ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Comment configurer des stratégies d'accès conditionnel Intune sécurisées

Comment configurer des stratégies d'accès conditionnel Intune sécurisées

Configurez les stratégies d'accès conditionnel de Microsoft Intune pour protéger les ressources organisationnelles avec la conformité des appareils, des contrôles basés sur le risque et des mesures de sauvegarde d'accès d'urgence.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
19 mars 2026 15 min 0
mediumaccès conditionnel 8 étapes 15 min

Pourquoi mettre en œuvre des politiques d'accès conditionnel sécurisées ?

Les politiques d'accès conditionnel de Microsoft Intune servent de point de contrôle de sécurité numérique pour votre organisation, contrôlant qui peut accéder aux ressources de l'entreprise et dans quelles conditions. Avec la montée du travail à distance et des politiques BYOD, les modèles de sécurité traditionnels basés sur le périmètre sont devenus insuffisants. L'accès conditionnel offre une approche moderne et basée sur le risque pour le contrôle d'accès qui s'adapte au comportement des utilisateurs, à la conformité des appareils et à l'intelligence des menaces.

Qu'est-ce qui rend les politiques d'accès conditionnel sécurisées en 2026 ?

Des recherches récentes en sécurité ont révélé des vulnérabilités dans des implémentations d'accès conditionnel mal configurées, notamment autour des contournements de conformité des appareils et des procédures d'accès d'urgence. Le paysage de la sécurité en 2026 exige une surveillance renforcée, des contrôles d'accès d'urgence appropriés et une intégration avec le moteur d'évaluation d'accès continu (CAE) de Microsoft pour l'application en temps réel des politiques.

Ce tutoriel aborde ces défis en mettant en œuvre des stratégies de défense en profondeur, y compris la vérification de la conformité des appareils, l'authentification basée sur le risque et la surveillance complète. Vous apprendrez à configurer des politiques qui protègent contre les menaces externes et les risques internes tout en maintenant la productivité des utilisateurs.

Que réaliserez-vous ?

En suivant ce guide, vous établirez un cadre d'accès conditionnel robuste qui exige la conformité des appareils pour l'accès aux ressources de l'entreprise, met en œuvre des contrôles basés sur le risque pour les connexions suspectes et maintient des procédures d'accès d'urgence. La configuration inclut des méthodologies de test appropriées, des tableaux de bord de surveillance et des systèmes d'alerte pour garantir une efficacité continue de la sécurité sans perturber les opérations commerciales légitimes.

Guide de mise en oeuvre

Procédure complète

01

Créer des comptes d'accès d'urgence

Avant de configurer des stratégies d'accès conditionnel, vous avez besoin de comptes de secours pour éviter les verrouillages. Ces comptes contournent toutes les stratégies d'accès conditionnel et fournissent un accès administratif d'urgence.

Accédez au centre d'administration Microsoft Entra à l'adresse https://entra.microsoft.com et allez à Identité > Utilisateurs > Tous les utilisateurs.

Cliquez sur Nouvel utilisateur et créez deux comptes dédiés :

Compte 1 : emergency-access-1@yourdomain.com
Compte 2 : emergency-access-2@yourdomain.com

Générez des mots de passe forts (minimum 16 caractères) et stockez-les dans un endroit physique sécurisé distinct du stockage numérique. Attribuez des rôles d'administrateur global à ces deux comptes.

Critique : N'activez PAS l'AMF sur les comptes d'urgence. Ils doivent contourner toutes les exigences d'authentification.

Créez un groupe de sécurité pour ces comptes :

Nom : Comptes d'accès d'urgence
Type : Sécurité
Membres : Les deux comptes d'urgence

Vérification : Connectez-vous avec un compte d'urgence pour confirmer que l'accès fonctionne avant de continuer.

02

Configurer les stratégies de conformité des appareils Intune

L'accès conditionnel repose sur le statut de conformité de l'appareil. Vous avez besoin de politiques de conformité fonctionnelles avant de créer des règles d'accès conditionnel.

Ouvrez le centre d'administration Microsoft Intune à https://intune.microsoft.com et accédez à Sécurité des points de terminaison > Conformité des appareils > Politiques.

Cliquez sur Créer une politique et sélectionnez votre plateforme (Windows 10/11 pour cet exemple) :

{
  "passwordRequired": true,
  "passwordMinimumLength": 8,
  "passwordComplexity": "required",
  "deviceSecurityEncryption": true,
  "firewallEnabled": true,
  "osMinimumVersion": "10.0.19041",
  "defenderEnabled": true
}

Configurez ces exigences essentielles :

  • Mot de passe : Minimum 8 caractères avec complexité
  • Chiffrement : BitLocker activé
  • Pare-feu : Pare-feu Windows Defender actif
  • Version OS : Windows 10 build 19041 ou ultérieur
  • Antimalware : Windows Defender en cours d'exécution

Définissez Actions pour non-conformité pour marquer l'appareil comme non conforme immédiatement. Assignez la politique à vos groupes d'appareils.

Astuce pro : Créez des politiques de conformité distinctes pour chaque plateforme (Windows, iOS, Android, macOS) avec des exigences spécifiques à la plateforme.

Vérification : Vérifiez qu'un appareil de test apparaît comme conforme dans Appareils > Tous les appareils après l'attribution de la politique.

03

Créer une stratégie d'accès conditionnel de conformité des appareils

Ceci est votre politique de base exigeant des appareils conformes pour l'accès aux ressources de l'entreprise. Accédez à Protection > Accès conditionnel > Politiques dans le centre d'administration Microsoft Entra.

Cliquez sur Nouvelle politique et configurez :

Nom de la politique : Exiger un appareil conforme pour les applications d'entreprise

Affectations - Utilisateurs :

Inclure : Tous les utilisateurs
Exclure : Groupe de comptes d'accès d'urgence

Affectations - Applications cloud :

Inclure : Toutes les applications cloud
(Alternative : Sélectionner des applications spécifiques comme Office 365, SharePoint)

Conditions - Plates-formes d'appareils :

Configurer : Oui
Inclure : Windows, macOS, iOS, Android

Contrôles d'accès - Accorder :

Accorder l'accès : Sélectionné
✓ Exiger que l'appareil soit marqué comme conforme
✓ Exiger une authentification multifactorielle
Exiger tous les contrôles sélectionnés : Sélectionné
Critique : Réglez Activer la politique sur Rapport uniquement initialement. Surveillez pendant 7-14 jours avant d'activer l'application.

Cliquez sur Créer pour enregistrer la politique.

Vérification : Utilisez l'outil Et si pour tester l'impact de la politique avec différents scénarios utilisateur/appareil avant de l'activer.

04

Configurer la stratégie de risque de connexion (Premium P2)

Si vous avez des licences Azure AD Premium P2, créez des politiques basées sur le risque pour bloquer les connexions suspectes. Cela nécessite des fonctionnalités de protection de l'identité.

Créez une nouvelle politique d'accès conditionnel avec ces paramètres :

Nom de la politique : Bloquer les connexions à haut risque

Affectations - Utilisateurs :

Inclure : Tous les utilisateurs
Exclure : Comptes d'accès d'urgence

Affectations - Applications cloud :

Inclure : Toutes les applications cloud

Conditions - Risque de connexion :

Configurer : Oui
Sélectionner les niveaux de risque : Moyen, Élevé

Contrôles d'accès - Accorder :

Accorder l'accès : Sélectionné
✓ Exiger l'authentification multifactorielle
✓ Exiger le changement de mot de passe
Exiger tous les contrôles sélectionnés : Sélectionné

Cette politique se déclenche lorsque l'apprentissage automatique de Microsoft détecte des modèles de connexion à risque tels que :

  • Voyage impossible (connexions depuis des lieux éloignés)
  • Adresses IP anonymes (Tor, VPN)
  • Propriétés de connexion inhabituelles
  • Adresses IP liées à des logiciels malveillants

Vérification : Testez avec une connexion VPN depuis un lieu inhabituel pour déclencher la détection de risque (utilisez un compte de test).

05

Tester les politiques avec l'outil What If

Avant d'activer l'application, testez soigneusement vos politiques à l'aide de l'outil de simulation What If de Microsoft. Accédez à Accès conditionnel > What If.

Scénario de test 1 - Appareil conforme :

Utilisateur : test-user@yourdomain.com
Application cloud : Office 365
Plateforme de l'appareil : Windows
État de l'appareil : Conforme
Adresse IP : IP du réseau d'entreprise
Attendu : Accorder l'accès

Scénario de test 2 - Appareil non conforme :

Utilisateur : test-user@yourdomain.com
Application cloud : Office 365
Plateforme de l'appareil : iOS
État de l'appareil : Non conforme
Adresse IP : IP externe
Attendu : Bloquer l'accès ou exiger MFA

Scénario de test 3 - Compte d'urgence :

Utilisateur : emergency-access-1@yourdomain.com
Application cloud : N'importe laquelle
État de l'appareil : N'importe lequel
Attendu : Toujours accorder (exclu des politiques)

Exécutez chaque scénario et vérifiez que les résultats correspondent à vos attentes. L'outil montre quelles politiques s'appliqueraient et quelles actions seraient prises.

Astuce pro : Testez les cas limites comme les utilisateurs se connectant depuis des navigateurs mobiles, différents états d'appareil et diverses localisations IP.

Vérification : Documentez les résultats des tests et assurez-vous que les comptes d'urgence ont toujours accès avant d'activer les politiques.

06

Surveiller les journaux de connexion pendant la phase de rapport uniquement

Avec des politiques en mode rapport uniquement, surveillez leur impact pendant au moins une semaine. Accédez à Surveillance > Journaux de connexion dans le centre d'administration Microsoft Entra.

Filtrez les journaux pour vous concentrer sur vos politiques :

Options de filtrage :
- Accès conditionnel : Sélectionnez les noms de vos politiques
- Statut : Tous
- Plage de dates : 7 derniers jours

Recherchez ces indicateurs clés :

  • Entrées en mode rapport uniquement : Montre ce qui se serait passé
  • Utilisateurs bloqués : Utilisateurs légitimes qui seraient affectés
  • Invites MFA : Exigences d'authentification supplémentaires
  • Problèmes de conformité : Appareils marqués non conformes

Exportez les données pour analyse :

# PowerShell pour exporter les journaux de connexion
Connect-MgGraph -Scopes "AuditLog.Read.All"

$logs = Get-MgAuditLogSignIn -Filter "createdDateTime ge 2026-03-12" -All
$logs | Where-Object {$_.ConditionalAccessStatus -eq "reportOnlyInterrupted"} | Export-Csv "ca-impact.csv"

Examinez les données exportées pour identifier :

  • Les utilisateurs qui seraient bloqués de manière inappropriée
  • Les appareils nécessitant une remédiation de conformité
  • Les applications nécessitant des ajustements de politique
Erreur courante : Activer l'application trop rapidement sans surveillance adéquate. Autorisez toujours 7 à 14 jours de collecte de données en mode rapport uniquement.

Vérification : Confirmez qu'aucun processus métier critique ne serait perturbé avant d'activer l'application.

07

Activer l'application des politiques

Après avoir surveillé et résolu les problèmes trouvés pendant la phase de rapport uniquement, activez l'application des politiques. Retournez à Accès conditionnel > Politiques.

Pour chaque politique que vous souhaitez activer :

  1. Cliquez sur le nom de la politique
  2. Cliquez sur Modifier
  3. Changez Activer la politique de Rapport uniquement à Activé
  4. Cliquez sur Enregistrer

Activez les politiques dans cet ordre recommandé :

1. Politique de conformité des appareils (risque le plus faible)
2. Politiques basées sur la localisation (si configurées)
3. Politiques basées sur le risque (impact le plus élevé)

Utilisez PowerShell pour l'activation en masse des politiques :

# Connectez-vous à Microsoft Graph
Connect-MgGraph -Scopes "Policy.ReadWrite.ConditionalAccess"

# Obtenez les politiques en mode rapport uniquement
$policies = Get-MgIdentityConditionalAccessPolicy | Where-Object {$_.State -eq "enabledForReportingButNotEnforced"}

# Activez chaque politique (vérifiez la liste d'abord !)
foreach ($policy in $policies) {
    Write-Host "Activation de la politique : $($policy.DisplayName)"
    Update-MgIdentityConditionalAccessPolicy -ConditionalAccessPolicyId $policy.Id -State "enabled"
}
Astuce pro : Activez les politiques pendant les heures de faible utilisation et ayez votre équipe de support informatique prête à aider les utilisateurs avec tout problème d'accès.

Vérification : Testez l'accès avec divers comptes d'utilisateurs et types d'appareils pour confirmer que les politiques fonctionnent comme prévu sans bloquer l'accès légitime.

08

Configurer la surveillance continue et les alertes

Mettre en œuvre une surveillance continue pour détecter les problèmes de politique et les événements de sécurité. Configurer des alertes pour les scénarios critiques.

Créer un Workbook Azure Monitor pour l'accès conditionnel :

Accédez à Azure Monitor > Workbooks > Nouveau et ajoutez ces requêtes :

// Échecs de connexion dus à l'accès conditionnel
SigninLogs
| where TimeGenerated > ago(24h)
| where ConditionalAccessStatus == "failure"
| summarize count() by UserPrincipalName, AppDisplayName, ConditionalAccessPolicies
| order by count_ desc
// Utilisation de compte d'urgence (devrait être rare)
SigninLogs
| where TimeGenerated > ago(7d)
| where UserPrincipalName contains "emergency-access"
| project TimeGenerated, UserPrincipalName, AppDisplayName, IPAddress, RiskLevelDuringSignIn

Configurer les règles d'alerte :

Dans Azure Monitor > Alertes, créez ces alertes critiques :

{
  "alertName": "Utilisation de compte d'urgence",
  "condition": "SigninLogs | where UserPrincipalName contains 'emergency-access'",
  "threshold": "Toute utilisation",
  "action": "Envoyer un email à l'équipe de sécurité immédiatement"
}
{
  "alertName": "Blocages CA à volume élevé",
  "condition": "ConditionalAccessStatus == 'failure'",
  "threshold": ">50 échecs en 1 heure",
  "action": "Envoyer un email à l'équipe des opérations IT"
}

Processus de révision hebdomadaire :

  • Examiner les journaux de connexion pour des modèles inhabituels
  • Vérifier les taux de conformité des appareils
  • Vérifier que les comptes d'urgence restent fonctionnels
  • Mettre à jour les politiques en fonction des nouvelles menaces

Vérification : Tester les déclencheurs d'alerte en utilisant un compte d'urgence ou en créant un scénario de test d'échec pour s'assurer que les notifications fonctionnent.

Questions Fréquentes

Que se passe-t-il si je me retrouve accidentellement bloqué avec des politiques d'accès conditionnel ?+
Utilisez vos comptes d'accès d'urgence (comptes de secours) qui doivent être exclus de toutes les stratégies d'accès conditionnel. Ces comptes ont des privilèges d'administrateur général et peuvent modifier ou désactiver des stratégies problématiques. Créez et testez toujours des comptes d'urgence avant de mettre en œuvre des stratégies d'accès conditionnel. Si vous n'avez pas de comptes d'urgence, contactez le support Microsoft pour obtenir de l'aide avec la récupération de compte.
Combien de temps devrais-je exécuter les politiques en mode rapport uniquement avant d'activer l'application ?+
Microsoft recommande de surveiller les politiques en mode rapport uniquement pendant au moins 7 à 14 jours pour capturer divers scénarios utilisateur et modèles d'accès. Cette période vous permet d'identifier les utilisateurs légitimes qui pourraient être bloqués, les appareils nécessitant une remédiation de conformité, et les applications nécessitant des ajustements de politique. Pour les applications métier critiques, envisagez de prolonger la période de surveillance à 30 jours pour capturer les modèles d'utilisation mensuels.
Les stratégies d'accès conditionnel peuvent-elles empêcher de nouveaux appareils de s'inscrire dans Intune ?+
Non, des stratégies de conformité des appareils correctement configurées ne bloquent pas l'inscription à Intune. Le contrôle 'Exiger que l'appareil soit marqué comme conforme' permet aux appareils de s'inscrire même s'ils ne sont pas conformes, puis impose la conformité après l'inscription. Cependant, d'autres stratégies d'accès conditionnel (comme les stratégies basées sur la localisation ou sur les applications) pourraient interférer avec l'inscription si elles bloquent l'accès au portail d'entreprise ou aux services d'inscription.
Quelle est la différence entre Azure AD Premium P1 et P2 pour l'accès conditionnel ?+
Azure AD Premium P1 inclut des politiques d'accès conditionnel de base pour la conformité des appareils, l'emplacement et les contrôles d'application. Premium P2 ajoute des fonctionnalités de protection de l'identité, y compris des politiques basées sur le risque qui peuvent détecter et répondre aux risques de connexion (voyage impossible, adresses IP anonymes) et aux risques utilisateur (identifiants compromis). P2 inclut également des examens d'accès, la gestion des identités privilégiées et des rapports de sécurité avancés.
Comment dépanner les utilisateurs qui ne peuvent pas accéder aux applications après avoir activé l'accès conditionnel ?+
Commencez par vérifier les journaux de connexion dans le centre d'administration Microsoft Entra sous Surveillance > Journaux de connexion. Filtrez par l'utilisateur concerné et recherchez les raisons d'échec de l'accès conditionnel. Les problèmes courants incluent les appareils non conformes (vérifiez le statut de conformité Intune), l'absence d'enregistrement MFA (vérifiez les méthodes d'authentification), ou l'appartenance à un groupe exclu. Utilisez l'outil What If pour simuler le scénario de l'utilisateur et identifier quelles politiques bloquent l'accès.
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#accès conditionnel#intune#azure-ad

Intelligence Complémentaire

Approfondissez vos connaissances

Comment configurer Windows Hello for Business Cloud Kerberos Trust dans Intune
tutorial
Cybersecurity

Comment configurer Windows Hello for Business Cloud Kerberos Trust dans Intune

Explorer
Comment ajouter l'image de marque de l'entreprise à Microsoft Edge pour les entreprises en utilisant Intune
tutorial
Cloud Computing

Comment ajouter l'image de marque de l'entreprise à Microsoft Edge pour les entreprises en utilisant Intune

Explorer
Comment accélérer les mises à jour de qualité Windows à l'aide de Microsoft Intune
tutorial
DevOps

Comment accélérer les mises à jour de qualité Windows à l'aide de Microsoft Intune

Explorer

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...