Conditional Access : passer des Security Defaults à une politique sur mesure

Pourquoi aller au-delà des Security Defaults

Les Security Defaults sont une bonne première ligne — ils imposent le MFA partout et bloquent l'authentification basique. Mais ils ne font pas de distinction : même contraintes pour le stagiaire et pour le dirigeant, même règles depuis le bureau et depuis un pays étranger inconnu. Conditional Access (CA) permet de définir des politiques précises : qui, depuis où, avec quel appareil, peut accéder à quoi.

Conditional Access est disponible avec Entra ID P1, inclus dans Microsoft 365 Business Premium. C'est un outil puissant — et à ce titre, mal configuré, il peut bloquer tout le monde hors du tenant. Lisez cet article en entier avant de toucher quoi que ce soit.

Important : désactiver les Security Defaults avant d'activer CA

Les deux systèmes sont incompatibles. Si vous activez Conditional Access avec les Security Defaults toujours actifs, les politiques CA ne s'appliquent pas. La séquence correcte : créer vos politiques CA en mode "rapport uniquement", vérifier qu'elles couvrent bien tout le monde, puis désactiver les Security Defaults.

Les 4 politiques minimales pour une PME

1. MFA pour tous les utilisateurs. La politique de base : exiger le MFA à chaque connexion. Créez une politique qui cible "Tous les utilisateurs" et "Toutes les applications cloud", avec comme contrôle "Exiger l'authentification multifacteur".

2. MFA renforcé pour les administrateurs. Les comptes admin sont les cibles prioritaires. Appliquez une politique distincte qui exige le MFA à chaque connexion pour tous les rôles admin, sans exception de localisation ou d'appareil.

3. Blocage des connexions depuis des pays improbables. Si votre équipe est en Belgique et en France, bloquez tout le reste. Dans CA : condition "Emplacements" → exclure les pays autorisés → contrôle "Bloquer l'accès". Ajoutez une exclusion pour votre compte d'urgence break-glass.

4. Blocage des protocoles d'authentification anciens. SMTP, IMAP, POP3 ne supportent pas le MFA. Créez une politique qui cible "Clients Exchange ActiveSync et autres clients" et applique "Bloquer l'accès". Attention avant d'activer : certaines imprimantes, scanners ou vieux logiciels utilisent encore ces protocoles. Inventoriez ces cas d'abord — sinon vous bloquez une machine de production sans le savoir.

Le compte "break-glass" : indispensable avant toute activation

Avant d'activer quoi que ce soit, créez un compte d'urgence break-glass : un compte admin global avec un mot de passe très long, stocké dans un coffre physique, exclu de toutes les politiques CA. Si une mauvaise configuration vous bloque vous-même hors du tenant, ce compte est votre roue de secours. Sans lui, un blocage accidentel peut être catastrophique.

Le mode "rapport uniquement" : tester sans risque

Chaque politique Conditional Access peut être activée en mode "rapport uniquement" avant d'être appliquée réellement. En mode rapport, la politique évalue les connexions et log ce qu'elle aurait fait, sans bloquer personne. Utilisez ce mode pendant 48 à 72 heures pour vérifier qu'aucune application légitime ne serait bloquée.

Ce qu'on configure ensuite (étape avancée)

• Exiger un appareil conforme Intune pour accéder aux données sensibles
• Bloquer le téléchargement de fichiers depuis des appareils non gérés
• Forcer une réévaluation MFA toutes les 24 heures plutôt que de maintenir des sessions permanentes

Ces politiques avancées se construisent progressivement, une fois les quatre politiques de base bien rodées.