Un collaborateur d'Argos a accédé à Exchange Online depuis un hôtel en Chine avec Outlook via POP3. Le compte était compromis. Aucune politique n'a bloqué la connexion.
🎯
L'objectif
Mettre en place des politiques d'Accès Conditionnel : exiger MFA, bloquer l'auth legacy, exiger un appareil conforme Intune pour les apps sensibles.
🏗️
L'architecture
L'Accès Conditionnel vit dans Microsoft Entra ID, pas dans Intune. Intune fournit le signal de conformité. Les politiques se configurent dans Entra admin center > CA (même nœud dans Intune admin center).
📋
La licence requise
CA de base : Microsoft Entra ID P1 (inclus M365 E3, EMS E3). CA basé sur les risques : Entra ID P2 (M365 E5, EMS E5). Entra ID Free n'inclut pas l'AC.
⚠️ Important 2026 : Le grant "Require Approved Client App" a été retiré en mars 2026. Toutes les politiques utilisant uniquement ce grant doivent être migrées vers "Require App Protection Policy" ou "Require Approved Client App OR App Protection Policy".
1
Anatomie d'une politique CA : le principe IF → THEN
Une politique d'Accès Conditionnel est une déclaration si-alors : IF (Assignments) → THEN (Access Controls). Plusieurs politiques peuvent s'appliquer simultanément : elles sont toutes évaluées en AND logique.
IF
Tous les utilisateurs tentent d'accéder à Exchange Online depuis un client legacy (POP/IMAP/SMTP)
↓
THEN
Block access Les clients legacy ne supportent pas MFA. Cette politique élimine le vecteur d'attaque du scénario Argos.
IF
Tous les utilisateurs accèdent à Toutes les applications cloud
↓
THEN
Require MFA Exiger l'authentification multi-facteurs pour chaque connexion.
IF
Tous les utilisateurs accèdent à Exchange Online / SharePoint depuis un appareil Windows / macOS / Linux
↓
THEN
Require device to be marked as compliant (Intune) : L'appareil doit être enregistré dans Entra ID ET inscrit dans Intune ET conforme à la politique de conformité.
💡 Plusieurs politiques peuvent s'appliquer simultanément à un utilisateur. Toutes doivent être satisfaites (AND logique). Si une politique exige MFA et une autre un appareil conforme, l'utilisateur doit satisfaire LES DEUX.
2
Grant Controls : Clique pour choisir tes contrôles
Clique sur les contrôles à activer pour simuler la politique résultante. Les contrôles s'appliquent dans l'ordre ci-dessous lors de l'enforcement.
🚫
Block access
Bloque tout accès. Prioritaire sur tous les autres contrôles.
Entra P1
🔐
Require MFA
Exige une authentification multi-facteurs (MFA). Windows Hello for Business satisfait ce contrôle.
Entra P1
✅
Require compliant device
Appareil enregistré dans Entra ID + inscrit Intune + conforme à la politique de conformité.
Entra P1 + Intune
🏢
Require hybrid joined
Appareil joint à Active Directory on-premises ET enregistré dans Entra ID (coexistence hybride).
Entra P1
📱
Require app protection policy
App avec politique de protection Intune (MAM). Sans enrollment appareil. iOS + Android (Windows en preview).
Entra P1 + Intune
⚠️
Require approved client app
Migrer vers "App protection policy". RETIRÉ mars 2026.
Retiré mars 2026
🛡️
Require auth strength
Exige un niveau d'authentification spécifique (phishing-resistant, MFA, etc.).
Entra P1
🔑
Require password change
Forcer la réinitialisation de mot de passe si user risk détecté. Requiert ID Protection + pré-inscription MFA.
Entra P2
Logique des contrôles :
↑ Sélectionne un ou plusieurs contrôles pour voir la politique résultante.
3
Conditions : Affiner la portée de la politique
Les conditions permettent de cibler précisément quand la politique s'applique. Clique sur chaque condition pour voir ses valeurs possibles.
🖥️ Device platforms+
AndroidiOS / iPadOSWindowsmacOSLinux
Source : user-agent string (non vérifiable). Recommandé de combiner avec la politique de conformité Intune.
📲 Client apps+
Modern auth
Browser · Mobile apps · Desktop clients (supporte MFA)
Legacy auth (à bloquer)
Exchange ActiveSync · Other clients (IMAP, POP, SMTP, MAPI) : NE supportent PAS MFA
🌍 Network / Locations+
Entra ID > Conditional Access > Named locations
IPv4 rangesIPv6 rangesCountriesTrusted locations
Ex : marquer le réseau du siège Argos comme Trusted. Exiger MFA uniquement hors du réseau de confiance.
⚡ Sign-in / User risk+
Entra ID P2 requis
Niveaux : Low · Medium · High Sign-in risk : probabilité que la session ne vienne pas du propriétaire du compte. User risk : probabilité que le compte soit compromis.
Fourni par Microsoft Entra ID Protection (inclus Entra P2).
🔍 Filter for devices+
Ciblage granulaire sur attributs appareil. Remplace "Device state" (déprécié).
La politique s'applique à tous les utilisateurs du tenant.
⚠ Exclure : SG-BreakGlass-Accounts
Toujours exclure les comptes d'urgence (break-glass) pour éviter le lockout admin.
⚠️ Ne jamais appliquer à "All users" sans exclusion d'un compte break-glass. En cas de bug de configuration, tu pourrais perdre l'accès au tenant.
Étape 2 / 6
Étape 3 : Target resources
✓ Inclure : All cloud apps
Bloquer l'auth legacy sur toutes les applications. Pour une politique plus ciblée : sélectionner Exchange Online uniquement.
💡 Target resources inclut les applications Microsoft 365 (Exchange, SharePoint, Teams), les apps SAML/OIDC enregistrées dans Entra, et les apps on-premises via Entra App Proxy.
Étape 3 / 6
Étape 4 : Conditions : Client apps
❌
Exchange ActiveSync clients
Cibler (à bloquer)
❌
Other clients
IMAP · POP · SMTP · MAPI (à bloquer)
⚠️ Ne pas inclure "Browser" ni "Mobile apps and desktop clients" dans cette politique : cela bloquerait les connexions modernes qui supportent MFA.
Étape 4 / 6
Étape 5 : Access controls : Grant
🚫
Block access
Toute connexion via auth legacy est bloquée. Pas de MFA possible pour ces protocoles.
💡 Report-only mode recommandé avant activation : la politique est évaluée mais pas appliquée. Vérifie dans Sign-in logs (CA = Report-only result) que tu ne bloques pas de connexions légitimes.
Étape 5 / 6
Étape 6 : Activer la politique
Enable policy
Report-onlyOn ✓Off
🎉 Politique CA-Argos-LegacyAuth-Block activée ! L'incident Argos est désormais impossible : toute connexion via POP/IMAP/SMTP/ActiveSync est bloquée à la source, quelle que soit la localisation.
Étape 6 / 6 ✓
5
Device-based CA vs App-based CA (MAM) : Simulateur
💻
Device-based CA
PrérequisEnregistrement Entra ID + Enrollment Intune
GrantRequire device to be marked as compliant
PlateformesWindows / iOS / Android / macOS / Linux
Cas d'usagePostes d'entreprise gérés : BYOD non supporté sans enrollment
AvantageContrôle total de l'appareil (chiffrement, conformité, MDM)
📱
App-based CA (MAM)
PrérequisApp avec Intune App Protection Policy (MAM)
GrantRequire app protection policy
PlateformesiOS · Android (Windows en preview)
Cas d'usageBYOD : protection des données dans l'app sans toucher à l'appareil personnel
AvantagePas d'enrollment : respect de la vie privée BYOD
Simulateur de décisions CA
Résultats des politiques CA d'Argos Consulting sur différents scénarios de connexion :
Utilisateur
Appareil
Client app
Localisation
Résultat CA
Raison
Alice (RH)
ARGOS-PC-012 W11, Intune, Conforme
Outlook (MSAL)
Paris (Trusted)
✅ Accordé
Appareil conforme, auth moderne, réseau de confiance
Bob (Sales)
iPhone perso MAM APP active
Outlook iOS
Lyon
✅ Accordé
App protection policy présente : MAM CA satisfait
Claire (Finance)
Mac perso Non enrolled
Outlook Mac
Télétravail
🔐 MFA requis
Auth moderne mais appareil non conforme → MFA seul requis (pas de politique compliance active)
David (IT Admin)
ARGOS-PC-007 W11, Intune, Conforme
Thunderbird (IMAP)
Paris
❌ Bloqué
CA-Argos-LegacyAuth-Block : IMAP = legacy auth, bloqué même si appareil conforme
Eva (Marketing)
Android Samsung Non enrolled, sans APP
Gmail (EAS)
Barcelone
❌ Bloqué
Exchange ActiveSync (legacy) + pas d'APP + appareil non géré
Frank (DSI)
MacBook perso Non enrolled
Safari (Browser)
Chine (Non trusted)
🔐 MFA requis
Auth moderne, MFA exigé, appareil non conforme mais pas de politique compliance sur browser seul
Journal de connexions (Entra ID > Sign-in logs)
Clique sur une entrée pour voir le détail CA : outil de diagnostic essentiel pour le troubleshooting.
❌ david.rousseau@argosconsulting.fr
Failure21/06/2026 09:14
ApplicationExchange Online
Client appOther clients (IMAP)
AppareilARGOS-PC-007 (Compliant)
LocalisationParis, FR · IP 212.45.18.3
Politique CACA-Argos-LegacyAuth-Block → Block access ❌
RésultatFailure : ErrorCode: 53003
ActionMigrer Thunderbird vers Outlook (Modern auth). ErrorCode 53003 = bloqué par CA.
✅ alice.martin@argosconsulting.fr
Success21/06/2026 09:18
ApplicationExchange Online
Client appMobile apps and desktop clients (MSAL)
AppareilARGOS-PC-012 · Intune Compliant ✓
LocalisationParis, FR · Réseau de confiance ✓
Politique CA 1CA-Argos-LegacyAuth-Block → Non applicable (auth moderne)
Politique CA 2CA-Argos-AllUsers-MFA → MFA satisfait (déjà inscrit) ✓
RésultatSuccess : Accès accordé
⚠️ frank.delacroix@argosconsulting.fr
MFA interrupt21/06/2026 14:32
ApplicationMicrosoft Teams
Client appBrowser (Safari)
AppareilMacBook Pro perso · Non enrolled Intune
LocalisationShanghai, CN · IP non trusted
Sign-in riskMedium (voyage inhabituel)
Politique CACA-Argos-AllUsers-MFA → MFA exigé ⏳
RésultatInterrupt : MFA en cours de validation
💡 L'outil What If (Entra admin center → Conditional Access → What If) permet de simuler quelle(s) politique(s) s'appliqueraient pour un utilisateur/scénario donné, sans déclencher de vraie connexion.
6
Quiz de validation
⭐ FondamentaleDans quelle interface crée-t-on les politiques d'Accès Conditionnel ?
⭐ FondamentaleQuelle licence est nécessaire pour utiliser l'Accès Conditionnel basé sur le risque (sign-in risk, user risk) ?
⭐ FondamentaleUn utilisateur BYOD veut accéder à Outlook depuis son iPhone personnel sans enrollement Intune. Quel grant CA permet de sécuriser l'accès aux données de l'app sans toucher à l'appareil ?
⭐ FondamentalePourquoi faut-il systématiquement exclure un compte "break-glass" des politiques CA ciblant "All users" ?
⭐⭐ AvancéeTu as deux politiques CA actives : P1 exige MFA pour tous les utilisateurs, P2 exige un appareil conforme pour Exchange Online. Un utilisateur se connecte depuis un appareil non-conforme. Que se passe-t-il ?
⭐⭐ AvancéeUn utilisateur reçoit l'erreur code 53003 lors d'une connexion à Exchange. Quelle est la cause probable et que doit-il faire ?
⚠️ Réponds à toutes les questions avant de valider.