Hello all,
 
une question pour les experts es-licencing chez Microsoft (si ça existe car mon revendeur actuel n'est pas capable de me répondre clairement) :  
 
J'ai un AD hybride, et des abo Office365 Business premium, qui incluent Azure AD P1.  
 
Cet été, un utilisateur s'est fait phisher bien proprement (genre le phish qui arrive à bypass aussi le MFA), et on ne s'en est rendu compte qu'une fois qu'il avait envoyé 850 mails de phishing à ses contacts. Evidemment, ça fait tâche. Du coup en plongeant un peu dans les méandres d'Azure AD (qui est franchement un bordel sans nom, et office365 de façon générale avec ses produits qui se juxtaposent, qui font la même chose mais pas tout à fait... bref..) et en lisant des articles, je me rends compte qu'il y a des mécanismes d'alerte comme on peut en avoir sur un bête gmail genre : connexion inhabituelle de tel endroit.  
 
Et je me rends compte aussi, que ces ch*ens le font payer, car pas dispo en P1, il faut du P2. (Risky users) ; il y a un trial, j'essai : ça marche comme ça doit ; c'est pas aussi propre et rapide que sur Gmail, mais ça fonctionne. Ensuite, je me rends compte d'un truc:  j'ai bien activé le Trial 30 jours, j'ai bien mes 100 licences Azure AD P2... mais j'en ai attribuées aucunes, à personne.
 
Du coup, et désolé pour le blabla, mais j'en viens à ma question : Si on ne veut que l'alerte, est-ce que prendre une seule licence ne serait pas suffisant, juste pour débloquer la partie alerte? J'imagine que sans licence, l'accès conditionnel pour bloquer un "utilisateur à risque" automatiquement ne fonctionnerait pas, mais pour l'alerte uniquement...?
 
J'ajoute que franchement, faire payer cette option me semble largement abusif, c'est quand même la base de la sécurité ; on l'a tous à titre perso sur outlook.com ou gmail, mais là c'est pas inclus de base.

Non c'est par utilisateur utilisant le service Entra Identity Protection

 
ça ?
 
Oui c'est ce que j'utilise, mais ce que je dis c'est que même sans avoir assigné de licence aux utilisateurs, je reçois bien les alertes...

oui, les utilisateurs doivent être licencié pour utiliser le service

https://docs.microsoft.com/en-us/az [...] protection
https://docs.microsoft.com/en-us/of [...] protection
 
Ta user risk policy/conditional access policy doit cibler tous les utilisateurs aujourd'hui y compris ceux qui ont pas de licences.

Je dois être un peu con-con... si ma policy cible tout le monde, et que je reçois bien des alertes, c'est quoi la limitation / l'intérêt d'attribuer une licence à chacun? (a part peut-être l'application du conditionnal access pour bloquer automatiquement - ce que je préfère faire manuellement au moins dans un 1er temps)  
 
Je vais faire des tests "live" je pense  
 
Merci pour les liens en tout cas!

Bah la légalité  

Ahhh ! Bah quand même c'est ballot, avec ce qu'ils se gavent ils pourraient blinder leur bouzin non? Tu vois ça m'est même pas venu à l'idée, je me suis dit si ça marche c'est qu'il doit y avoir autre chose. Quand il s'agit de limiter les droits ils sont pas les derniers donc franchement, c'est pas dit que je m'accommode pas de cette "faille". Merci pour ton aide

Toutes les features d'Azure AD marchent comme ça.

Ah bon? Si par exemple je n'attribue pas de licence P1 à un utilisateur, il pourrait quand même utiliser le MFA par exemple?

Oui.
Mais comme dit la page que je t'ai fournie :
 

C'est fou. J'arrive pas à comprendre la raison ; si elle est technique c'est inquiétant, si c'est autre chose je vois pas.
 
merci en tout cas pour ces précisions