View Categories

Temps de lecture estimé: 6 min de lecture

Ce que vous devez faire:

Dans cet exercice, vous allez créer une règle de sécurité stricte (accès conditionnel) pour empêcher un utilisateur d’accéder aux portails d’administration. Vous testerez ensuite l’impact de cette politique en changeant de rôle pour vous connecter comme l’employée visée.

Temps appromatif:  45 minutes

Prérequis:

Pour cet exercice, vous devez avoir un accès à Microsoft 365 et avoir sous la main un appareil mobile pour l’application d’authentification.

Scénario de mise en situation :

Une employée de la clinique, Debra Berger, vient d’être mutée temporairement à un rôle de bureau qui ne requiert absolument aucun droit de gestion technique. Pour appliquer le principe de sécurité du moindre privilège, le directeur vous demande de verrouiller ses accès.

Votre mandat en tant que technicien ou technicienne informatique est de configurer une politique d’Accès Conditionnel dans Microsoft Entra ID. Cette règle doit autoriser Debra à utiliser ses outils de travail quotidiens (courriels, Word, Excel), mais lui bloquer catégoriquement l’accès aux consoles d’administration de l’entreprise (portail Azure, centre d’administration Entra, etc.), évitant ainsi toute modification accidentelle de l’infrastructure.

Objectif: Réinitialiser le mot de passe de l’employée

Explication:

Pour pouvoir tester la politique de sécurité plus tard en vous faisant passer pour Debra, vous devez d’abord réinitialiser son mot de passe actuel que vous ne connaissez pas.

Tache 1: Réinitialiser le compte de Debra Berger

  • Ouvrez votre navigateur Microsoft Edge, accédez au portail Microsoft Entra ([https://entra.microsoft.com](https://entra.microsoft.com)) et connectez-vous avec vos identifiants d’administrateur de laboratoire.
  • Dans le menu de gauche, déroulez la section Microsoft Entra ID, cliquez sur Utilisateurs (Users), puis sélectionnez Tous les utilisateurs (All users).
  • Repérez et cliquez sur Debra Berger dans la liste des employés.
  • Dans le menu supérieur de sa fiche de profil, cliquez sur Réinitialiser le mot de passe (Reset password).
  • Dans la fenêtre qui s’ouvre à droite, cliquez sur le bouton bleu Réinitialiser le mot de passe (Reset Password).
  • ⚠️ Très important : Notez immédiatement le mot de passe temporaire généré à l’écran. Vous en aurez absolument besoin pour l’Objectif 3 !
  • Fermez la boîte de réinitialisation et la fiche de Debra en cliquant sur les X en haut à droite des volets.
  • Dans le menu de gauche, cliquez sur Accueil (Home) pour revenir à la page d’accueil du portail d’administration.

Objectif: Créer la politique d’accès conditionnel

Explication:

L’accès conditionnel analyse des signaux (Qui se connecte ? D’où ? Vers quelle application ?) avant de décider d’autoriser, de bloquer ou d’exiger une double authentification (MFA). Nous allons concevoir la règle de blocage pour Debra.

Tache 1: Configurer les cibles et l’application visée

  • Dans le menu de gauche du portail Microsoft Entra, sous Microsoft Entra ID, faites défiler vers le bas et sélectionnez Accès conditionnel (Conditional Access).
  • Cliquez sur l’onglet Vue d’ensemble (Overview) pour observer le résumé des politiques actives, puis dans le menu de gauche, cliquez sur Stratégies (Policies).
  • Cliquez sur + Nouvelle stratégie (+ New policy) en haut de l’écran.
  • Dans le champ Nom (Name), saisissez : Bloquer portails admin.
  • Sous la section Utilisateurs (Users), assurez-vous que l’onglet Inclure (Include) est sélectionné, cochez Sélectionner des utilisateurs et des groupes (Select users and groups), puis cochez la case Utilisateurs et groupes (Users and groups).
  • Dans la barre de recherche à droite, saisissez Debra. Sélectionnez Debra Berger lorsqu’elle apparaît et cliquez sur le bouton Sélectionner (Select) en bas.
  • Sous la section Ressources cibles (Target resources), conservez l’option par défaut Ressources (anciennement applications cloud) dans le menu déroulant.
  • Assurez-vous d’être dans l’onglet Inclure (Include), cochez Sélectionner les ressources (Select resources), puis cliquez sur le lien Aucun (None) sous Sélectionner des applications cloud spécifiques.
  • Dans le volet de recherche de droite, recherchez et sélectionnez Portails d’administration Microsoft (Microsoft Admin Portals), puis cliquez sur Sélectionner au bas de la page. (Prenez connaissance de l’avertissement de sécurité qui s’affiche).

Tache 2: Définir le contrôle d’accès et activer la règle

  • (Optionnel) Sous la section Conditions, explorez les options disponibles sans les modifier. Remarquez que vous pourriez restreindre l’accès selon le pays, le type d’appareil (iOS, Android, Windows) ou le niveau de risque de la connexion.
  • Sous la section Contrôles d’accès (Access controls), cliquez sur Accorder (Grant) qui indique actuellement 0 contrôle sélectionné.
  • Dans le panneau de droite, sélectionnez l’option Bloquer l’accès (Block access), puis cliquez sur le bouton Sélectionner au bas du panneau.
  • Tout au bas de l’écran de création, sous l’option Activer la stratégie (Enable policy), basculez le bouton sur Activé (On).
  • Cliquez sur le bouton Créer (Create) au bas de l’écran.
  • Validez que votre nouvelle politique Bloquer portails admin apparaît bien dans votre liste (cliquez sur Actualiser/Refresh en haut au besoin).
  • Déconnectez-vous de votre session d’administrateur en cliquant sur votre icône de profil en haut à droite, puis fermez toutes les fenêtres de navigation.

Objectif: Tester l’impact de la politique (Côté Utilisateur)

Explication:

Nous allons maintenant vérifier si notre configuration fonctionne. Nous allons d’abord tester si Debra peut accéder à ses outils de travail légitimes (portail Microsoft 365), puis nous tenterons de forcer l’entrée sur le portail d’administration Azure.

Tache 1: Vérifier l’accès autorisé aux outils de travail standard

  1. Ouvrez une nouvelle fenêtre de votre navigateur Microsoft Edge en mode navigation privée (InPrivate).
  2. Rendez-vous sur le portail standard de connexion : [https://login.microsoftonline.com](https://login.microsoftonline.com)
  3. Connectez-vous avec les identifiants de Debra Berger (ex: DebraB@votre-domaine.onmicrosoft.com) et le mot de passe temporaire noté à l’Objectif 1.
  4. Le système vous demandera de modifier le mot de passe temporaire. Saisissez-en un nouveau, confirmez-le et notez-le.
  5. Si le système vous demande de configurer l’authentification multifacteur (MFA), suivez brièvement les étapes rapides à l’écran.
  6. Répondez Oui à la question « Rester connecté ? ». Vous devriez accéder avec succès à l’environnement d’accueil Microsoft 365 de Debra. L’accès standard fonctionne parfaitement !

Tache 2: Tester le blocage sur les portails administratifs

  1. Ouvrez un nouvel onglet dans la même fenêtre de navigation privée.
  2. Essayez d’accéder au portail d’administration de Microsoft Azure en saisissant l’adresse : [https://portal.azure.com](https://portal.azure.com)
  3. Regardez attentivement l’écran : un message d’interdiction s’affiche indiquant « Vous n’avez pas accès à ce contenu » (You don’t have access to this).
  4. La politique d’accès conditionnel que vous venez de créer a intercepté sa requête et a bloqué la connexion instantanément !
  5. Pour terminer, déconnectez la session de Debra en cliquant sur ses initiales en haut à droite et en choisissant Se déconnecter (Sign out), puis fermez toutes les fenêtres.

Félicitations !

Votre politique d’accès conditionnel est un succès total. Debra Berger peut travailler sereinement avec ses outils bureautiques quotidiens, tandis que l’infrastructure de la clinique dentaire Santé-Plus est protégée contre toute modification non autorisée.

La video.

A venir

 

Scroll to Top