Connecter des applicationsConnect apps

S’applique à : Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Important

Les noms des produits Microsoft de protection contre les menaces changent.Threat protection product names from Microsoft are changing. Vous trouverez ici plus d’informations sur ce sujet et sur les autres mises à jour.Read more about this and other updates here. Nous allons très prochainement mettre à jour les noms des produits et des documents.We'll be updating names in products and in the docs in the near future.

Les connecteurs d’applications utilisent les API de fournisseurs d’applications pour que Microsoft Cloud App Security bénéficie d’une plus grande visibilité et d’un plus grand contrôle sur les applications auxquelles vous vous connectez.App connectors use the APIs of app providers to enable greater visibility and control by Microsoft Cloud App Security over the apps you connect to.

Microsoft Cloud App Security tire profit des API proposées par le fournisseur de cloud.Microsoft Cloud App Security leverages the APIs provided by the cloud provider. Toutes les communications entre les Cloud App Security et les applications connectées sont chiffrées à l’aide du protocole HTTPs.All communication between Cloud App Security and connected apps is encrypted using HTTPS. L’infrastructure et les API propres à chaque service ont des limitations, notamment en matière de bande passante, de limites d’API, de fenêtres d’API de décalage temporel dynamique, etc.Each service has its own framework and API limitations such as throttling, API limits, dynamic time-shifting API windows, and others. Microsoft Cloud App Security utilise les services pour optimiser l’utilisation des API et fournir un niveau de performance optimal.Microsoft Cloud App Security worked with the services to optimize the usage of the APIs and to provide the best performance. Compte tenu des différentes limitations que les services imposent aux API, les moteurs Cloud App Security utilisent la capacité autorisée.Taking into account different limitations services impose on the APIs, the Cloud App Security engines use the allowed capacity. Certaines opérations, par exemple l’analyse de tous les fichiers du locataire, nécessitent de nombreuses API et sont donc réparties sur une période plus longue.Some operations, such as scanning all files in the tenant, require numerous APIs so they're spread over a longer period. Il est normal que certaines stratégies s’exécutent pendant plusieurs heures ou jours.Expect some policies to run for several hours or several days.

Prise en charge de plusieurs instancesMulti-instance support

Cloud App Security prend en charge plusieurs instances de la même application connectée.Cloud App Security supports multiple instances of the same connected app. Par exemple, si vous avez plusieurs instances de Salesforce (une pour les ventes, une pour le marketing), vous pouvez vous connecter à Cloud App Security.For example, if you have more than one instance of Salesforce (one for sales, one for marketing) you can connect both to Cloud App Security. Vous pouvez gérer les différentes instances à partir de la même console pour créer des stratégies granulaires et mener une investigation plus approfondie.You can manage the different instances from the same console to create granular policies and deeper investigation. Cette prise en charge s’applique uniquement aux applications connectées à des API, pas aux applications découvertes dans le cloud ni aux applications connectées à des proxys.This support applies only to API connected apps, not to Cloud Discovered apps or Proxy connected apps.

Notes

Multi-instance n’est pas pris en charge pour Office 365 et Azure.Multi-instance is not supported for Office 365 and Azure.

Comment ça marcheHow it works

Cloud App Security est déployé avec des privilèges d’administrateur système qui autorisent un accès complet à tous les objets de votre environnement.Cloud App Security is deployed with system admin privileges to allow full access to all objects in your environment.

Le flux de connecteur d’applications est le suivant :The App Connector flow is as follows:

  1. Cloud App Security analyse et enregistre les autorisations d’authentification.Cloud App Security scans and saves authentication permissions.

  2. Cloud App Security demande la liste d’utilisateurs.Cloud App Security requests the user list. La première fois que la demande est effectuée, l’analyse peut prendre un certain temps.The first time the request is done, it may take some time until the scan completes. Une fois l’analyse des utilisateurs terminée, Cloud App Security passe aux activités et aux fichiers.After the user scan is over, Cloud App Security moves on to activities and files. Dès que l’analyse démarre, certaines activités sont disponibles dans Cloud App Security.As soon as the scan starts, some activities will be available in Cloud App Security.

  3. Une fois la demande de liste d’utilisateurs effectuée, Cloud App Security analyse périodiquement les utilisateurs, les groupes, les activités et les fichiers.After completion of the user request, Cloud App Security periodically scans users, groups, activities, and files. Toutes les activités sont disponibles après la première analyse complète.All activities will be available after the first full scan.

Cette connexion peut prendre du temps, en fonction de la taille du locataire, du nombre d’utilisateurs ainsi que de la taille et du nombre de fichiers à analyser.This connection may take some time depending on the size of the tenant, the number of users, and the size and number of files that need to be scanned.

Selon l’application à laquelle vous vous connectez, la connexion d’API active les éléments suivants :Depending on the app to which you're connecting, API connection enables the following items:

  • Informations sur le compte - Visibilité des utilisateurs, des comptes, des informations de profil, de l’état (suspendu, actif, désactivé), des groupes et des privilèges.Account information - Visibility into users, accounts, profile information, status (suspended, active, disabled) groups, and privileges.

  • Visibilité de la piste d’audit pour les activités de l’utilisateur, les activités d’administration et les activités de connexion.Audit trail - Visibility into user activities, admin activities, sign-in activities.

  • Analyse de données - Analyse des données non structurées à l’aide de deux processus : analyse périodique (toutes les 12 heures) et analyse en temps réel (déclenchée chaque fois qu’un changement est détecté).Data scan - Scanning of unstructured data using two processes -periodically (every 12 hours) and in real-time scan (triggered each time a change is detected).

  • Autorisations d’applications - Visibilité des jetons émis et de leurs autorisations.App permissions - Visibility into issued tokens and their permissions.

  • Gouvernance des comptes - Suspension des utilisateurs, révocation des mots de passe, etc.Account governance - Ability to suspend users, revoke passwords, etc.

  • Gouvernance des données - Mise en quarantaine des fichiers, notamment les fichiers de la corbeille, et replacement des fichiers.Data Governance - Ability to quarantine files, including files in trash, and overwrite files.

  • Gouvernance des autorisations d’applications - Suppression de jetons.App permission governance - Ability to remove tokens.

Le tableau suivant répertorie, par application cloud, les fonctionnalités prises en charge avec les connecteurs d’applications :The following table lists, per cloud app, which abilities are supported with App connectors:

AWSAWS AzureAzure BoxBox DropboxDropbox GitHubGitHub GCPGCP Espace de travail GoogleGoogle Workspace Office 365Office 365 OktaOkta ServiceNowService Now SalesforceSalesforce WebexWebex WorkdayWorkday
Énumérer les comptesList accounts Sujet de la connexion à l’espace de travail GoogleSubject Google Workspace connection
Liste des groupesList groups Sujet de la connexion à l’espace de travail GoogleSubject Google Workspace connection Non prise en charge par le fournisseurNot supported by provider
Liste des privilègesList privileges Sujet de la connexion à l’espace de travail GoogleSubject Google Workspace connection Non prise en charge par le fournisseurNot supported by provider Non prise en charge par le fournisseurNot supported by provider
Gouvernance des utilisateursUser governance Bientôt disponibleComing soon Sujet de la connexion à l’espace de travail GoogleSubject Google Workspace connection Non prise en charge par le fournisseurNot supported by provider
Activité de connexionLog on activity Sujet de la connexion à l’espace de travail GoogleSubject Google Workspace connection
Activité de l’utilisateurUser activity Non applicableNot applicable ✔ - nécessite Google Business ou Entreprises✔ - requires Google Business or Enterprise PartiellePartial Prise en charge avec Salesforce ShieldSupported with Salesforce Shield
Activité d’administrationAdministrative activity PartiellePartial Non prise en charge par le fournisseurNot supported by provider
DLP-analyse périodiqueDLP - Periodic scan Non applicableNot applicable Non applicableNot applicable Non prise en charge par le fournisseurNot supported by provider
DLP : analyse en temps quasi réelDLP - Near real-time scan Non applicableNot applicable ✔-nécessite Google Business Enterprise✔ - requires Google Business Enterprise Non applicableNot applicable Non prise en charge par le fournisseurNot supported by provider
Contrôle partagéSharing control Non applicableNot applicable Non applicableNot applicable Non applicableNot applicable Non prise en charge par le fournisseurNot supported by provider
Gouvernance des fichiersFile governance Non applicableNot applicable Non applicableNot applicable Non prise en charge par le fournisseurNot supported by provider
Voir les autorisations d’applicationView app permissions Non applicableNot applicable Non prise en charge par le fournisseurNot supported by provider Bientôt disponibleComing soon Non applicableNot applicable Non applicableNot applicable Non applicableNot applicable Non applicableNot applicable
Révoquer les autorisations d’applicationRevoke app permissions Non applicableNot applicable Non prise en charge par le fournisseurNot supported by provider Bientôt disponibleComing soon Non applicableNot applicable Non applicableNot applicable Non applicableNot applicable Non applicableNot applicable
Appliquer des étiquettes Azure Information ProtectionApply Azure Information Protection labels Non applicableNot applicable Non applicableNot applicable Non applicableNot applicable Non applicableNot applicable Non applicableNot applicable

PrérequisPrerequisites

  • Pour certaines applications, il peut être nécessaire d’autoriser les adresses IP de liste pour permettre à Cloud App Security de collecter des journaux et de fournir un accès pour la console Cloud App Security.For some apps, it may be necessary to allow list IP addresses to enable Cloud App Security to collect logs and provide access for the Cloud App Security console. Pour plus d’informations, consultez Configuration exigée pour le réseau.For more information, see Network requirements.

  • Pour chaque application à connecter avec l’intégration de l’API Cloud App Security, nous recommandons de créer un compte de service d’administration dédié à Cloud App Security.For each app that you want to connect with the Cloud App Security API integration, we recommend creating an admin service account dedicated to Cloud App Security.

Notes

Pour obtenir des mises à jour quand des URL et des adresses IP ont changé, abonnez-vous au flux RSS comme expliqué dans URL et plages d’adresses IP Office 365.To get updates when URLs and IP addresses are changed, subscribe to the RSS as explained in: Office 365 URLs and IP address ranges.

Pour utiliser des connecteurs d’applications, vous devez vérifier que vous avez les éléments suivants pour chaque application concernée :To use App Connectors, you need to make sure you have the following things for each specific app:

ApplicationApp Type de licenceLicense type UtilisateurUser
AzureAzure Administrateur généralGlobal Admin
AWSAWS Utilisateur récemment crééNewly created user
BoxBox EnterpriseEnterprise Il est fortement recommandé de vous connecter à Box en tant qu’administrateur. Si vous vous connectez en tant que coadministrateur, vous obtiendrez uniquement une visibilité partielle des données.It's strongly recommended that you connect to Box as an Admin. Connecting as a Coadmin will result in only partial data visibility. Si vous vous connectez en tant que coadministrateur, sélectionnez toutes les autorisations.If you connect as a Coadmin, make sure to select all permissions.
DropboxDropbox Business/EntreprisesBusiness/Enterprise AdministrateurAdmin
GitHubGitHub GitHub Enterprise CloudGitHub Enterprise Cloud PropriétaireOwner
GCPGCP Consultez les conditions préalables Connect GCPSee the connect GCP prerequisites
Espace de travail GoogleGoogle Workspace Google Workspace Business ou Enterprise préféréGoogle Workspace Business or Enterprise preferred

Google Workspace Enterprise (au minimum)Google Workspace Enterprise (minimally)
Super administrateurSuper Admin
Office 365Office 365 Administrateur généralGlobal Admin
OktaOkta Enterprise (pas la version d’essai)Enterprise (not trial) AdministrateurAdmin
SalesforceSalesforce AdministrateurAdmin
ServiceNowServiceNow Eureka et au-dessusEureka and up Rôle admin + RestAPIAdmin + RestAPI role
WebexWebex Admin + conformité administrateurAdmin + Compliance Admin
WorkdayWorkday Consultez les conditions préalables Connect de la journée de travailSee the connect Workday prerequisites

ExpressRouteExpressRoute

Cloud App Security est déployé dans Azure et entièrement intégré à ExpressRoute.Cloud App Security is deployed in Azure and fully integrated with ExpressRoute. Toutes les interactions avec les applications Cloud App Security et le trafic envoyé à Cloud App Security, y compris le chargement des journaux de découverte, sont acheminés via ExpressRoute pour améliorer la latence, les performances et la sécurité.All interactions with the Cloud App Security apps and traffic sent to Cloud App Security, including upload of discovery logs, is routed via ExpressRoute for improved latency, performance, and security. Aucune étape de configuration n’est nécessaire côté client.There are no configuration steps required from the customer side. Pour plus d’informations sur le peering public, consultez Circuits ExpressRoute et domaines de routage.For more information about Public Peering, see ExpressRoute circuits and routing domains.

Désactiver les connecteurs d’applicationDisable app connectors

Notes

  • Avant de désactiver un connecteur d’applications, assurez-vous que les détails de connexion sont disponibles, car vous en aurez besoin si vous souhaitez réactiver le connecteur.Before disabling an app connector, make sure you have the connection details available as you will need them if you want to re-enable the connector.
  • Ces étapes ne peuvent pas être utilisées pour désactiver le connecteur Azure.These steps cannot be used to disable the Azure connector.
  • Ces étapes ne peuvent pas être utilisées pour désactiver les applications de contrôle d’application par accès conditionnel et les applications de configuration de sécurité.These steps cannot be used to disable Conditional Access App Control apps and Security configuration apps.

Pour désactiver les applications connectées :To disable connected apps:

  1. Dans la page applications connectées , dans la ligne appropriée, cliquez sur les trois points et sélectionnez désactiver le connecteur d’applications.In the Connected apps page, in the relevant row, click the three dots and select Disable App connector.
  2. Dans la fenêtre contextuelle, cliquez sur désactiver l’instance App Connector pour confirmer l’action.In the pop-up, click Disable App connector instance to confirm the action.

Une fois désactivée, l’instance de connecteur cesse de consommer les données du connecteur.Once disabled, the connector instance will stop consuming data from the connector.

Réactiver les connecteurs d’applicationRe-enable app connectors

Pour réactiver les applications connectées :To re-enable connected apps:

  1. Dans la page applications connectées , dans la ligne appropriée, cliquez sur les trois points et sélectionnez modifier l’application.In the Connected apps page, in the relevant row, click the three dots and select Edit app. Cela démarre le processus pour ajouter un connecteur.This starts the process to add a connector.
  2. Ajoutez le connecteur à l’aide des étapes décrites dans le Guide du connecteur d’API approprié.Add the connector using the steps in the relevant API connector guide. Par exemple, si vous réactivez GitHub, suivez les étapes décrites dans Connect GitHub Enterprise Cloud to Cloud App Security.For example, if you are re-enabling GitHub, use the steps in Connect GitHub Enterprise Cloud to Cloud App Security.

Étapes suivantesNext steps

Si vous rencontrez des problèmes, nous sommes là pour vous aider.If you run into any problems, we're here to help. Pour obtenir de l’aide ou une assistance concernant votre produit, veuillez ouvrir un ticket de support.To get assistance or support for your product issue, please open a support ticket.