Tutoriel : Bloquer le téléchargement d’informations sensibles avec le contrôle d’application par accès conditionnel

De nos jours, l’administration informatique est coincée entre le marteau et l’enclume. Vous voulez donner à vos employés les moyens d’être productifs. Ce qui implique de les autoriser à accéder à des applications pour qu’ils puissent travailler à tout moment, depuis n’importe quel appareil. Mais vous devez également protéger les ressources de l’entreprise, notamment les informations propriétaires et privilégiées. Comment permettre à vos employés d’accéder à vos applications cloud tout en protégeant vos données ? Ce tutoriel vous permet de bloquer les téléchargements effectués par des utilisateurs qui ont accès à vos données sensibles dans des applications cloud d’entreprise depuis des appareils non gérés ou des emplacements réseau hors entreprise.

Ce didacticiel vous montre comment effectuer les opérations suivantes :

• Créer une stratégie de blocage de téléchargement pour les appareils non gérés
• Valider votre stratégie

La menace

Un responsable de compte de votre organisation veut vérifier une information dans Salesforce de chez lui pendant le weekend, sur son ordinateur portable personnel. Les données Salesforce peuvent inclure des informations personnelles sur vos clients ou leurs numéros de carte de crédit. Les ordinateurs personnels sont des appareils non gérés. Le client peut télécharger des documents Salesforce sur son ordinateur, alors que ce dernier est infecté par un programme malveillant. Si l’appareil est perdu ou volé, et qu’il n’est pas protégé par un mot de passe, la personne qui l’a entre ses mains peut accéder aux informations sensibles.

La solution

Protégez votre organisation en surveillant et en contrôlant l’utilisation de l’application cloud avec n’importe quelle solution IdP et le contrôle d’application par accès conditionnel Defender for Cloud Apps.

Prérequis

• Une licence valide pour Microsoft Entra ID P1 ou licence requise par votre solution de fournisseur d’identité (IDP)

• Configurez un logiciel cloud pour l’authentification unique (SSO) à l’aide de l’un des protocoles d’authentification suivants :

  Fournisseur d’identité	Protocoles
  Microsoft Entra ID	SAML 2.0 ou OpenID Connect
  Autres	SAML 2.0

• Vérifiez que l’application est déployée sur Defender for Cloud Apps

Créer une stratégie de blocage de téléchargement pour les appareils non gérés

Les stratégies de session Defender for Cloud Apps vous permettent de restreindre une session en fonction de l’état de l’appareil. Pour contrôler une session en utilisant son appareil comme condition, créez à la fois une stratégie d’accès conditionnel ET une stratégie de session.

Pour créer la stratégie d’accès conditionnel, suivez les étapes décrites dans Créer une stratégie d’accès Defender for Cloud Apps. Ce tutoriel explique comment créer la stratégie de session.

Étape 1 : Configurez votre fournisseur d’identité pour qu’il fonctionne avec Defender for Cloud Apps

Vérifiez que vous avez configuré votre solution IdP pour qu’elle fonctionne avec Defender for Cloud Apps, comme suit :

• Pour l’accès conditionnel Microsoft Entra, consultez Configurer l’intégration avec Microsoft Entra ID
• Pour obtenir d’autres solutions IdP, consultez Configurer l’intégration avec d’autres solutions IdP

Une fois cette tâche terminée, accédez au portail Defender for Cloud Apps et créez une stratégie de session pour surveiller et contrôler les téléchargements de fichiers dans la session.

Étape 2 : Créer une stratégie de session

1. Dans le portail Microsoft Defender, sous Applications Cloud, accédez à Stratégies, puis sélectionnez Gestion des stratégies.

2. Dans la page Stratégies, sélectionnez Créer une stratégie, puis Stratégie de session.

3. Dans la page Créer une stratégie de session, donnez à votre stratégie un nom et une description. Par exemple, Bloquer les téléchargements depuis Salesforce pour les appareils non gérés.

4. Affectez une gravité de la stratégie et une catégorie.

5. Pour Type de contrôle de session, sélectionnez Contrôler le téléchargement de fichiers (avec inspection). Ce paramètre vous permet de surveiller tout ce que font vos utilisateurs dans une session Salesforce, et de bloquer et protéger les téléchargements en temps réel.

6. Sous Source de l’activité dans la section Activités remplissant toutes les conditions suivantes, sélectionnez les filtres :

   • Balise de l’appareil : Sélectionnez N’est pas égal. puis sélectionnez Conforme à Intune, Jonction hybride Microsoft Entra ou Certificat client valide. Votre sélection dépend de la méthode utilisée dans votre organisation pour identifier les appareils gérés.

   • Application : Sélectionnez l’application à contrôler.

   • Utilisateurs : Sélectionnez les utilisateurs à surveiller.

7. Vous pouvez également bloquer les téléchargements pour les emplacements qui ne font pas partie de votre réseau d’entreprise. Sous Source de l’activité dans la section Activités remplissant toutes les conditions suivantes, sélectionnez les filtres suivants :

   • Adresse IP ou Emplacement : Vous pouvez utiliser l’un ou l’autre de ces deux paramètres pour identifier les emplacements hors entreprise ou inconnus, à partir desquels un utilisateur peut essayer d’accéder à des données sensibles.

   Remarque

   Si vous souhaitez bloquer les téléchargements à la fois à partir des appareils non gérés et des emplacements hors entreprise, vous devez créer deux stratégies de session. Une stratégie définit la Source de l’activité à l’aide de l’emplacement. L’autre stratégie définit la Source de l’activité pour les appareils non gérés.

   • Application : Sélectionnez l’application à contrôler.

   • Utilisateurs : Sélectionnez les utilisateurs à surveiller.

8. Sous Source de l’activité dans la section Fichiers remplissant toutes les conditions suivantes, sélectionnez les filtres suivants :

   • Étiquettes de confidentialité : si vous utilisez des étiquettes de confidentialité de Protection des données Microsoft Purview, filtrez les fichiers en fonction d’une étiquette de confidentialité spécifique de Protection des données Microsoft Purview.

   • Sélectionnez Nom de fichier ou Type de fichier pour appliquer des restrictions en fonction de ces deux paramètres.

9. Activez l’option Inspection du contenu pour permettre à la protection contre la perte de données (DLP) interne d’analyser vos fichiers pour en détecter le contenu sensible.

10. Sous Actions, sélectionnez Bloquer. Personnalisez le message de blocage que vos utilisateurs reçoivent quand ils ne parviennent pas à télécharger des fichiers.

11. Définissez les alertes que vous voulez recevoir quand la stratégie trouve une correspondance. Vous pouvez définir une limite afin de ne pas recevoir trop d’alertes. Sélectionnez si vous souhaitez obtenir les alertes par email.

12. Sélectionnez Créer.

Valider votre stratégie

1. Pour simuler le blocage du téléchargement de fichiers, depuis un appareil non géré ou un emplacement réseau hors entreprise, connectez-vous à l’application. Ensuite, essayez de télécharger un fichier.

2. Ce fichier doit être bloqué et vous devez recevoir le message que vous avez défini sous Personnaliser les messages de blocage.

3. Dans le portail Microsoft Defender, sous Applications Cloud, accédez à Stratégies, puis sélectionnez Gestion des stratégies. Sélectionnez ensuite la stratégie que vous avez créée pour afficher le rapport de stratégie. Une correspondance de stratégie de session doit apparaître rapidement.

4. Dans le rapport de stratégie, vous pouvez savoir quelles connexions ont été redirigées vers Microsoft Defender for Cloud Apps à des fins de contrôle de session et quels fichiers ont été téléchargés ou bloqués depuis les sessions surveillées.

Étapes suivantes

Comment créer une stratégie d’accès

Comment créer une stratégie de session

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.