You are viewing an old version of this page. View the current version.
Compare with Current
View Page History
Version 1
Next »
Introduction
Fonctionnement
Comportement Standard
La validation Multi-Facteur (MFA) est demandée tous les 7 jours.
Comportement Spécial
Voyageur : Limité au navigateur, MFA toutes les heures
BYOD (Bring Your Own Device) [Périphérique personnel] : Limité au navigateur, MFA tous les jours
Compte administrateur : Lieux restreints, MFA toutes les 2 heures
Détail des Stratégies
Le tableau ci-dessous présente les cas de fonctionnement et leur blocage (en rouge) et l’autorisation de se connecter (en vert).
Détail des colonnes
La colonne périphérique indique le type de poste :
PC d’entreprise : PC ou portable Windows ou Mac fourni par l’entreprise et intégrer à l’environnement du client
Mobile d’entreprise : mobile (iOS/Android) fourni par l’entreprise et qui reste sa possession
Mobile BYOD enrôlé : mobile (iOS/Android) personnel du collaborateur connecté à l’environnement de l’entreprise
BYOD : Mobile (iOS/Android) ou poste de travail personnel (Windows/Mac) non connecté à l’environnement de l’entreprise ou un “Business Corner” dans hôtel.
Inconnu : Tout autre point d’accès à l’informatique
la colonne groupe précise des groupes d’utilisateurs spéciaux permettant de modifier le comportement des sécurité ou d’exclure de certaines règles.
Voyager : permet d’autoriser temporairement des personnes à accéder aux données via un navigateur internet depuis le monde entier à l’exception des “Pays bloqués”.
Exclude-CA : exclue de toutes les règles de sécurité. Ce groupe ne doit contenir personne à long terme
Exclude-CA-ClientApp : exclue de l’obligation d'enrôlement pour les mobiles personnels afin d’accéder aux données d’entreprise. Ce groupe permet de gérer cet enrôlement en sortant les personnes au fil de l’eau.
Exclude-CA-Services : exclue des règles d’accès pour les comptes de service. Ce groupe permet de résoudre des situations bloquantes et ne devrait contenir aucun compte à long terme.
Exclude-CA-Guest : exclue des règles d’accès les invités (personnes externes à l’entreprise) afin de ne pas gêner le fonctionnement. Ce groupe ne devrait contenir personne à long terme.
Exclude-LegacyAuth-Block : exclue des règles d’accès et autorise les protocoles de sécurité historique (legacy). Ce groupe ne devrait contenir personne à long terme.
La colonne localisation précise des listes d’emplacement qui limite l’accès :
Pays bloqués : liste de pays systématiquement bloqué. Cette liste permet d’exclure des pays entiers en fonction des menaces.
Bureau : Liste d’adresse réseau (IP) des bureaux du clients.
Pays OK : Liste de pays (identification basé sur l’adresse IP) autorisés à accéder aux données depuis des périphériques d’entreprise ou en web.
IP TS : Liste d’adresse de serveur du client ayant besoin d’accéder à des données mais n'étant pas identifié sous forme de pays.
Pays Admins OK : Liste des pays autorisés à accéder en tant qu’admin à l’environnement de l’entreprise.
Pays Invités OK : Liste des pays autorisés à accéder en tant qu’invité à l’environnement de l’entreprise.
La colonne application précise le type d’application utilisable :
Historique : Type de protocole historique non sécurisable par double authentification (IMAP, SMTP, POP3, …)
Client : Application dite de client lourd installé sur des postes comme Outlook, Word, Excel, …
Navigateur : Navigateur internet (Chrome, Firefox, Edge)
Intune : Système de gestion des postes de Microsoft (permet l'enrôlement des postes et leur gestion et configuration).
La colonne détail indique les options pour valider la connexion à l'infrastructure :
MFA (AuthStrength) : demande de la double authentification par SMS, Application Push, clé sécurité, …)
Session: x jours/heures : demande de revalidation de la session par double authentification tous les x jours ou heures.
MFA : demande de double authentification sans obligation de niveau de sécurité (non supporté actuellement par MS)
Scénario | Nom de la stratégie d’accès conditionnel | Type de compte | Périphérique | Groupe | Localisation | Application | Détail |
|---|
Z | Komodo-Block-All-Emergency.Countries | Tous | | | Pays bloqués | | |
A | Komodo-Block-UAG-Legacy.Auth | Utilisateurs
Administrateurs
Invités | | | | Legacy | |
B | Komodo-Grant-U-DeviceEnterprise.MobileMDM | Utilisateur | PC Entreprise
Mobile Entreprise
Mobile BYOD Enrôlé | | | Client
Navigateur | MFA (AuthStrength)
Session: 7 jours |
C | Komodo-Grant-U-DeviceUnknown.AllowedCountries.ExcludeClientApp | Utilisateur | BYOD
Inconnu | Exclude-CA-ClientApp | Bureau
Pays OK
PAS IP TS | Client
Navigateur | MFA (AuthStrength)
Session: 7 jours |
D | Komodo-Grant-U-DeviceUnknown.AllowedCountries.NOTExcludeClientApp.Browser | Utilisateur | BYOD
Inconnu | PAS Voyager
PAS Exclude-CA-ClientApp | Bureau
Pays OK
PAS IP TS | Navigateur
Intune | MFA (AuthStrength)
Session: 1 jour |
E | Komodo-Block-U-DeviceUnknown.AllowedCountries.NOTExcludeClientApp.Client | Utilisateur | BYOD
Inconnu | PAS Voyager
PAS Exclude-CA-ClientApp | Bureau
Pays OK
PAS IP TS | Client
PAS Intune | |
F | Komodo-Block-U-DeviceUnknown.NOTAllowedCountries | Utilisateur | BYOD
Inconnu | PAS Voyager | PAS Pays OK | | |
G | Komodo-Grant-U-Voyager.Browser | Utilisateur | | Voyager | | Navigateur | MFA (AuthStrength)
Session: 1 heure |
H | Komodo-Block-U-Voyager.Client | Utilisateur | | Voyager | | Client | |
I | Komodo-Grant-U-DeviceUnknown.AllowedCountries.TS | Utilisateur | BYOD
Inconnu | PAS Voyager | IP TS | Client
Navigateur | MFA (AuthStrength)
Session: 7 jours |
J | Komodo-Block-A-NOTAllowedCountries | Administrateurs | | | PAS Pays Admins OK | | |
K | Komodo-Grant-A-AllowedCountries | Administrateurs | | | Bureau
Pays Admins OK
IP Silicom | | MFA (AuthStrength)
Session: 2 heure
Jamais Persistant |
P | Komodo-Grant-G-AllowedCountries.RequireMFA | Invités | | PAS Exclude-CA-Guest | Pays Invités OK | | MFA |
Q | Komodo-Block-G-NOTAllowedCountries | Invités | | | PAS Pays Invités OK | | |