Contrôle des applications à accès conditionnel par Microsoft Defender for Cloud Apps

Dans le monde du travail d’aujourd’hui, il ne suffit pas de savoir après coup ce qui s’est passé dans votre environnement cloud. Vous devez également empêcher les violations et les fuites en temps réel, et empêcher les employés de mettre intentionnellement ou accidentellement vos données et votre organisation en danger.

Vous voulez soutenir les utilisateurs de votre organisation tandis qu’ils utilisent les meilleures applications cloud disponibles et apportent leurs propres appareils au travail. Toutefois, vous avez également besoin d’outils vous permettant de protéger votre organisation contre les fuites et les vols de données en temps réel. Microsoft Defender pour Cloud Apps s’intègre à n’importe quel fournisseur d’identité (IdP) pour offrir cette protection avec des stratégies d’accès et de session.

Par exemple :

  • Utilisez les stratégies d’accès pour :

    • Bloquez l’accès à Salesforce pour les utilisateurs provenant d’appareils non gérés
    • Bloquez l’accès à Dropbox pour les clients natifs
  • Utilisez les stratégies de session pour :

    • Bloquez les téléchargements de fichiers sensibles depuis OneDrive vers des appareils non gérés
    • Bloquez les téléchargements de fichiers malveillants vers SharePoint Online

Les utilisateurs de Microsoft Edge bénéficient d’une protection directe, à l’intérieur du navigateur, indiquée par l’icône du cadenas dans la barre d’adresse du navigateur.

Les utilisateurs d’autres navigateurs sont redirigés via un reverse proxy vers Defender pour Cloud Apps, et affichent un suffixe *.mcas.ms dans l’URL du lien. Par exemple, si l’URL de l’application est myapp.com, l’URL de l’application est mise à jour en myapp.com.mcas.ms.

Cet article décrit le contrôle des applications à accès conditionnel de Defender pour Cloud Apps avec les stratégies d’accès conditionnel de Microsoft Entra.

Usage

Le contrôle des applications à accès conditionnel ne vous oblige pas à installer quoi que ce soit sur l’appareil, et est donc idéal pour surveiller ou contrôler les sessions provenant d’appareils non gérés ou d’utilisateurs partenaires.

Defender for Cloud Apps utilise la meilleure technique heuristique brevetée de sa catégorie pour identifier et contrôler les activités effectuées par l’utilisateur dans l’application cible. Nos heuristiques sont conçues pour optimiser et équilibrer sécurité et facilité d’utilisation.

Dans certains scénarios rares, quand le blocage des activités côté serveur rend l’application inutilisable, nous sécurisons ces activités uniquement côté client, ce qui les rend potentiellement vulnérables à l’exploitation par des insiders malveillants.

Performance du système et stockage des données

Defender for Cloud Apps utilise des centres de données Azure dans le monde entier pour fournir des performances optimisées par le biais de la géolocalisation. Cela signifie que la session d’un utilisateur peut être hébergée en dehors d’une région en particulier, en fonction des modèles de trafic et de leur emplacement. Toutefois, pour protéger votre confidentialité, aucune donnée de session n’est stockée dans ces centres de données.

Les serveurs proxy de Defender for Cloud Apps ne stockent pas de données au repos. Lors de la mise en cache du contenu, nous suivons les exigences décrites dans RFC 7234 (mise en cache HTTP) et uniquement le contenu public du cache.

Référence des activités prises en charge

Le contrôle des apps à accès conditionnel utilise des stratégies d’accès et des stratégies de session pour surveiller et contrôler l’accès des utilisateurs aux applications et les sessions en temps réel, dans l’ensemble de votre organisation.

Chaque stratégie est assortie de conditions permettant de définir à qui (quel utilisateur ou groupe d’utilisateurs), à quoi (quelles applications cloud) et (quels emplacements et réseaux) la stratégie s’applique. Après avoir déterminé les conditions, acheminez d’abord vos utilisateurs vers Defender for Cloud Apps, où vous pourrez appliquer les contrôles d’accès et de session pour protéger vos données.

Les stratégies d’accès et de session incluent les types d’activités suivants :

Activité Description
Empêcher l’exfiltration de données Blocage du téléchargement, du couper/copier et de l’impression de documents sensibles sur des appareils non gérés, par exemple.
Exiger un contexte d’authentification Réévaluez les stratégies d’accès conditionnel Microsoft Entra lorsqu’une action sensible se produit dans la session, par exemple en exigeant une authentification multifactorielle.
Protéger au téléchargement Au lieu de bloquer le téléchargement de documents sensibles, exigez que les documents soient étiquetés et chiffrés lorsque vous intégrez Microsoft Purview Information Protection. Cette action garantit que le document est protégé et que l’accès utilisateur est limité dans une session potentiellement risquée.
Empêcher le chargement de fichiers sans étiquette Veillez à ce que le téléchargement des fichiers non étiquetés au contenu sensible soit bloqué jusqu’à ce que l’utilisateur classifie le contenu. Avant qu’un fichier sensible ne soit téléchargé, distribué et utilisé par d’autres personnes, il est important de s’assurer qu’il porte l’étiquette définie par la stratégie de votre organisation.
Bloquer les logiciels malveillants potentiels Protégez votre environnement contre les logiciels malveillants en bloquant le téléchargement de fichiers potentiellement malveillants. Tous les fichiers chargés ou téléchargés peuvent être analysés par rapport à la veille des menaces Microsoft et bloqués instantanément.
Vérifier la conformité des sessions utilisateur Étudiez et analysez le comportement des utilisateurs pour comprendre où, et dans quelles conditions, les stratégies de session devraient être appliquées à l’avenir. Les utilisateurs à risque sont surveillés lorsqu’ils se connectent à des applications et leurs actions sont journalisées depuis la session.
Bloquer l’accès Bloquez de manière granulaire l’accès d’applications et d’utilisateurs spécifiques en fonction de plusieurs facteurs de risque. Par exemple, vous pouvez les bloquer s’ils utilisent des certificats clients comme moyen de gérer les appareils.
Bloquer des activités personnalisées certaines applications ont des scénarios uniques qui comportent un risque, par exemple, l’envoi de messages avec du contenu sensible dans des applications telles que Microsoft Teams ou Slack. Dans ce genre de scénarios, analysez les messages pour rechercher la présence de contenu sensible et les bloquer en temps réel.

Pour plus d’informations, consultez l’article suivant :

Applications et clients pris en charge

Appliquez des contrôles de session et d’accès à toute connexion unique interactive qui utilise le protocole d’authentification SAML 2.0. Les contrôles d’accès sont également pris en charge pour les applications clientes mobiles et de bureau intégrées.

En outre, si vous utilisez les applications Microsoft Entra ID, appliquez des contrôles de session et d’accès à :

  • Toute connexion unique interactive qui utilise le protocole d’authentification Open ID Connect.
  • Applications hébergées localement et configurées avec le proxy d’application Microsoft Entra.

Defender for Cloud Apps identifie les applications à l’aide des données du catalogue d’applications cloud. Si vous avez personnalisé des applications avec des plugins, tous les domaines personnalisés associés doivent être ajoutés à l’application concernée dans le catalogue. Pour plus d’informations, consultez Utilisation du score de risque.

Remarque

Les applications avec des flux de connexion non interactifs, telles que l’application Authenticator et d’autres applications intégrées, ne peuvent pas être utilisées avec des contrôles d’accès.

Applications pré-intégrées

Toute application Web configurée à l’aide des protocoles d’authentification mentionnés précédemment peut être intégrée pour fonctionner avec les contrôles d’accès et de session. En outre, les applications suivantes sont déjà intégrées avec des contrôles d'accès et de session pour Microsoft Entra ID.

Remarque

Il est nécessaire d’acheminer vos applications souhaitées pour accéder aux contrôles d’accès et de session, et d’effectuer une première connexion.

  • AWS
  • Box
  • Concur
  • CornerStone on Demand
  • DocuSign
  • Dropbox
  • Egnyte
  • GitHub
  • Google Workspace
  • HighQ
  • JIRA/Confluence
  • LinkedIn Learning
  • Microsoft Azure DevOps (Visual Studio Team Services)
  • Portail Microsoft Azure
  • Microsoft Dynamics 365 CRM
  • Microsoft Exchange Online
  • Microsoft OneDrive Entreprise
  • Microsoft Power BI
  • Microsoft SharePoint Online
  • Microsoft Teams
  • Microsoft Yammer
  • Salesforce
  • Slack
  • Tableau
  • Workday
  • Workiva
  • Workplace de Meta

Si vous souhaitez qu’une application spécifique soit pré-intégrée, envoyez-nous des détails sur l’application. Envoyez-nous également le cas d’usage qui vous intéresse pour que nous puissions l’intégrer.

Navigateurs pris en charge

Bien que les contrôles de session soient conçus pour fonctionner avec n’importe quel navigateur, sur n’importe quelle plateforme majeure et sur n’importe quel système d’exploitation, nous prenons en charge les navigateurs suivants :

Les utilisateurs de Microsoft Edge bénéficient d’une protection dans le navigateur, sans redirection vers un proxy inverse. Pour en savoir plus, consultez Protection dans le navigateur avec Microsoft Edge Entreprise (préversion).

Prise en charge des applications pour TLS 1.2+

Defender for Cloud Apps utilise les protocoles Transport Layer Security (TLS) 1.2+ pour fournir le meilleur chiffrement possible. Les applications clientes intégrées et les navigateurs qui ne prennent pas en charge TLS 1.2+ ne sont pas accessibles lorsqu’ils sont configurés avec le contrôle de session.

Cependant, les applications SaaS qui utilisent TLS 1.1 ou version antérieure s’afficheront dans le navigateur en utilisant TLS 1.2 et versions ultérieures lorsqu’elles sont configurées avec Defender for Cloud Apps.

Pour plus d’informations, consultez l’article suivant :