Définir l'accès conditionnel pour accorder l'accès uniquement à l'intérieur du centre de données CoreView

  • Last update on May 9th, 2024

L'utilisation de l'accès conditionnel pour accorder l'accès uniquement à l'intérieur du centre de données choisi est cruciale pour atténuer les risques potentiels. Cela garantit que les comptes CoreView ne peuvent pas être utilisés en dehors du centre de données et restent sécurisés. Il est recommandé de mettre en œuvre cette étape en même temps que de désactiver MFA pour les comptes de service .

Condition : ce processus nécessite un abonnement Azure Active Directory Premium P1 ou P2.

 

Exclure les comptes de service CoreView des stratégies existantes

Étape 1

Connectez-vous au portail Azure en tant qu'administrateur.

Étape 2

Ouvrez le panneau Azure Active Directory.

Remarque : Si Azure Active Directory n'est pas présent parmi les services Azure récemment utilisés ou dans le tableau de bord, recherchez-le dans la barre de recherche en haut du portail Web Azure ou cliquez sur plus de services.

Étape 3

Cliquez sur le menu Sécurité puis sur « Accès conditionnel » :

Le menu « Accès conditionnel – Policies » s’ouvrira :

  • Si vous disposez d'une stratégie qui applique l'authentification multifacteur sur les comptes d'administrateur, vous devez en exclure les comptes d'utilisateurs du service CoreView (voir les instructions des étapes 5 à 8).
  • Si vous ne disposez pas d'une politique d'accès conditionnel qui applique l'authentification multifacteur sur les comptes d'administrateur, veuillez passer à l'étape 9 ci-dessous.

Étape 5

Cliquez sur le nom de la stratégie pour ouvrir ses détails. Cliquez sur Utilisateurs et groupes sous Affectation, puis sur l'onglet Exclure sur le côté droit.

Étape 6

Cochez la case « Utilisateurs et groupes ». Ensuite, dans le panneau « Sélectionner les utilisateurs exclus », recherchez le ou les utilisateurs du service CoreView .

Remarque : Le nombre d'utilisateurs du service dépend de la taille de votre locataire. 

Si vous avez besoin des règles de nommage pour les comptes de service, veuillez consulter votre Technical Account Manager ou contacter le support.

 

Étape 7

Cliquez sur un compte utilisateur pour le sélectionner et il apparaîtra dans la zone Éléments sélectionnés sous la recherche. Effectuez cette action pour tous les utilisateurs du service CoreView et appuyez sur le bouton Sélectionner. Le menu Sélectionner les utilisateurs exclus se fermera.

Étape 8

Cliquez sur le bouton Enregistrer sur le côté gauche de la fenêtre pour enregistrer vos modifications de stratégie .
Nous pouvons maintenant continuer et configurer les adresses IP autorisées pour ces utilisateurs.


Configurer les adresses IP autorisées pour ces utilisateurs

Étape 9

Créez un emplacement nommé et ajoutez des adresses IP. Un nouvel emplacement nommé doit être créé. Sélectionnez Emplacements nommés dans la section Gérer et cliquez sur + Emplacement des plages IP.

Étape 10

Insérez le nom de l'emplacement (Recommandé : IP de la plate-forme CoreView <formulaire régional>) et toutes les adresses IP avec les sous-réseaux dans le tableau ci-dessous. Une fois la liste terminée, cliquez sur « Créer ».

Remarque : Nous avons utilisé les adresses IP des centres de données européens pour cet exemple.

Veuillez vous référer au tableau suivant pour connaître la liste actuelle des adresses IP approuvées du centre de données CoreView , ci-dessous. Remarque : vous pouvez cocher la case « Marquer comme emplacement approuvé » pour réduire le risque de connexion de l'utilisateur.

 

Créer une nouvelle stratégie pour les comptes de service CoreView

Étape 11

Créez une nouvelle stratégie pour les comptes de service CoreView . Une nouvelle politique doit être créée. Sélectionnez Policy et cliquez sur Nouvelle Policy .

Étape 12

Insérez la nouvelle Policy . Insérez le nom de la stratégie (Exemple : Points de terminaison CoreView Safelist) et ajoutez tous les utilisateurs du service CoreView et les applications cloud. Pour ce faire, apportez des modifications aux zones sous Affectations.

Cliquez d'abord sur Utilisateurs et groupes.


Dans l'onglet « Inclure », sélectionnez « Utilisateurs et groupes » et appuyez sur « Sélectionner ». Dans la barre de sélection, recherchez tous les utilisateurs du service CoreView et ajoutez-les en tant que membres de la stratégie . Remarque : Le nombre d'utilisateurs du service dépend de la taille de votre locataire. Les règles pour les noms sont :

   cvroa<randomicnumber>@<onmicrosoft domain>  
   coreview.reports<randomicnumber>@<onmicrosoft domain>  
   4ward365.admin@<onmicrosoft domain>  

Appuyez sur le bouton « Sélectionner » pour sélectionner les utilisateurs de la stratégie .

Dans la section « Applications ou actions cloud », cliquez sur « Aucune application ou action cloud sélectionnée ». Choisissez « Toutes les applications cloud » dans l'onglet « Inclure », comme indiqué dans la capture d'écran. « Aucune application ou action cloud sélectionnée » deviendra « Toutes les applications cloud ».

Dans la section Conditions, vous devez inclure tous les emplacements et exclure l'emplacement créé précédemment, cliquez donc sur 0 conditions sélectionnées puis sur Emplacements. Réglez le bouton Configurer sur Oui.


Dans l'onglet Inclure de la section Emplacements, définissez N'importe quel emplacement comme indiqué dans la capture d'écran ci-dessus.

Dans l'onglet Exclure de la section Emplacements, assurez-vous que Emplacements sélectionnés est sélectionné, puis cliquez sur Aucun. Recherchez l'emplacement créé précédemment pour qu'il soit exclu.

Vérifiez l'emplacement et appuyez sur Sélectionner.

Dans la section Contrôles d'accès, cliquez sur 0 contrôle sélectionné sous Accorder.

Dans cette étape. nous vous recommandons de bloquer l'accès. Sélectionnez Bloquer l'accès et appuyez sur Sélectionner.

Vous pouvez également activer l'authentification multifacteur pour les utilisateurs du service CoreView à partir d'adresses IP non exclues. Pour ce faire, choisissez Accorder l'accès dans la section Accorder et cochez Exiger une authentification multifacteur :

Comme dernière étape, activez cette stratégie et cliquez sur Créer.

La politique est désormais répertoriée dans Accès conditionnel – Policies