Créer des stratégies de session Microsoft Defender pour Cloud Apps

Les stratégies de session Microsoft Defender for Cloud Apps offrent une visibilité granulaire des logiciels cloud avec une surveillance au niveau de la session en temps réel. Utilisez les politiques de session pour prendre diverses actions, en fonction de la politique que vous définissez pour une session utilisateur.

Contrairement aux politiques d’accès, qui permettent ou bloquent complètement l’accès, les politiques de session permettent l’accès tout en surveillant la session. Ajoutez le contrôle d’applications par accès conditionnel à vos politiques de session pour limiter des activités de session spécifiques.

Par exemple, vous pouvez autoriser les utilisateurs à accéder à une application à partir d’appareils non gérés ou de certains emplacements. Cependant, vous pouvez vouloir limiter le téléchargement de fichiers sensibles pendant ces sessions ou exiger que certains documents soient protégés contre le téléchargement, le téléversement ou la copie lors de la sortie de l’application.

Les politiques créées pour une application hôte ne sont pas connectées à des applications ressources associées. Par exemple, les politiques d’accès que vous créez pour Teams, Exchange ou Gmail ne sont pas connectées à SharePoint, OneDrive ou Google Drive. Si vous avez besoin d’une stratégie pour l’application de ressource en plus de l’application hôte, créez une stratégie distincte.

Il n’existe aucune limite au nombre de stratégies qui peuvent être appliquées.

Prérequis

Avant de commencer, assurez-vous que vous disposez des prérequis suivants :

• Une licence Defender pour le cloud, soit en tant que licence autonome, soit dans le cadre d’une autre licence

• Une licence Microsoft Entra ID P1, soit en tant que licence autonome, soit dans le cadre d’une autre licence.

• Si vous utilisez un IdP non-Microsoft, la licence requise par votre solution de fournisseur d’identité (IdP).

• Les applications pertinentes intégrées au contrôle d’applications par accès conditionnel. Les applications Microsoft Entra ID sont automatiquement intégrées, tandis que les applications IdP non-Microsoft doivent être intégrées manuellement.

  Si vous travaillez avec un IdP non-Microsoft, assurez-vous également d’avoir configuré votre IdP pour qu’il fonctionne avec Microsoft Defender pour le cloud. Pour plus d’informations, consultez l’article suivant :

  • Intégrer des applications du catalogue IdP non-Microsoft pour le contrôle d’applications par accès conditionnel
  • Intégrer des applications personnalisées IdP non-Microsoft pour le contrôle d’applications par accès conditionnel

Pour que votre politique d’accès fonctionne, vous devez également avoir une politique d’accès conditionnel Microsoft Entra ID, qui crée les autorisations pour contrôler le trafic.

Exemple : Créer des politiques d’accès conditionnel Microsoft Entra ID pour une utilisation avec Defender pour le cloud

Cette procédure fournit un exemple de haut niveau sur la manière de créer une politique d’accès conditionnel pour une utilisation avec Defender pour le cloud.

1. Dans l’accès conditionnel Microsoft Entra ID, sélectionnez Créer une nouvelle politique.

2. Entrez un nom significatif pour votre politique, puis sélectionnez le lien sous Session pour ajouter des contrôles à votre politique.

3. Dans la zone Session, sélectionnez Utiliser le contrôle d’applications par accès conditionnel.

4. Dans la zone Utilisateurs, sélectionnez d’inclure tous les utilisateurs ou uniquement des utilisateurs et groupes spécifiques.

5. Dans les zones Conditions et Applications clientes, sélectionnez les conditions et applications clientes que vous souhaitez inclure dans votre politique.

6. Enregistrez la politique en basculant Rapport seul sur Activé, puis en sélectionnant Créer.

Microsoft Entra ID prend en charge à la fois les politiques basées sur le navigateur et celles non basées sur le navigateur. Nous recommandons de créer les deux types pour une couverture de sécurité accrue.

Répétez cette procédure pour créer une politique d’accès conditionnel non basée sur le navigateur. Dans la zone Applications clientes, activez l’option Configurer sur Oui. Puis, sous Clients d’authentification moderne, désélectionnez l’option Navigateur. Laissez toutes les autres sélections par défaut sélectionnées.

Pour plus d’informations, veuillez consulter la section Politiques d’accès conditionnel et Créer une politique d’accès conditionnel.

Créer une stratégie de session Defender for Cloud Apps

Cette procédure décrit comment créer une nouvelle politique de session dans Defender pour le cloud.

1. Dans Microsoft Defender XDR, sélectionnez l’onglet Applications cloud > Politiques > Gestion des politiques > Accès conditionnel.

2. Sélectionnez Créer une politique>Politique de session. Par exemple :

   

3. Sur la page Créer une politique de session, commencez par sélectionner un modèle dans le menu déroulant Modèle de politique, ou en entrant tous les détails manuellement.

4. Saisissez les informations de base suivantes pour votre politique. Si vous utilisez un modèle, une grande partie du contenu est déjà remplie pour vous.

   Nom	Description
   Nom de la stratégie	Un nom significatif pour votre politique, tel que Bloquer le téléchargement de documents sensibles dans Box pour les utilisateurs marketing.
   Gravité de la stratégie	Sélectionnez le niveau de gravité que vous souhaitez appliquer à votre politique.
   Catégorie	Sélectionnez la catégorie que vous souhaitez appliquer.
   Description	Entrez une description optionnelle et significative pour votre politique afin d’aider votre équipe à comprendre son objectif.
   Type de contrôle de session	Sélectionnez l’une des options suivantes : - Surveiller uniquement. Surveille uniquement l’activité des utilisateurs et crée une politique Surveiller uniquement pour les applications que vous sélectionnez. - Bloquer les activités. Bloque les activités spécifiques définies par le filtre Type d’activité. Toutes les activités des applications sélectionnées sont supervisées et signalées dans le journal d’activité. - Contrôler le téléchargement de fichiers (avec inspection). Surveille les téléchargements de fichiers et peut être combiné avec d’autres actions, comme le blocage ou la protection des téléchargements. - Contrôler le téléversement de fichiers (avec inspection). Surveille les téléversements de fichiers et peut être combiné avec d’autres actions, comme le blocage ou la protection des téléversements. Pour plus d’informations, veuillez consulter la section Activités prises en charge pour les politiques de session.

5. Dans la zone Activités correspondant à tous les éléments suivants, sélectionnez des filtres d’activité supplémentaires à appliquer à la politique. Les filtres incluent les options suivantes :

   Nom	Description
   Type d’activité	Sélectionnez le type d’activité que vous souhaitez appliquer, tel que : - Impression - Actions du presse-papiers comme couper, copier, coller - Envoi, partage, annulation de partage ou modification d’éléments dans les applications prises en charge. Par exemple, utilisez une activité envoyer des éléments dans vos conditions pour attraper un utilisateur tentant d’envoyer des informations dans une conversation Teams ou un canal Slack, et bloquez le message s’il contient des informations sensibles telles qu’un mot de passe ou d’autres informations d’identification.
   Application	Filtres pour une application spécifique à inclure dans la politique. Sélectionnez les applications en commençant par déterminer si elles utilisent Intégration Azure AD automatique pour les applications Microsoft Entra ID ou Intégration manuelle pour les applications IdP non-Microsoft. Ensuite, sélectionnez l’application que vous souhaitez inclure dans votre filtre à partir de la liste. Si votre application IdP non-Microsoft est absente de la liste, assurez-vous de l’avoir entièrement intégrée. Pour plus d'informations, voir : - Intégrer des applications du catalogue IdP non-Microsoft pour le contrôle d’applications par accès conditionnel. - Intégrer des applications personnalisées IdP non-Microsoft pour le contrôle d’applications par accès conditionnel Si vous choisissez de ne pas utiliser le filtre Application, la politique s’applique à toutes les applications marquées comme Activé sur la page Paramètres > Applications cloud > Applications connectées > Contrôle d’application par accès conditionnel. Remarque : vous pouvez constater un certain chevauchement entre les applications intégrées et celles nécessitant une intégration manuelle. En cas de conflit dans votre filtre entre les applications, les applications intégrées manuellement prendront le pas.
   Appareil	Filtrer pour les étiquettes d’appareil, telles que pour une méthode de gestion d’appareils spécifique, ou les types d’appareils, tels que PC, mobile ou tablette.
   Adresse IP	Filtrer par adresse IP ou utiliser les étiquettes d’adresses IP assignées précédemment.
   Lieu	Filtrer par emplacement géographique. L’absence d’un emplacement clairement défini peut identifier des activités risquées.
   ISP enregistré	Filtrer pour les activités provenant d’un fournisseur d’accès Internet spécifique.
   Utilisateur	Filtrer pour un utilisateur ou un groupe d’utilisateurs spécifique.
   Chaîne d’agent utilisateur	Filtrer pour une chaîne d’agent utilisateur spécifique.
   Étiquette d’agent utilisateur	Filtrer pour les étiquettes d’agent utilisateur, telles que pour les navigateurs ou systèmes d’exploitation obsolètes.

   Par exemple :

   

   Sélectionnez Modifier et prévisualiser les résultats pour obtenir un aperçu des types d’activités qui seraient retournées avec votre sélection actuelle.

6. Configurez les options supplémentaires disponibles pour tout type de contrôle de session spécifique.

   Par exemple, si vous avez sélectionné Bloquer les activités, sélectionnez Utiliser l’inspection de contenu pour inspecter le contenu de l’activité, puis configurez vos paramètres selon vos besoins. Dans ce cas, vous pouvez vouloir inspecter le texte qui inclut des expressions spécifiques, telles qu’un numéro de sécurité sociale.

7. Si vous avez sélectionné Contrôler le téléchargement de fichiers (avec inspection) ou Contrôler le téléversement de fichiers (avec inspection), configurez les paramètres Fichiers correspondant à tous les éléments suivants.

   1. Configurez l’un des filtres de fichiers suivants :

      Nom	Description
      Étiquette de sensibilité	Filtrer par les étiquettes de sensibilité de Microsoft Purview Information Protection, si vous utilisez également Microsoft Purview et que vos données sont protégées par ses étiquettes de sensibilité.
      Nom de fichier	Filtrer pour des fichiers spécifiques.
      Extension	Filtrer pour des types de fichiers spécifiques, par exemple, bloquer le téléchargement pour tous les fichiers .xls.
      Taille de fichier (MB)	Filtrer pour des tailles de fichiers spécifiques, telles que des fichiers volumineux ou petits.

   2. Dans la zone Appliquer à (Aperçu) :

      • Sélectionnez si vous souhaitez appliquer la politique à tous les fichiers, ou uniquement aux fichiers dans des dossiers spécifiques
      • Sélectionnez une méthode d’inspection à utiliser, telle que les services de classification des données ou les logiciels malveillants. Pour plus d’informations, consultez Intégration des services de classification des données Microsoft.
      • Configurez des options plus détaillées pour votre politique, telles que des scénarios basés sur des éléments comme les empreintes digitales ou les classificateurs entraînables.

8. Dans la zone Actions, sélectionnez l’une des options suivantes :

   Nom	Description
   Audit	Surveille toutes les activités. Sélectionnez pour autoriser explicitement le téléchargement selon les filtres de politique que vous avez définis.
   Blocage	Bloque les téléchargements de fichiers et surveille toutes les activités. Sélectionnez pour bloquer explicitement les téléchargements selon les filtres de politique que vous avez définis. Les politiques de blocage vous permettent également de choisir de notifier les utilisateurs par e-mail et de personnaliser le message de blocage.
   Protéger	Applique une étiquette de sensibilité au téléchargement et surveille toutes les activités. Disponible uniquement si vous avez sélectionné Contrôler le téléchargement de fichiers (avec inspection). Si vous utilisez Microsoft Purview Information Protection, vous pouvez également choisir d’appliquer une étiquette de sensibilité aux fichiers correspondants, d’appliquer des autorisations personnalisées à l’utilisateur téléchargeant les fichiers, ou de bloquer le téléchargement de fichiers spécifiques. Si vous avez une politique d’accès conditionnel Microsoft Entra ID, vous pouvez également choisir d’exiger une authentification renforcée (Aperçu).

   Sélectionnez éventuellement l’option Appliquer toujours l’action sélectionnée même si les données ne peuvent pas être scannées selon les besoins de votre politique.

9. Dans la zone Alertes, configurez l’une des actions suivantes selon vos besoins :

   • Créer une alerte pour chaque événement correspondant avec la gravité de la stratégie
   • Envoyer une alerte par email
   • Limite quotidienne des alertes par stratégie
   • Envoyer des alertes à Power Automate

10. Sélectionnez Créer lorsque vous avez terminé.

Tester votre stratégie

Une fois que vous avez créé votre stratégie de session, testez-la en l’authentifiant à chaque application configurée dans la stratégie et en testant le scénario que vous avez configuré dans votre stratégie.

Nous vous recommandons :

• Déconnectez-vous de toutes les sessions existantes avant de vous ré-authentifier à vos applications.
• Connectez-vous aux applications mobiles et de bureau à partir d’appareils gérés et d’appareils non gérés pour vous assurer que les activités sont entièrement capturées dans le journal d’activité.

Assurez-vous de vous connecter avec un utilisateur correspondant à votre politique.

Pour tester votre politique dans votre application :

• Vérifiez que l’icône du cadenas apparaît dans votre navigateur ou, si vous travaillez dans un navigateur autre que Microsoft Edge, vérifiez que l’URL de votre application contient le suffixe .mcas. Pour en savoir plus, consultez Protection dans le navigateur avec Microsoft Edge Entreprise (préversion).

• Visitez toutes les pages de l’application qui font partie du processus de travail d’un utilisateur et vérifiez que les pages offrent un rendu correct.

• Vérifiez que le comportement et la fonctionnalité de l’application ne sont pas affectés par l’exécution d’actions courantes telles que le téléchargement de fichiers vers l’aval et vers l’amont.

• Si vous travaillez avec des applications personnalisées IdP non-Microsoft, vérifiez chacun des domaines que vous avez ajoutés manuellement pour votre application.

Si vous rencontrez des erreurs ou des problèmes, utilisez la barre d’outils d’administration pour collecter des ressources telles que des fichiers .har et des sessions enregistrées pour déposer un ticket de support.

Pour vérifier les mises à jour dans Microsoft Defender XDR :

1. Dans le portail Microsoft Defender, sous Applications Cloud, accédez à Stratégies, puis sélectionnez Gestion des stratégies.

2. Sélectionnez la stratégie que vous avez créée pour afficher le rapport de stratégie. Une correspondance de stratégie de session doit apparaître rapidement.

Le rapport de politique montre quelles connexions ont été redirigées vers Microsoft Defender pour le cloud pour le contrôle des sessions, ainsi que toutes les autres actions, telles que les fichiers qui ont été téléchargés ou bloqués lors des sessions surveillées.

Désactiver les paramètres de notification des utilisateurs

Par défaut, les utilisateurs sont notifiés lorsque leurs sessions sont surveillées. Si vous préférez que vos utilisateurs ne soient pas notifiés, ou pour personnaliser le message de notification, configurez les paramètres de notification.

Dans Microsoft Defender XDR, sélectionnez Paramètres > Applications cloud > Contrôle d’applications par accès conditionnel > Surveillance des utilisateurs.

Faites l’une des sélections suivantes :

• Désactivez complètement l’option Notifier les utilisateurs que leur activité est surveillée
• Gardez la sélection et choisissez d’utiliser soit le message par défaut, soit de personnaliser votre message.

Sélectionnez le lien Aperçu pour voir un exemple du message configuré dans un nouvel onglet de navigateur.

Exporter les journaux de découverte cloud

Le Contrôle d’accès conditionnel aux applications enregistre les journaux de trafic de chaque session utilisateur acheminée vers lui. Les journaux de trafic incluent l’heure, l’adresse IP, l’agent utilisateur, les URL visitées et le nombre d’octets chargés et téléchargés. Ces journaux sont analysés et un rapport continu, Contrôle d’application par accès conditionnel Defender for Cloud Apps, est ajouté à la liste des rapports Cloud Discovery dans le tableau de bord Cloud Discovery.

Pour exporter les journaux Cloud Discovery à partir du tableau de bord Cloud Discovery :

1. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud. Sous Applications connectées, sélectionnez Contrôle d’application par accès conditionnel.

2. Au-dessus du tableau, sélectionnez le bouton Exporter. Par exemple :

   

3. Sélectionnez la plage du rapport et cliquez sur Exporter. Ce processus peut prendre un certain temps.

4. Pour télécharger le journal exporté une fois le rapport prêt, dans le portail Microsoft Defender, accédez à Rapports ->Cloud Apps, puis Rapports exportés.

5. Dans le tableau, sélectionnez le rapport approprié dans la liste des journaux du trafic du Contrôle d’application par accès conditionnel, puis cliquez sur Télécharger. Par exemple :

   

Activités prises en charge pour les politiques de session

Les sections suivantes fournissent plus de détails sur chaque activité prise en charge par les politiques de session de Defender pour le cloud.

Surveiller uniquement

Le type de contrôle de sessionSurveiller uniquement surveille uniquement l’activité Connexion.

Pour surveiller d’autres activités, sélectionnez l’un des autres types de contrôle de session et utilisez l’actionAudit.

Pour surveiller des activités autres que les téléchargements et téléversements, vous devez avoir au moins une politique de blocage par activité dans votre politique de surveillance.

Bloquer tous les téléchargements

Lorsque Contrôler le téléchargement de fichiers (avec inspection) est défini comme le type de contrôle de session et Bloquer est défini comme l’action, le contrôle d’applications par accès conditionnel empêche les utilisateurs de télécharger un fichier selon les filtres de fichiers des politiques.

Lorsqu’un utilisateur initie un téléchargement, un message Téléchargement restreint apparaît pour l’utilisateur, et le fichier téléchargé est remplacé par un fichier texte. Configurez le message du fichier texte pour l’utilisateur selon les besoins de votre organisation.

Exiger une authentification renforcée

L’actionExiger une authentification renforcée est disponible lorsque le type de contrôle de session est défini sur Bloquer les activités, Contrôler le téléchargement de fichiers (avec inspection), ou Contrôler le téléversement de fichiers (avec inspection).

Lorsque cette action est sélectionnée, Defender pour le cloud redirige la session vers l’accès conditionnel Microsoft Entra pour une réévaluation de la politique, chaque fois que l’activité sélectionnée se produit.

Utilisez cette option pour vérifier les revendications comme l’authentification multi-facteurs et la conformité de l’appareil pendant une session, en fonction du contexte d’authentification configuré dans Microsoft Entra ID.

Bloquer des activités spécifiques

Lorsque Bloquer les activités est défini comme le type de contrôle de session, sélectionnez des activités spécifiques à bloquer dans des applications spécifiques.

• Toutes les activités des applications configurées sont surveillées et signalées dans Applications cloud > Journal d’activité.

• Pour bloquer des activités spécifiques, sélectionnez davantage l’actionBloquer et sélectionnez les activités que vous souhaitez bloquer.

• Pour déclencher des alertes pour des activités spécifiques, sélectionnez l’actionAudit et configurez vos paramètres d’alerte.

Par exemple, vous pouvez vouloir bloquer les activités suivantes :

• Message envoyé sur Teams. Empêcher les utilisateurs d’envoyer des messages depuis Microsoft Teams ou bloquer les messages Teams contenant un contenu spécifique.

• Imprimer. Bloquer toutes les actions d’impression.

• Copier. Bloquer toutes les actions de copie vers le presse-papiers, ou bloquer uniquement la copie de contenu spécifique.

Protéger des fichiers lors du téléchargement

Sélectionnez le type de contrôle de sessionBloquer les activités pour bloquer des activités spécifiques, que vous définissez en utilisant le filtreType d’activité.

Toutes les activités des applications configurées sont surveillées et signalées dans Applications cloud > Journal d’activité.

• Sélectionnez l’actionBloquer pour bloquer des activités spécifiques, ou sélectionnez l’actionAudit et définissez les paramètres d’alerte pour déclencher des alertes pour des activités spécifiques.

• Sélectionnez l’actionProtéger pour protéger les fichiers avec des étiquettes de sensibilité et d’autres protections selon les filtres de fichiers de la politique.

  Les étiquettes de sensibilité sont configurées dans Microsoft Purview et doivent être configurées pour appliquer le chiffrement afin qu’elles apparaissent comme une option dans la politique de session de Defender pour le cloud.

  Lorsque vous avez configuré votre politique de session avec une étiquette spécifique et que l’utilisateur télécharge un fichier qui répond aux critères de la politique, l’étiquette et toutes les protections et autorisations correspondantes sont appliquées au fichier.

  Le fichier original reste tel qu’il était dans l’application cloud tandis que le fichier téléchargé est protégé. Les utilisateurs qui essaient d’accéder au fichier téléchargé doivent répondre aux exigences d’autorisation déterminées par la protection appliquée.

Defender for Cloud Apps prend actuellement en charge l’application d’étiquettes de confidentialité à partir de Protection des données Microsoft Purview pour les types de fichiers suivants :

• Word : docm, docx, dotm, dotx
• Excel : xlam, xlsm, xlsx, xltx
• PowerPoint : potm, potx, ppsx, ppsm, pptm, pptx
• PDF

Remarque

Les fichiers PDF doivent être étiquetés avec des étiquettes unifiées.

L’option Protéger ne prend pas en charge l’écrasement des fichiers avec une étiquette existante dans les politiques de session.

Protéger les chargements de fichiers sensibles

Sélectionnez le type de contrôle de sessionContrôler le téléversement de fichiers (avec inspection) pour empêcher un utilisateur de téléverser un fichier selon les filtres de fichiers de la politique.

Si le fichier téléversé contient des données sensibles et n’a pas la bonne étiquette, le téléversement du fichier est bloqué.

Par exemple, créez une politique qui analyse le contenu d’un fichier pour déterminer s’il contient une correspondance de contenu sensible telle qu’un numéro de sécurité sociale. Si le fichier contient un contenu sensible et n’est pas étiqueté avec une étiquette Confidentiel de Microsoft Purview Information Protection, le téléversement du fichier est bloqué.

Conseil

Configurez un message personnalisé pour l’utilisateur lorsqu’un fichier est bloqué, lui indiquant comment étiqueter le fichier pour le téléverser, afin de s’assurer que les fichiers stockés dans vos applications cloud sont conformes à vos politiques.

Pour plus d’informations, consultez la section Apprendre aux utilisateurs à protéger les fichiers sensibles.

Bloquer les logiciels malveillants lors du téléversement ou du téléchargement

Sélectionnez Contrôler le téléversement de fichiers (avec inspection) ou Contrôler le téléchargement de fichiers (avec inspection) comme type de contrôle de session et Détection de logiciels malveillants comme méthode d’inspection pour empêcher un utilisateur de téléverser ou de télécharger un fichier contenant des logiciels malveillants. Les fichiers sont analysés pour détecter les logiciels malveillants à l’aide du moteur de renseignements sur les menaces de Microsoft.

Affichez tous les fichiers marqués comme potentiels logiciels malveillants dans Applications cloud > Journal d’activité en utilisant le filtre Logiciels malveillants potentiels détectés. Pour plus d’informations, veuillez consulter la section Filtres et requêtes d’activité.

Informer les utilisateurs de la protection des fichiers sensibles

Nous recommandons d’éduquer les utilisateurs lorsqu’ils enfreignent vos politiques afin qu’ils apprennent comment se conformer aux exigences de votre organisation.

Étant donné que chaque entreprise a des besoins et des stratégies uniques, Defender for Cloud Apps vous permet de personnaliser les filtres d’une stratégie et le message affiché chez l’utilisateur lorsqu’une violation est détectée.

Fournissez des conseils spécifiques à vos utilisateurs, tels que des instructions sur la manière d’étiqueter correctement un fichier ou comment enregistrer un appareil non géré pour s’assurer que les fichiers sont téléversés avec succès.

Par exemple, si un utilisateur téléverse un fichier sans étiquette de sensibilité, configurez un message à afficher, expliquant que le fichier contient du contenu sensible et nécessite une étiquette appropriée. De même, si un utilisateur tente de téléverser un document à partir d’un appareil non géré, configurez un message à afficher avec des instructions sur la manière d’enregistrer cet appareil ou un message expliquant pourquoi l’appareil doit être enregistré.

Contrôles d’accès dans les politiques de session

De nombreuses organisations qui choisissent d’utiliser des contrôles de session pour les applications cloud afin de contrôler les activités en session, appliquent également des contrôles d’accès pour bloquer le même ensemble d’applications clientes mobiles et de bureau intégrées, fournissant ainsi une sécurité complète pour les applications.

Bloquez l’accès aux applications clientes mobiles et de bureau intégrées avec des politiques d’accès en définissant le filtre Application cliente sur Mobile et bureau. Certaines applications clientes intégrées peuvent être reconnues individuellement, tandis que d’autres faisant partie d’une suite d’applications peuvent seulement être identifiées comme leur application de niveau supérieur. Par exemple, les applications telles que SharePoint Online ne peuvent être reconnues qu’en créant une stratégie d’accès appliquée aux applications Microsoft 365.

Remarque

Sauf si le filtre Application cliente est spécifiquement défini sur Mobile et bureau, la stratégie d’accès résultante s’applique uniquement aux sessions de navigateur. Cela vise à éviter le proxy involontaire des sessions utilisateur.

Bien que la plupart des principaux navigateurs prennent en charge la vérification d’un certificat client, certaines applications mobiles et de bureau utilisent des navigateurs intégrés qui peuvent ne pas prendre en charge cette vérification. Par conséquent, l’utilisation de ce filtre peut affecter l’authentification pour ces applications.

Conflits de stratégies

Lorsqu’il y a un conflit entre deux politiques de session, la politique la plus restrictive prévaut.

Par exemple :

• Si une session utilisateur correspond à la fois à une politique où les téléchargements sont bloqués
• Et à une politique où les fichiers sont étiquetés lors du téléchargement, ou où les téléchargements sont audités,
• L’option de téléchargement de fichiers est bloquée, pour se conformer à la politique la plus restrictive.

Contenu connexe

Pour plus d’informations, consultez l’article suivant :

• Dépannage des contrôles d’accès et de session
• Tutoriel : Bloquer le téléchargement d’informations sensibles avec le contrôle d’application par accès conditionnel
• Blocage des téléchargements sur des appareils non gérés à l’aide de contrôles de session
• Webinaire sur le contrôle d’application par accès conditionnel

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.