Les politiques Zero Trust sont généralement appliquées aux applications cloud, où les vérifications de conformité de l’identité et de l’appareil ont lieu avant que l’accès ne soit accordé. Mais lorsqu’il s’agit du Wi‑Fi et de l’accès à VPN, ces mêmes signaux ne font souvent pas partie de la décision.
Cela crée un écart. Un appareil peut échouer aux vérifications de conformité dans une solution MDM comme Microsoft Intune, en raison d’un OS obsolète ou du chiffrement désactivé, tout en s’authentifiant avec succès sur le réseau via RADIUS.
Les dernières améliorations de Cloud RADIUS de Foxpass contribuent à combler cet écart en intégrant des signaux de posture des appareils dans les décisions d’authentification réseau, ce qui permet aux organisations d’étendre les principes du Zero Trust à l’accès Wi-Fi et VPN.
L’écart entre la conformité des appareils et l’accès au réseau
De nombreuses organisations évaluent déjà la conformité des appareils à l’aide des stratégies de conformité Microsoft Intune. Ces politiques vérifient des éléments tels que les versions du système d’exploitation, le statut du chiffrement et d’autres exigences de sécurité avant d’autoriser l’accès aux ressources de l’entreprise.
Cependant, ces signaux de posture n’influencent pas toujours l’accès au réseau lui-même.
Dans le même temps, Microsoft Entra Conditional Access est conçu pour les flux d’authentification cloud et l’émission de jetons. Il ne fait pas partie du parcours d’authentification pour les services basés sur RADIUS comme le Wi-Fi ou le VPN.
Le résultat est un décalage fréquent :
Les appareils sont évalués pour leur conformité par le MDM
Les utilisateurs s’authentifient sur le réseau via RADIUS
La posture des appareils n’est souvent pas prise en compte lors de l’octroi de l’accès au réseau
Cela signifie que les appareils qui ne sont plus conformes peuvent toujours se connecter au Wi-Fi de l’entreprise ou au VPN, sauf si des contrôles supplémentaires sont mis en place
Présentation du contrôle d’accès basé sur la posture des appareils dans Foxpass
Foxpass permet désormais aux administrateurs d’intégrer la posture des appareils en plus de l’identité et de l’authentification par certificat lors de la prise de décisions d’accès au réseau.
La conformité des appareils continue d’être évaluée par Microsoft Intune et exposée via Microsoft Entra ID. Foxpass récupère et met en cache ces signaux de posture, puis les utilise lors de l’authentification RADIUS pour déterminer si un appareil doit se voir accorder l’accès au réseau.
Selon la configuration, les administrateurs peuvent :
Autoriser l’accès uniquement aux appareils conformes
Refuser l’accès aux appareils non conformes
Placez les appareils non gérés ou non conformes dans un réseau de quarantaine
Cette approche permet aux organisations d’appliquer une exigence de posture des appareils directement au niveau de la couche réseau, tout en continuant à utiliser leurs systèmes existants de gestion des identités et des appareils.
Accès sensible à la posture sans toute la complexité d’un contrôle d’accès réseau (NAC) complet
Les solutions NAC traditionnelles s’appuient souvent sur des agents installés sur les terminaux, des appliances d’application en ligne et une interrogation continue des appareils sur l’ensemble du réseau. Bien que ces systèmes puissent offrir une visibilité et un contrôle approfondis, ils peuvent aussi entraîner une complexité opérationnelle et une surcharge d’infrastructure.
Foxpass adopte une approche plus légère. La posture de l’appareil continue d’être évaluée par la plateforme MDM existante de l’organisation, et Foxpass applique ces signaux pendant le processus d’authentification. Comme l’application des règles a lieu pendant l’authentification RADIUS, les organisations peuvent mettre en œuvre des décisions d’accès réseau tenant compte de l’état de posture, sans déployer d’agents supplémentaires, d’appliances inline ni d’une infrastructure NAC complète.
Pour de nombreuses équipes, notamment celles qui évoluent dans des environnements cloud-first ou distribués, cela offre un moyen pratique d’appliquer la conformité des appareils en périphérie du réseau.
Comment fonctionne l’application des politiques de posture
Le contrôle d’accès basé sur la posture des appareils dans Foxpass est configurable et n’est pas activé par défaut.
Les signaux de posture deviennent disponibles une fois l’intégration avec Intune et Entra ID établie, mais les administrateurs peuvent choisir comment et quand appliquer les politiques. Certaines organisations peuvent commencer par observer les signaux de posture avant d’introduire des mesures d’application, tandis que d’autres peuvent immédiatement restreindre l’accès aux appareils qui ne satisfont pas aux contrôles de conformité.
Selon les exigences de la politique, les administrateurs peuvent :
Refusez complètement l’accès aux appareils non conformes
Placez ces appareils dans un réseau de quarantaine pour remédiation
Continuez à surveiller les signaux de posture avant d’activer l’application des règles
Il est également important de comprendre à quel moment ces décisions interviennent dans le flux d’authentification.
Microsoft Intune évalue la conformité des appareils. Microsoft Entra ID affiche des informations sur l’état de l’appareil. Foxpass utilise ces signaux pour éclairer la décision d'accès du réseau lors de l'authentification RADIUS.
Comme l’authentification Wi-Fi et VPN repose sur RADIUS, ces décisions d’application se produisent en dehors du modèle d’accès conditionnel Microsoft Entra utilisé pour les applications cloud.
Apporter le Zero Trust en périphérie du réseau
En intégrant la posture des appareils dans les décisions d’authentification réseau, Foxpass étend les politiques Zero Trust au-delà des applications cloud jusqu’au réseau lui-même. Chaque connexion peut être évaluée à l’aide de plusieurs signaux, notamment l’identité, les certificats et la conformité des appareils, avant que l’accès au réseau ne soit accordé.
Pour les organisations qui utilisent déjà Microsoft Intune et Entra ID, cela offre un moyen simple d’aligner les politiques d’accès Wi‑Fi et VPN sur les exigences existantes de conformité des appareils.
