Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 3 Next »

Introduction

Description des différents scénarios évalués par l’environnement 365.

L'évaluation s’effectue de la manière suivante:

  • Tous les scénarios sont évalués systématiquement.

  • Ils peuvent ne pas s’appliquer si les critères ne sont pas remplis.

  • Si un scénario bloque l’accès, alors l’accès est bloqué, même si un autre scénario autorise l’accès.

Fonctionnement

Comportement Standard

La validation Multi-Facteur (MFA) est demandée tous les 7 jours.

Comportement Spécial

Voyageur : Limité au navigateur, MFA toutes les heures

BYOD (Bring Your Own Device) [Périphérique personnel] : Limité au navigateur, MFA tous les jours

Compte administrateur : Lieux restreints, MFA toutes les 2 heures

Diagramme simplifié

CA SMO User diagramm_SIMPLE-20240415-064431.png

Détail des Stratégies

Le tableau ci-dessous présente les cas de fonctionnement et leur blocage (en rouge) et l’autorisation de se connecter (en vert).

 Détail des colonnes

La colonne périphérique indique le type de poste :

  • PC d’entreprise : PC ou portable Windows ou Mac fourni par l’entreprise et intégrer à l’environnement du client

  • Mobile d’entreprise : mobile (iOS/Android) fourni par l’entreprise et qui reste sa possession

  • Mobile BYOD enrôlé : mobile (iOS/Android) personnel du collaborateur connecté à l’environnement de l’entreprise

  • BYOD : Mobile (iOS/Android) ou poste de travail personnel (Windows/Mac) non connecté à l’environnement de l’entreprise ou un “Business Corner” dans hôtel.

  • Inconnu : Tout autre point d’accès à l’informatique

la colonne groupe précise des groupes d’utilisateurs spéciaux permettant de modifier le comportement des sécurité ou d’exclure de certaines règles.

  • Voyager : permet d’autoriser temporairement des personnes à accéder aux données via un navigateur internet depuis le monde entier à l’exception des “Pays bloqués”.

  • Exclude-CA : exclue de toutes les règles de sécurité. Ce groupe ne doit contenir personne à long terme

  • Exclude-CA-ClientApp : exclue de l’obligation d'enrôlement pour les mobiles personnels afin d’accéder aux données d’entreprise. Ce groupe permet de gérer cet enrôlement en sortant les personnes au fil de l’eau.

  • Exclude-CA-Services : exclue des règles d’accès pour les comptes de service. Ce groupe permet de résoudre des situations bloquantes et ne devrait contenir aucun compte à long terme.

  • Exclude-CA-Guest : exclue des règles d’accès les invités (personnes externes à l’entreprise) afin de ne pas gêner le fonctionnement. Ce groupe ne devrait contenir personne à long terme.

  • Exclude-LegacyAuth-Block : exclue des règles d’accès et autorise les protocoles de sécurité historique (legacy). Ce groupe ne devrait contenir personne à long terme.

La colonne localisation précise des listes d’emplacement qui limite l’accès :

  • Pays bloqués : liste de pays systématiquement bloqué. Cette liste permet d’exclure des pays entiers en fonction des menaces.

  • Bureau : Liste d’adresse réseau (IP) des bureaux du clients.

  • Pays OK : Liste de pays (identification basé sur l’adresse IP) autorisés à accéder aux données depuis des périphériques d’entreprise ou en web.

  • IP TS : Liste d’adresse de serveur du client ayant besoin d’accéder à des données mais n'étant pas identifié sous forme de pays.

  • Pays Admins OK : Liste des pays autorisés à accéder en tant qu’admin à l’environnement de l’entreprise.

  • Pays Invités OK : Liste des pays autorisés à accéder en tant qu’invité à l’environnement de l’entreprise.

La colonne application précise le type d’application utilisable :

  • Historique : Type de protocole historique non sécurisable par double authentification (IMAP, SMTP, POP3, …)

  • Client : Application dite de client lourd installé sur des postes comme Outlook, Word, Excel, …

  • Navigateur : Navigateur internet (Chrome, Firefox, Edge)

  • Intune : Système de gestion des postes de Microsoft (permet l'enrôlement des postes et leur gestion et configuration).

La colonne détail indique les options pour valider la connexion à l'infrastructure :

  • MFA (AuthStrength) : demande de la double authentification par SMS, Application Push, clé sécurité, …)

  • Session: x jours/heures : demande de revalidation de la session par double authentification tous les x jours ou heures.

  • MFA : demande de double authentification sans obligation de niveau de sécurité (non supporté actuellement par MS)

Scénario

Nom de la stratégie d’accès conditionnel

Type de compte

Périphérique

Groupe

Localisation

Application

Détail

Z

Komodo-Block-All-Emergency.Countries

Tous

 

 

Pays bloqués

 

 

A

Komodo-Block-UAG-Legacy.Auth

Utilisateurs
Administrateurs
Invités

 

 

 

Legacy

 

B

Komodo-Grant-U-DeviceEnterprise.MobileMDM

Utilisateur

PC Entreprise
Mobile Entreprise
Mobile BYOD Enrôlé

 

 

Client
Navigateur

MFA (AuthStrength)
Session: 7 jours

C

Komodo-Grant-U-DeviceUnknown.AllowedCountries.ExcludeClientApp

Utilisateur

BYOD
Inconnu

Exclude-CA-ClientApp

Bureau
Pays OK
PAS IP TS

Client
Navigateur

MFA (AuthStrength)
Session: 7 jours

D

Komodo-Grant-U-DeviceUnknown.AllowedCountries.NOTExcludeClientApp.Browser

Utilisateur

BYOD
Inconnu

PAS Voyager
PAS Exclude-CA-ClientApp

Bureau
Pays OK
PAS IP TS

Navigateur
Intune

MFA (AuthStrength)
Session: 1 jour

E

Komodo-Block-U-DeviceUnknown.AllowedCountries.NOTExcludeClientApp.Client

Utilisateur

BYOD
Inconnu

PAS Voyager
PAS Exclude-CA-ClientApp

Bureau
Pays OK
PAS IP TS

Client
PAS Intune

 

F

Komodo-Block-U-DeviceUnknown.NOTAllowedCountries

Utilisateur

BYOD
Inconnu

PAS Voyager

PAS Pays OK

 

 

G

Komodo-Grant-U-Voyager.Browser

Utilisateur

 

Voyager

 

Navigateur

MFA (AuthStrength)
Session: 1 heure

H

Komodo-Block-U-Voyager.Client

Utilisateur

 

Voyager

 

Client

 

I

Komodo-Grant-U-DeviceUnknown.AllowedCountries.TS

Utilisateur

BYOD
Inconnu

PAS Voyager

IP TS

Client
Navigateur

MFA (AuthStrength)
Session: 7 jours

J

Komodo-Block-A-NOTAllowedCountries

Administrateurs

 

 

PAS Pays Admins OK

 

 

K

Komodo-Grant-A-AllowedCountries

Administrateurs

 

 

Bureau
Pays Admins OK
IP Silicom

 

MFA (AuthStrength)
Session: 2 heure
Jamais Persistant

P

Komodo-Grant-G-AllowedCountries.RequireMFA

Invités

 

PAS Exclude-CA-Guest

Pays Invités OK

 

MFA

Q

Komodo-Block-G-NOTAllowedCountries

Invités

 

 

PAS Pays Invités OK

 

  • No labels