Une stratégie d'accès conditionnel désactive l'évaluation continue des accès
MEDIUM
Langue :
Description
Lorsqu'un utilisateur s'authentifie dans une application ou une API via Microsoft Entra ID, il reçoit un jeton d'accès dont la durée d'expiration est définie. Lorsque ce jeton expire, l'utilisateur doit l'actualiser en contactant à nouveau Entra ID. Ce n'est qu'à ce stade qu'Entra ID a la possibilité de refuser le renouvellement et de suspendre l'accès. Ce refus peut résulter de changements dans la posture de sécurité de l'utilisateur (comme le passage à un réseau non autorisé ou à une adresse IP dangereuse, la détection d'activités à haut risque, etc.) ou de changements concernant le statut de l'utilisateur, comme un compte désactivé. Le problème est que ces événements critiques ne peuvent pas déclencher d'invalidation de jeton d'accès avant leur actualisation, malgré la nécessité d'une réactivité en temps quasi réel.
Pour résoudre ce problème, Microsoft a implémenté la fonctionnalité de sécurité Évaluation continue des accès (CAE).
La CAE est activée par défaut, mais une stratégie d'accès conditionnel peut la désactiver. Tenable considère qu'il est dangereux de désactiver cette fonction de sécurité et signale donc comme détection toute stratégie d'accès conditionnel qui désactive la CAE.
Solution
Tenable et Microsoft n'ont documenté aucune raison valable de désactiver la CAE. Par conséquent, il est essentiel de vérifier si la stratégie d'accès conditionnel qui a désactivé la CAE l'a fait de façon intentionnelle ou l'a provoqué par inadvertance en tentant de résoudre un autre problème.
Si le cas est légitime, Tenable recommande d'utiliser la section Assignations de la stratégie d'accès conditionnel pour réduire sa portée. Il s'agit donc d'inclure ou d'exclure uniquement les utilisateurs ou groupes problématiques spécifiques, plutôt que d'appliquer la stratégie à « Tous les utilisateurs ».
Sinon, Tenable recommande de désactiver ou de supprimer la stratégie d'accès conditionnel, surtout si elle ne s'applique à personne.
Détails de l'indicateur
Nom: Une stratégie d'accès conditionnel désactive l'évaluation continue des accès
Nom de code: CONDITIONAL-ACCESS-POLICY-DISABLES-CONTINUOUS-ACCESS-EVALUATION
Sévérité: Medium
Type: Microsoft Entra ID Indicator of Exposure
- Tactique: TA0001 - Initial Access
- Techniques: T1078.004 - Valid Accounts: Cloud Accounts
- Tactique: TA0003 - Persistence
- Techniques: T1098 - Account Manipulation