour obtenir de l'aide.
Astuce pro : Incluez des informations de contact dans votre message de blocage afin que les utilisateurs sachent comment obtenir de l'aide. Cela réduit les tickets de support et améliore l'expérience utilisateur.

Vérification : La section Accorder devrait afficher "Bloquer l'accès" comme sélectionné. Votre message personnalisé devrait apparaître dans le résumé de configuration.

08

Activer le mode rapport uniquement pour les tests

Avant d'activer la politique, activez le mode rapport uniquement pour tester son impact sans affecter les utilisateurs. Cette étape cruciale prévient les verrouillages accidentels et vous permet de valider la logique de la politique.

En bas de la page de configuration de la politique :

  1. Sous Activer la politique, sélectionnez Rapport uniquement
  2. Cliquez sur Créer pour enregistrer la politique

Le mode rapport uniquement enregistrera ce qui se passerait si la politique était active sans réellement bloquer l'accès.

Surveillez la politique pendant au moins 24-48 heures :

  1. Allez dans Surveillance > Journaux de connexion dans le centre d'administration Entra
  2. Filtrez par le nom de votre politique pour voir les événements déclenchés
  3. Examinez l'onglet Accès conditionnel dans les détails de connexion

Cherchez les entrées montrant le statut "Rapport uniquement" pour comprendre quels utilisateurs et appareils seraient affectés.

Avertissement : Ne sautez jamais la phase de test en mode rapport uniquement. Même les administrateurs expérimentés peuvent créer des politiques ayant des conséquences inattendues.

Vérification : La politique devrait apparaître dans votre liste de politiques d'accès conditionnel avec le statut "Rapport uniquement". Les journaux de connexion devraient montrer les évaluations de la politique sans qu'un blocage réel ne se produise.

09

Activer la politique et surveiller les résultats

Après avoir validé la stratégie en mode rapport uniquement, activez-la pour commencer à bloquer l'accès aux appareils non gérés. Continuez à surveiller pour vous assurer qu'elle fonctionne comme prévu.

Pour activer la stratégie :

  1. Retournez à Protection > Accès conditionnel
  2. Cliquez sur le nom de votre stratégie pour la modifier
  3. Changez Activer la stratégie de Rapport uniquement à Activé
  4. Cliquez sur Enregistrer

La stratégie est maintenant active et bloquera l'accès des appareils non gérés.

Surveillez l'efficacité de la stratégie :

  1. Vérifiez régulièrement Surveillance > Journaux de connexion
  2. Recherchez les entrées "Échec" avec "Accès conditionnel" comme raison de l'échec
  3. Utilisez la section Informations et rapports pour l'analyse de l'impact de la stratégie

Vous pouvez également utiliser PowerShell pour exporter les détails de la stratégie pour la documentation :

Install-Module Microsoft.Graph
Connect-MgGraph -Scopes "Policy.Read.All"
Get-MgIdentityConditionalAccessPolicy | Where-Object {$_.DisplayName -eq "Block M365 Apps from Unmanaged Devices"}
Astuce pro : Configurez des alertes automatisées pour les pics inhabituels de connexions bloquées. Cela peut aider à identifier des problèmes potentiels ou des tentatives d'attaque.

Vérification : Le statut de la stratégie devrait indiquer "Activé" dans la liste des stratégies. Les journaux de connexion devraient montrer des événements de blocage réels pour les appareils non gérés tentant d'accéder aux applications Microsoft 365.

10

Créer une politique de blocage d'authentification héritée supplémentaire

Créez une politique supplémentaire ciblant spécifiquement l'authentification héritée, qui est couramment utilisée par les appareils non gérés et représente un risque de sécurité important.

Créez une nouvelle politique pour le blocage de l'authentification héritée :

  1. Cliquez à nouveau sur Nouvelle politique
  2. Nommez-la : Bloquer l'authentification héritée pour toutes les applications
  3. Sous Utilisateurs et groupes, sélectionnez Tous les utilisateurs (exclure les comptes d'urgence)
  4. Sous Ressources cibles, sélectionnez Toutes les applications cloud

Configurez les conditions d'authentification héritée :

  1. Dans Conditions > Applications clientes, réglez Configurer sur Oui
  2. Décochez toutes les options sauf Clients d'authentification héritée
  3. Sous Contrôles d'accès > Accorder, sélectionnez Bloquer l'accès

Cette politique cible spécifiquement les anciens protocoles d'authentification tels que :

  • Clients de messagerie IMAP/POP3
  • Authentification SMTP
  • Clients Office hérités
  • Modules PowerShell utilisant l'authentification de base
Avertissement : Le blocage de l'authentification héritée peut affecter des applications légitimes. Inventoriez d'abord votre environnement pour identifier les applications critiques pour l'entreprise utilisant des protocoles hérités.

Testez cette politique en mode rapport uniquement d'abord, puis activez-la en suivant le même processus que la politique principale.

Vérification : Les deux politiques doivent être actives et visibles dans votre liste de politiques d'accès conditionnel. Les journaux de connexion doivent montrer des blocages pour les appareils non gérés et les tentatives d'authentification héritée.

Questions Fréquentes

Quelles licences Microsoft sont nécessaires pour les stratégies d'accès conditionnel ?+
Les licences Microsoft Entra ID P1 ou P2 sont requises pour la plupart des politiques d'accès conditionnel. P1 est inclus dans Microsoft 365 Business Premium et offre des capacités de politique de base. P2 propose des fonctionnalités avancées telles que des politiques basées sur le risque et des examens d'accès. Certaines politiques de sécurité de base sont disponibles avec le niveau gratuit, mais elles sont limitées en termes de portée et d'options de personnalisation.
Comment puis-je tester les politiques d'accès conditionnel sans bloquer les utilisateurs légitimes ?+
Utilisez toujours d'abord le mode rapport uniquement, qui enregistre ce qui se passerait sans réellement bloquer l'accès. Surveillez les journaux de connexion pendant 24 à 48 heures pour comprendre l'impact. Créez des groupes pilotes avec des utilisateurs de test avant de l'appliquer à tous les utilisateurs. Utilisez l'outil 'What If' dans le centre d'administration Entra pour simuler les résultats des politiques. Excluez toujours les comptes d'accès d'urgence pour éviter les verrouillages complets.
Que se passe-t-il lorsque plusieurs stratégies d'accès conditionnel s'appliquent au même utilisateur ?+
Toutes les politiques applicables sont évaluées simultanément, et le résultat le plus restrictif l'emporte. Si une politique exige une authentification multifacteur et qu'une autre bloque l'accès, l'utilisateur sera bloqué. Les politiques ne se remplacent pas mutuellement, elles s'additionnent. C'est pourquoi une planification et des tests minutieux sont cruciaux lors de la mise en œuvre de plusieurs politiques pouvant affecter les mêmes utilisateurs ou applications.
Les stratégies d'accès conditionnel peuvent-elles bloquer l'authentification héritée sans Microsoft Intune ?+
Oui, vous pouvez bloquer l'authentification héritée sans Intune en créant une stratégie qui cible les 'clients d'authentification héritée' sous les conditions des applications clientes. Cela bloque les protocoles comme IMAP, POP3, SMTP et les anciens clients Office, quel que soit le statut de gestion des appareils. Cependant, distinguer entre les appareils gérés et non gérés pour l'authentification moderne nécessite Intune ou des capacités de jonction hybride Azure AD.
Comment dépanner les utilisateurs qui sont bloqués de manière inattendue par l'accès conditionnel ?+
Vérifiez les journaux de connexion dans le centre d'administration Microsoft Entra sous Surveillance > Journaux de connexion. Filtrez par l'utilisateur concerné et recherchez les entrées avec des raisons d'échec 'Accès conditionnel'. Les journaux indiquent quelle politique spécifique a bloqué l'accès et pourquoi. Utilisez la section 'Dépannage et support' pour des résultats d'évaluation de politique détaillés. Envisagez d'ajouter temporairement l'utilisateur à un groupe d'exclusion pendant que vous enquêtez sur la cause principale.
Tags
#accès conditionnel#microsoft-365#zéro confiance

Intelligence Complémentaire

Approfondissez vos connaissances

Comment télécharger et installer Windows 11 26H1 (mise à jour des fonctionnalités 2026)
tutorial
Windows

Comment télécharger et installer Windows 11 26H1 (mise à jour des fonctionnalités 2026)

Explorer
Comment définir la stratégie d'exécution PowerShell à l'aide d'Intune et de la stratégie de groupe
tutorial
DevOps

Comment définir la stratégie d'exécution PowerShell à l'aide d'Intune et de la stratégie de groupe

Explorer
Comment déployer Bitwarden Password Manager en utilisant Microsoft Intune
tutorial
Cybersecurity

Comment déployer Bitwarden Password Manager en utilisant Microsoft Intune

Explorer

Discussion

Partagez vos réflexions et analyses

Connectez-vous pour participer

Se connecterCréer un compte