S’applique à : Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Connecter des applicationsConnect apps

Les connecteurs d’applications utilisent les API des fournisseurs d’applications pour que Microsoft Cloud App Security bénéficie d’une plus grande visibilité et d’un plus grand contrôle sur les applications auxquelles vous vous connectez.App connectors leverage the APIs of app providers to enable greater visibility and control by Microsoft Cloud App Security over the apps you connect to.

Microsoft Cloud App Security s’appuie sur les API données par le fournisseur de cloud, et chaque service a ses propres infrastructure et limitations d’API.Microsoft Cloud App Security leverages the APIs provided by the cloud provider, each service has its own framework and API limitations. Microsoft Cloud App Security utilise les services pour optimiser l’utilisation des API et pour garantir des performances optimales.Microsoft Cloud App Security worked with the services to optimize the usage of the APIs and to ensure the best performance. Compte tenu des différentes limitations qu’imposent les services aux API (telles que les limites d’API et les fenêtres d’API de décalage temporel dynamique), les moteurs Cloud App Security tirent parti de la capacité autorisée.Taking into account the different limitations the services impose on the APIs (such as throttling, API limits, dynamic time-shifting API windows, etc.), the Cloud App Security engines leverage the allowed capacity. Certaines opérations, comme l’analyse de tous les fichiers dans le client, nécessitent une grande quantité d’API et sont donc réparties sur une longue période.Some operations, such as scanning of all files in the tenant, require a large amount of APIs and therefore are spread over a longer period. Il est normal que certaines stratégies s’exécutent pendant plusieurs heures ou jours.Expect some policies to run for several hours or several days.

Prise en charge de plusieurs instancesMulti-instance support

Cloud App Security prend en charge plusieurs instances de la même application connectée.Cloud App Security supports multiple instances of the same connected app. Si vous utilisez plusieurs instances, par exemple, Salesforce (une pour le service commercial et une autre pour le département marketing), vous pourrez les connecter à la fois à Cloud App Security et les gérer à partir de la même console pour créer des stratégies granulaires et obtenir une investigation plus approfondie.If you have multiple instances of, for example, Salesforce (one for sales, one for marketing) you will be able to connect them both to Cloud App Security and manage them from the same console to create granular policies and deeper investigation. Cette prise en charge s’applique uniquement aux applications connectées à des API, pas aux applications découvertes dans le cloud ni aux applications connectées à des proxys.This support applies only to API connected apps, not to Cloud Discovered apps or Proxy connected apps.

FonctionnementHow it works

Cloud App Security est déployé avec des privilèges d’administrateur système qui autorisent un accès complet à tous les objets de votre environnement.Cloud App Security is deployed with system admin privileges to allow full access to all objects in your environment.

Le flux de connecteur d’applications est le suivant :The App Connector flow is as follows:

  1. Cloud App Security analyse et enregistre les autorisations d’authentification.Cloud App Security scans and saves Authentication permissions.
  2. Cloud App Security demande la liste d’utilisateurs.Cloud App Security requests the user list. La première fois que cette opération est effectuée, l’analyse peut prendre un certain temps.The first time this is performed, it may take some time until the scan completes. Une fois l’analyse des utilisateurs terminée, Cloud App Security passe aux activités et aux fichiers.After the user scan is over, Cloud App Security moves on to activities and files. Dès que l’analyse démarre, certaines activités sont disponibles dans Cloud App Security.As soon as the scan starts, some activities will be available in Cloud App Security.
  3. Une fois la demande de liste d’utilisateurs effectuée, Cloud App Security analyse périodiquement les utilisateurs, les groupes, les activités et les fichiers.After completion of the user request, Cloud App Security periodically scans users, groups, activities and files. Toutes les activités sont disponibles après la première analyse complète.All activities will be available after the first full scan.

Cette analyse peut prendre du temps, en fonction de la taille du client, du nombre d’utilisateurs, et de la taille et du nombre de fichiers qui doivent être analysés.This may take some time, depending on the size of the tenant, the number of users and the size and number of files that need to be scanned.

Selon l’application à laquelle vous vous connectez (voir le tableau ci-dessous), la connexion d’API présente les caractéristiques suivantes :Depending on the app you are connecting to (see table, below) API connection enables the following:

  • Informations de compte :Account information:

    Visibilité des utilisateurs, des comptes, des informations de profil, de l’état (suspendu, actif, désactivé), des groupes et des privilèges.Visibility into users, accounts, profile information, status (suspended, active, disabled) groups, and privileges.

  • Piste d’audit :Audit trail:

    Visibilité des activités des utilisateurs, des administrateurs et des connexions.Visibility into user activities, admin activities, log on activity.

  • Analyse de données :Data scan:

    Analyse des données non structurées à l’aide de deux processus : analyse régulière (toutes les 12 heures) et analyse en temps réel (chaque fois qu’une modification est détectée).Scanning of unstructured data using two processes -periodically (every 12 hours) and in real-time scan (triggered each time a change is detected).

  • Autorisations d’application :App permissions:

    Visibilité des jetons émis et de leurs autorisations.Visibility into issued tokens and their permissions.

  • Gouvernance des comptes :Account governance:

    Possibilité de suspendre les utilisateurs, de révoquer des mots de passe, etc.Ability to suspend users, revoke passwords, etc.

  • Gouvernance des données :Data Governance:

    Possibilité de mettre des fichiers en quarantaine, y compris les fichiers dans la corbeille, et d’écraser des fichiers.Ability to quarantine files, including files in trash, and overwrite files.

  • Gouvernance des autorisations d’application :App permission governance:

    Possibilité de supprimer des jetons.Ability to remove tokens.

Le tableau suivant répertorie, par application cloud, les fonctionnalités prises en charge avec les connecteurs d’applications :The following table lists, per cloud app, which abilities are supported with App connectors:

Office 365Office 365 BoxBox OktaOkta G SuiteG Suite ServiceNowService Now SalesforceSalesforce DropboxDropbox AWSAWS
Répertorier les comptesList accounts
GroupeGroup
PrivilègesPrivileges Non prise en charge par le fournisseurNot supported by provider
Gouvernance des utilisateursUser governance Bientôt disponibleComing soon Bientôt disponibleComing soon Bientôt disponibleComing soon
Activité de connexionLog on activity
Activité de l’utilisateurUser activity ✔*✔* ✔ - nécessite Google illimité✔ - requires Google Unlimited PartielPartial Prise en charge avec Salesforce ShieldSupported with Salesforce Shield Non applicableNot applicable
Activité d’administrationAdministrative activity PartielPartial
Analyse régulière des fichiersPeriodic file scan Non applicableNot applicable Non applicableNot applicable
Analyse des fichiers pratiquement en temps réelNear-realtime file scan Non applicableNot applicable ✔ - nécessite Google illimité✔ - requires Google Unlimited Bientôt disponibleComing soon
Contrôle partagéSharing control Non applicableNot applicable Non applicableNot applicable
QuarantaineQuarantine Non applicableNot applicable Bientôt disponibleComing soon Bientôt disponibleComing soon
Voir les autorisations d’applicationView app permissions Non prise en charge par le fournisseurNot supported by provider Non applicableNot applicable Non prise en charge par le fournisseurNot supported by provider
Révoquer les autorisations d’applicationRevoke app permissions Non applicableNot applicable Non applicableNot applicable
Appliquer des étiquettes Azure Information ProtectionApply Azure Information Protection labels

PrérequisPrerequisites

  • Pour certaines applications, vous pouvez être amené à ajouter des adresses IP à la liste verte pour permettre à Cloud App Security de collecter les journaux et de fournir un accès pour la console Cloud App Security.For some apps, it may be necessary to white list IP addresses to enable Cloud App Security to collect logs and provide access for the Cloud App Security console. Pour plus d’informations, voir Configuration requise pour le réseau.For more information see Network requirements.

  • Pour chaque application à connecter avec l’intégration de l’API Cloud App Security, nous recommandons de créer un compte de service d’administration dédié à Cloud App Security.For each app that you want to connect with the Cloud App Security API integration, we recommend creating an admin service account dedicated to Cloud App Security.

Note

Pour obtenir des mises à jour quand des URL et des adresses IP ont changé, abonnez-vous au flux RSS comme expliqué dans URL et plages d’adresses IP Office 365.To get updates when URLs and IP addresses are changed, subscribe to the RSS as explained in: Office 365 URLs and IP address ranges.

Pour utiliser des connecteurs d’applications, vous devez vérifier que vous avez les éléments suivants pour chaque application concernée :To use App Connectors, you need to make sure you have the following for each specific app:

ApplicationApp Type de licenceLicense type UtilisateurUser
BoxBox EnterpriseEnterprise Il est fortement recommandé de vous connecter à Box en tant qu’administrateur. Une connexion en tant que coadministrateur entraînera une visibilité des données partielle seulement.It is strongly recommended that you connect to Box as an Admin. Connecting as a Co-admin will result in only partial data visibility. Si vous vous connectez en tant que coadministrateur, veillez à sélectionner toutes les autorisations.If you connect as a Co-admin, make sure to select all permissions.
G SuiteG Suite G Suite Unlimited de préférenceG Suite Unlimited preferred

G Suite Enterprise (au minimum)G Suite Enterprise (minimally)
Super administrateurSuper Admin
Office 365Office 365 Administrateur généralGlobal Admin
AWSAWS Utilisateur récemment crééNewly created user
DropboxDropbox Business/EntreprisesBusiness/Enterprise AdministrateurAdmin
OktaOkta Enterprise (pas la version d’essai)Enterprise (not trial) AdministrateurAdmin
ExchangeExchange Administrateur généralGlobal Admin
ServiceNowServiceNow Eureka et au-dessusEureka and up Administrateur + rôle RestAPIAdmin +RestAPI role
SalesforceSalesforce AdministrateurAdmin

ExpressRouteExpressRoute

Cloud App Security est déployé dans Azure et entièrement intégré à ExpressRoute.Cloud App Security is deployed in Azure and fully integrated with ExpressRoute. Toutes les interactions avec les applications Cloud App Security et le trafic envoyé vers Cloud App Security, notamment le chargement des journaux de découverte, sont acheminés via l’homologation publique ExpressRoute pour améliorer la latence, les performances et la sécurité.All interactions with the Cloud App Security apps and traffic sent to Cloud App Security, including upload of discovery logs, is routed via ExpressRoute public peering for improved latency, performance and security. Aucune étape de configuration n’est nécessaire côté client.There are no configuration steps required from the customer side.
Pour plus d’informations sur l’homologation publique, consultez Circuits ExpressRoute et domaines de routage.For more information about Public Peering, see ExpressRoute circuits and routing domains.

Voir aussiSee Also

Activités quotidiennes pour protéger votre environnement cloudDaily activities to protect your cloud environment

Les clients Premier peuvent également choisir Cloud App Security directement depuis le portail Premier.Premier customers can also choose Cloud App Security directly from the Premier Portal.

Regardez cette vidéo !Check out this video!

Microsoft Cloud App Security – API REST et jetonsMicrosoft Cloud App Security – REST API’s and Tokens