Déployer le contrôle d’application par accès conditionnel pour les applications de catalogue avec Microsoft Entra ID

Les contrôles d’accès et de session dans Microsoft Defender for Cloud Apps fonctionnent avec des applications à partir du catalogue d’applications cloud et avec des applications personnalisées. Pour obtenir la liste des applis pré-intégrées et prêtes à l’emploi, consultez Protéger les applications avec le contrôle d'application par accès conditionnel de Defender for Cloud Apps.

Prérequis

  • Votre organisation doit disposer des licences suivantes pour utiliser le contrôle d’application par accès conditionnel :

  • Les applis doivent être configurées avec l’authentification unique

  • Les applis doivent utiliser l’un des protocoles d’authentification suivants :

    Fournisseur d’identité Protocoles
    Microsoft Entra ID SAML 2.0 ou OpenID Connect
    Autres SAML 2.0

Pour déployer des applications de catalogue

Suivez les étapes ci-dessous pour configurer des applications de catalogue à contrôler par le contrôle d’application par accès conditionnel de Microsoft Defender for Cloud Apps.

Configurer une intégration avec Microsoft Entra ID

Remarque

Lors de la configuration d’une application avec l’authentification unique (SSO) dans Microsoft Entra ID ou d’autres fournisseurs d’identité, un champ qui peut être répertorié comme facultatif est le paramètre d’URL de connexion. Notez que ce champ peut être requis pour que le contrôle d’application par accès conditionnel fonctionne.

Procédez comme suit pour créer une stratégie d’accès conditionnel Microsoft Entra qui achemine les sessions d’application vers Defender for Cloud Apps. Pour obtenir d’autres solutions IdP, consultez Configurer l’intégration avec d’autres solutions IdP.

  1. Dans Microsoft Entra ID, accédez à Sécurité>Accès conditionnel.

  2. Dans le volet Accès conditionnel, dans la barre d’outils en haut, sélectionnez Nouvelle stratégie ->Créer une stratégie.

  3. Dans le volet Nouveau, dans la zone de texte Nom, entrez le nom de la stratégie.

  4. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail et affectez les utilisateurs et les groupes qui intégreront (authentification initiale et vérification) l’application.

  5. Sous Affectations, sélectionnez Applis cloud ou actions, puis attribuez les applications et les actions que vous souhaitez contrôler avec le contrôle d’application par accès conditionnel.

  6. Sous Contrôles d’accès, sélectionnez Session, sélectionnez Utiliser le contrôle d’application par accès conditionnel, puis choisissez une stratégie intégrée (Surveiller uniquement (aperçu) ou Bloquer les téléchargements (aperçu)) ou Utilisez une stratégie personnalisée pour définir une stratégie avancée dans Defender for Cloud Apps, puis choisissez Sélectionner.

    Microsoft Entra Conditional Access.

  7. Si vous le souhaitez, ajoutez des conditions et accordez des contrôles en fonction des besoins.

  8. Définissez Activer la stratégie sur Activé, puis sélectionnez Créer.

Remarque

Avant de continuer, veillez à vous déconnecter des sessions existantes.

Une fois que vous avez créé la stratégie, connectez-vous à chaque application configurée dans cette stratégie. Veillez à vous connecter à l’aide d’un utilisateur configuré dans la stratégie.

Defender for Cloud Apps synchronise vos détails de stratégie avec ses serveurs pour chaque nouvelle application à laquelle vous vous connectez. Cette opération peut prendre jusqu’à une minute.

Les instructions précédentes vous ont aidé à créer une stratégie intégrée Defender for Cloud Apps pour les applications de catalogue directement dans Microsoft Entra ID. Dans cette étape, vérifiez que les contrôles d'accès et de session sont configurés pour ces applis.

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud.

  2. Sous Applications connectées, sélectionnez Applis de contrôle d’application par accès conditionnel. Examinez la colonne Contrôles disponibles et vérifiez que le contrôle d’accès ou l’accès conditionnel Azure AD et le contrôle de session apparaissent pour vos applis.

    Remarque

    Si l’application n’est pas activée pour le contrôle de session, vous pouvez l’ajouter en sélectionnant Intégrer avec le contrôle de session et en cochant Utiliser cette application avec des contrôles de session. Onboard with session control.

Une fois que vous êtes prêt à activer l’application à utiliser dans l’environnement de production de votre organisation, procédez comme suit.

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud.

  2. Sous Applications connectées, sélectionnez Applis de contrôle d’application par accès conditionnel. Dans la liste des applications, dans la ligne où apparaît l’application que vous déployez, choisissez les trois points en fin de ligne, puis choisissez Modifier l’application.

  3. Sélectionnez Utiliser l’application avec des contrôles de session, puis sélectionnez Enregistrer.

    Edit this app dialogue.

  4. Tout d’abord, déconnectez-vous de toutes les sessions existantes. Ensuite, essayez de vous connecter à chaque application qui a été déployée avec succès. Connectez-vous à l’aide d’un utilisateur qui correspond à la stratégie configurée dans Microsoft Entra ID ou pour une application SAML configurée avec votre fournisseur d’identité.

  5. Dans le portail Microsoft Defender, sous Logiciels cloud, sélectionnez Journal d’activité et vérifiez que les activités de connexion sont capturées pour chaque application.

  6. Vous pouvez filtrer en sélectionnant Avancé, puis en filtrant avec Source est égale à Contrôle d’accès.

    Filter using Microsoft Entra Conditional Access.

  7. Nous vous recommandons de vous connecter aux applications mobiles et de bureau à partir d’appareils gérés et non gérés, afin de vous assurer que les activités sont correctement capturées dans le journal d’activité.
    Pour vérifier que les activités sont correctement capturées, cliquez sur une activité de connexion avec authentification unique afin d’ouvrir le tiroir Activité. Vérifiez que l’Étiquette agent utilisateur indique correctement si l’appareil est un client natif (à savoir, une application mobile ou de bureau) ou un appareil géré (conforme, joint à un domaine ou avec certificat client valide).

Remarque

Après son déploiement, vous ne pouvez pas supprimer une application à partir de la page Contrôle d’application par accès conditionnel. Tant que vous ne définissez pas une stratégie d’accès ou de session sur l’application, le contrôle d’application par accès conditionnel ne change pas le comportement de l’application.

Étapes suivantes

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.