Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Utilisez ce guide pour configurer l’accès conditionnel pour les agents qui s’authentifient avec leur propre identité, sans utilisateur connecté. Le modèle d’accès correspond au flux d’informations d’identification client classique. Au lieu d’agir au nom d’un utilisateur, l’agent s’authentifie avec ses propres informations d’identification : un ID client associé à un certificat ou une identité managée gérée par le blueprint d’identité de l’agent. Ce modèle d’accès s’applique dans les scénarios suivants :
-
Agents autonomes qui fonctionnent indépendamment :
- Ces agents s’exécutent en arrière-plan, répondent aux événements ou s’exécutent selon une planification. Un exemple classique est un agent qui génère un rapport quotidien et envoie le résultat à un groupe d’employés. Dans ce scénario, il n’y a aucun utilisateur présent et l’agent fonctionne seul.
-
Agents qui n’agissent pas toujours au nom d’un utilisateur :
- Parfois, les agents opèrent entièrement sur eux-mêmes. Par exemple, un service SMS principal qui n’est pas accessible aux utilisateurs. Dans ce scénario, le flux OBO n’est pas applicable et l’agent accède à la ressource cible en s’authentifiant directement avec sa propre identité.
-
Agents publiés sur le web pour une utilisation publique :
- Ces agents n’authentifient pas l’utilisateur ou ne prennent pas en charge la délégation du contexte de l’utilisateur aux ressources en aval.
Dans ces scénarios, l’agent est celui qui demande l’accès, et l’objet du jeton d’accès émis est l’identité de l’agent plutôt que l’utilisateur. Par conséquent, l’étendue de la stratégie d’accès conditionnel s’applique à l’identité de l’agent, et non à un utilisateur.
Important
Avant de configurer une stratégie d’accès conditionnel, lisez l’article Accès conditionnel pour les identités d’agent . Il couvre le flux d’authentification, les limites de service et les limitations pour vous assurer que tous les scénarios et vos données et services d’entreprise sont bien protégés.
Autoriser uniquement des agents spécifiques à accéder aux ressources
Il existe deux scénarios métier clés dans lesquels les stratégies d’accès conditionnel peuvent vous aider à gérer efficacement les agents. Dans le premier scénario, vous souhaiterez peut-être vous assurer que seuls les agents approuvés peuvent accéder aux ressources. Pour ce faire, vous pouvez marquer des agents et des ressources avec des attributs de sécurité personnalisés ciblés dans votre stratégie ou en les sélectionnant manuellement à l’aide du sélecteur d’objets amélioré.
Créer une stratégie d’accès conditionnel à l’aide d’attributs de sécurité personnalisés
L’approche recommandée pour le premier scénario consiste à créer et à affecter des attributs de sécurité personnalisés à chaque blueprint agent ou agent, puis à cibler ces attributs avec une stratégie d’accès conditionnel. Cette approche utilise des étapes similaires à celles documentées dans Filter pour les applications dans la stratégie d’accès conditionnel. Vous pouvez affecter des attributs sur plusieurs jeux d’attributs à un agent ou une application cloud.
Créer et affecter des attributs personnalisés
- Créez les attributs de sécurité personnalisés :
- Créez un jeu d'attributs nommé AgentAttributes.
- Créez des attributs nommés AgentApprovalStatus qui autorisent l’attribution de plusieurs valeurs et autorisent uniquement l’attribution de valeurs prédéfinies.
- Ajoutez les valeurs prédéfinies suivantes : New, In_Review, HR_Approved, Finance_Approved, IT_Approved.
- Créez un autre ensemble d’attributs pour regrouper les ressources auxquelles vos agents sont autorisés à accéder.
- Créez un jeu d’attributs nommé ResourceAttributes.
- Créez des attributs nommés Department qui autorisent l’attribution de plusieurs valeurs et autorisent uniquement l’attribution de valeurs prédéfinies.
- Ajoutez les valeurs prédéfinies suivantes : Finance, RH, IT, Marketing, Sales.
- Affectez la valeur appropriée aux ressources auxquelles votre agent est autorisé à accéder. Par exemple, vous souhaiterez peut-être que seuls les agents HR_Approved puissent accéder aux ressources étiquetées RH.
Créer une stratégie d’accès conditionnel
Une fois les étapes précédentes terminées, créez une stratégie d’accès conditionnel à l’aide d’attributs de sécurité personnalisés pour bloquer toutes les identités de l’agent, à l’exception de celles examinées et approuvées par votre organisation.
- Connectez-vous au centre d’administration Microsoft Entra en tant qu’au moins un Administrateur d’accès conditionnel et Lecteur d’attribution d’attributs.
- Accédez à Entra ID>Accès conditionnel>Politiques.
- Sélectionnez Nouvelle stratégie.
- Donnez un nom à votre stratégie. Créez une norme significative pour les noms de vos stratégies.
- Sous Affectations, sélectionnez Utilisateurs, agents (aperçu) ou identités de tâches.
- Sous À quoi s'applique cette stratégie ?, sélectionnez Agents (préversion).
- Sous Inclure, sélectionnez Toutes les identités d’agent (Aperçu).
- Sous Exclure :
- Sélectionnez Sélectionner des identités d’agent en fonction des attributs.
- Définissez Configurer à Oui.
- Sélectionnez l’attribut que nous avons créé précédemment appelé AgentApprovalStatus.
- Définissez Opérateur sur Contient.
- Définissez la valeur à HR_Approved.
- Sélectionnez Terminé.
- Sous À quoi s'applique cette stratégie ?, sélectionnez Agents (préversion).
- Sous Ressources cibles, sélectionnez les options suivantes :
- Sélectionnez ce que cette stratégie s’applique aux ressources (anciennement applications cloud).
- Inclure toutes les ressources (anciennement « Toutes les applications cloud »)
- Sélectionnez ce que cette stratégie s’applique aux ressources (anciennement applications cloud).
- Sous Contrôles d’accès>Octroyer :
- Sélectionnez Bloquer.
- Sélectionnez Sélectionner.
- Confirmez vos paramètres et définissez Activer la politique sur Mode rapport uniquement.
- Sélectionnez Créer pour créer votre stratégie.
Après avoir confirmé vos paramètres à l’aide de l’impact de la stratégie ou du mode 'rapport uniquement', déplacez le bouton bascule d'activation de la stratégie de Rapport uniquement sur Activé.
Empêcher les identités d’agent à haut risque d’accéder aux ressources de l’organisation
Dans le deuxième scénario, les organisations peuvent créer une stratégie d’accès conditionnel pour bloquer les identités d’agent à haut risque en fonction de signals de Protection Microsoft Entra ID. Pour plus d’informations sur les types de détection des risques et les actions de réponse pour les agents, consultez Identity Protection pour les agents.
Les étapes suivantes créent une stratégie d’accès conditionnel pour empêcher toutes les identités d’agent à haut risque d’accéder aux ressources de votre organisation.
- Connectez-vous au centre d’administration Microsoft Entra en tant qu’au moins un Administrateur d’accès conditionnel.
- Accédez à Entra ID>Accès conditionnel>Politiques.
- Sélectionnez Nouvelle stratégie.
- Donnez un nom à votre stratégie. Créez une norme significative pour les noms de vos stratégies.
- Sous Affectations, sélectionnez Utilisateurs, agents (aperçu) ou identités de tâches.
- Sous À quoi s'applique cette stratégie ?, sélectionnez Agents (préversion).
- Sous Inclure, sélectionnez Toutes les identités d’agent (Aperçu).
- Sous À quoi s'applique cette stratégie ?, sélectionnez Agents (préversion).
- Sous Ressources cibles, sélectionnez les options suivantes :
- Sélectionnez ce que cette stratégie s’applique aux ressources (anciennement applications cloud).
- Incluez toutes les ressources (anciennement « Toutes les applications cloud ») .
- Sous Conditions>Risque de l'agent (préversion), réglez Configurer sur Oui.
- Sous Configurer les niveaux de risque de l’agent nécessaires à l’application de la stratégie, sélectionnez Élevé. Ces conseils sont basés sur des recommandations Microsoft et peuvent être différents pour chaque organisation.
- Sous Contrôles d'accès>Octroyer.
- Sélectionnez Bloquer.
- Sélectionnez Sélectionner.
- Confirmez vos paramètres et définissez Activer la politique sur Mode rapport uniquement.
- Sélectionnez Créer pour activer votre stratégie.
Après avoir confirmé vos paramètres à l’aide de l’impact de la stratégie ou du mode 'rapport uniquement', déplacez le bouton bascule d'activation de la stratégie de Rapport uniquement sur Activé.
Examen de l'évaluation de la stratégie à l'aide des journaux de connexion
Les administrateurs peuvent utiliser les journaux de connexion pour comprendre pourquoi une stratégie d’accès conditionnel a été ou n'a pas été appliquée comme expliqué dans les événements de connexion Microsoft Entra. Ces événements apparaissent dans les connexions du principal de service. Vous pouvez également filtrer par Type d’agent égal à Identité d’agent
Contenu connexe
- Gérer les identités d’agent dans votre organisation : vue d’ensemble de la gestion des identités des agents dans le cycle de vie complet.
- Accès conditionnel pour les identités d’agent
- Politiques de modèles d’accès conditionnel
- Accès conditionnel : Utilisateurs, groupes, agents et identités de charge de travail
- Accès conditionnel : Ressources cibles
- Accès conditionnel : conditions
- Accès conditionnel : Accorder
- Sécurité de l'IA avec l'identité d'agent Microsoft Entra
- Protection Microsoft Entra ID et agents