Stratégies d'accès
Les stratégies d’accès UserLock sont des ensembles de règles qui définissent comment les utilisateurs peuvent accéder au réseau. Elles permettent aux organisations d’appliquer des contrôles de sécurité contextuels et l’authentification multifacteur (MFA) directement sur les comptes, groupes et unités organisationnelles (UO) Active Directory.
Les stratégies d’accès permettent aux administrateurs d’aller au-delà d’un accès réseau “tout ou rien”.
Avec UserLock, vous pouvez :
Appliquer la MFA pour renforcer l’authentification.
Définir des restrictions contextuelles (horaires, géolocalisation, machine).
Limiter le nombre de sessions simultanées.
Contrôler l’accès via des stratégies permanentes ou temporaires.
Générer des alertes et notifications lorsqu’une règle est déclenchée.
Cela permet un contrôle précis de l’accès utilisateur tout en offrant la souplesse nécessaire pour gérer des situations exceptionnelles (ex. accès temporaire pendant un congé, horaires étendus pour un projet spécial).
Stratégies permanentes : s’appliquent indéfiniment jusqu’à modification ou suppression.
Stratégies temporaires : actives uniquement pendant une période définie. Elles peuvent servir à accorder des exceptions (ex. travail en dehors des horaires habituels) ou à refuser temporairement l’accès (ex. pendant un congé).
Ressources utiles
Puisqu’un utilisateur peut appartenir à plusieurs stratégies, UserLock applique un système de priorité pour résoudre les conflits, basé sur les critères suivants :
Type de stratégie | Les stratégies temporaires ont toujours priorité sur les stratégies permanentes. |
|---|---|
Type de cible | Les stratégies utilisateur ont priorité sur les stratégies de groupe ou d’UO. |
Paramètre global du serveur | Définit comment gérer les égalités entre stratégies de priorité équivalente :
|
Stratégie temporaire utilisateur
Stratégie temporaire groupe/UO
Stratégie permanente utilisateur
Stratégie permanente groupe/UO
Alice est dans une stratégie de groupe permanente (“Everyone”) qui autorise 1 session poste de travail.
Elle est aussi dans une stratégie de groupe temporaire (“Everyone”) qui autorise 3 sessions.
Résultat : la règle temporaire s’applique → Alice peut ouvrir 3 sessions.
Bob est dans une stratégie de groupe permanente (“Everyone”) qui autorise 1 session.
Il est aussi dans une stratégie de groupe permanente (“Group-A”) qui autorise 2 sessions.
Les deux règles sont au même niveau de priorité.
Résultat : la règle appliquée dépend du paramètre global du serveur (plus restrictif = 1, moins restrictif = 2).
Carol est dans une stratégie de groupe permanente (“Group-A”) qui autorise 2 sessions.
Elle est aussi dans une stratégie de groupe temporaire (“Group-B”) qui autorise 5 sessions.
Le serveur est configuré en mode moins restrictif → Carol peut ouvrir 5 sessions.
Si une stratégie temporaire de “Group-A” autorise 3 sessions, elle a priorité sur les deux autres → Carol pourra ouvrir 3 sessions pendant la durée de la stratégie temporaire.
Alice a une stratégie permanente utilisateur qui lui autorise 2 sessions.
Elle est aussi dans une stratégie permanente groupe qui autorise 1 session.
Résultat : la stratégie utilisateur prime → Alice peut ouvrir 2 sessions.
Bob a une stratégie temporaire utilisateur qui lui autorise 2 sessions.
Il est aussi dans une stratégie temporaire groupe (“Group-A”) qui autorise 1 session.
Résultat : la stratégie utilisateur prime → Bob peut ouvrir 2 sessions.
UserLock suit en permanence l’appartenance des utilisateurs aux groupes et aux UO dans Active Directory afin de maintenir les stratégies à jour.
Lors de l’application des restrictions, UserLock vérifie quelles stratégies s’appliquent à l’utilisateur.
La liste des membres est mise à jour toutes les 5 minutes.
La création ou la suppression d’une stratégie est appliquée aux sessions actives dans un délai de 5 minutes.
Les modifications de stratégies sont appliquées sans nécessiter que les utilisateurs se déconnectent.
👉️ Exemple : si un administrateur crée une nouvelle stratégie temporaire pour autoriser un accès en dehors des horaires habituels, l’utilisateur n’a pas besoin de se déconnecter/reconnecter. La règle est appliquée immédiatement.
Note
Les groupes Domain Users, Everyone et Authenticated Users incluent toujours l’ensemble des utilisateurs du domaine, même si certains comptes ont été retirés de ces groupes.
Microsoft recommande par ailleurs de ne jamais retirer d’utilisateurs de Domain Users, puisqu’il s’agit du groupe principal.
Les stratégies d’accès UserLock offrent aux administrateurs un contrôle précis et flexible de l’accès réseau :
Appliquer la MFA et des restrictions contextuelles (horaires, localisation, machine, limites de sessions).
Utiliser des stratégies permanentes pour la sécurité de base, et des stratégies temporaires pour les exceptions.
Garantir une synchronisation automatique avec AD pour maintenir les stratégies à jour.
Bénéficier d’une application immédiate des règles, avec une résolution claire des conflits grâce au système de priorités.
Ce cadre garantit que l’accès utilisateur reste à la fois sécurisé et adaptable aux besoins de l’organisation.
Ressources utiles
- Configurer une stratégie d'accèsGuide de démarrage
- Gestion des stratégies d'accèsRéférence
- Authentification multi-facteursRéférence
- Limites de sessionsRéférence
- Restrictions de machinesRéférence
- Restrictions de tempsRéférence
- Restrictions de géolocalisationRéférence
- Alertes & notificationsRéférence
- Bloquer un utilisateurRéférence
- Stratégies temporairesRéférence