Créer des stratégies d’accès à Microsoft Defender pour Cloud Apps.
Les politiques d’accès de Microsoft Defender pour le cloud utilisent le contrôle d’applications par accès conditionnel pour fournir une surveillance en temps réel et un contrôle de l’accès aux applications cloud. Les politiques d’accès contrôlent l’accès en fonction de l’utilisateur, de l’emplacement, de l’appareil et de l’application, et sont prises en charge pour tous les appareils.
Les politiques créées pour une application hôte ne sont pas connectées à des applications ressources associées. Par exemple, les politiques d’accès que vous créez pour Teams, Exchange ou Gmail ne sont pas connectées à SharePoint, OneDrive ou Google Drive. Si vous avez besoin d’une stratégie pour l’application de ressource en plus de l’application hôte, créez une stratégie distincte.
Conseil
Si vous préférez autoriser l’accès tout en surveillant les sessions ou limiter certaines activités de session, créez plutôt des politiques de session. Pour plus d’informations, consultez Stratégies de session.
Prérequis
Avant de commencer, assurez-vous que vous disposez des prérequis suivants :
Une licence Defender pour le cloud, soit en tant que licence autonome, soit dans le cadre d’une autre licence.
Une licence Microsoft Entra ID P1, soit en tant que licence autonome, soit dans le cadre d’une autre licence.
Si vous utilisez un IdP non-Microsoft, la licence requise par votre solution de fournisseur d’identité (IdP).
Les applications pertinentes intégrées au contrôle d’applications par accès conditionnel. Les applications Microsoft Entra ID sont automatiquement intégrées, tandis que les applications IdP non-Microsoft doivent être intégrées manuellement.
Si vous travaillez avec un IdP non-Microsoft, assurez-vous également d’avoir configuré votre IdP pour qu’il fonctionne avec Microsoft Defender pour le cloud. Pour plus d’informations, consultez l’article suivant :
Pour que votre politique d’accès fonctionne, vous devez également avoir une politique d’accès conditionnel Microsoft Entra ID, qui crée les autorisations pour contrôler le trafic.
Exemple : Créer des politiques d’accès conditionnel Microsoft Entra ID pour une utilisation avec Defender pour le cloud
Cette procédure fournit un exemple de haut niveau sur la manière de créer une politique d’accès conditionnel pour une utilisation avec Defender pour le cloud.
Dans l’accès conditionnel Microsoft Entra ID, sélectionnez Créer une nouvelle politique.
Entrez un nom significatif pour votre politique, puis sélectionnez le lien sous Session pour ajouter des contrôles à votre politique.
Dans la zone Session, sélectionnez Utiliser le contrôle d’applications par accès conditionnel.
Dans la zone Utilisateurs, sélectionnez d’inclure tous les utilisateurs ou uniquement des utilisateurs et groupes spécifiques.
Dans les zones Conditions et Applications clientes, sélectionnez les conditions et applications clientes que vous souhaitez inclure dans votre politique.
Enregistrez la politique en basculant Rapport seul sur Activé, puis en sélectionnant Créer.
Microsoft Entra ID prend en charge à la fois les politiques basées sur le navigateur et celles non basées sur le navigateur. Nous recommandons de créer les deux types pour une couverture de sécurité accrue.
Répétez cette procédure pour créer une politique d’accès conditionnel non basée sur le navigateur. Dans la zone Applications clientes, activez l’option Configurer sur Oui. Puis, sous Clients d’authentification moderne, désélectionnez l’option Navigateur. Laissez toutes les autres sélections par défaut sélectionnées.
Pour plus d’informations, veuillez consulter la section Politiques d’accès conditionnel et Créer une politique d’accès conditionnel.
Créer une stratégie d’accès aux applications Defender for Cloud Apps
Cette procédure décrit comment créer une nouvelle politique d’accès dans Defender pour le cloud.
Dans Microsoft Defender XDR, sélectionnez l’onglet Applications cloud > Politiques > Gestion des politiques > Accès conditionnel.
Sélectionnez Créer une politique>Politique d’accès. Par exemple :
Sur la page Créer une politique d’accès, entrez les informations de base suivantes :
Nom Description Nom de la stratégie Un nom significatif pour votre politique, tel que Bloquer l’accès à partir des appareils non gérés. Gravité de la stratégie Sélectionnez le niveau de gravité que vous souhaitez appliquer à votre politique. Catégorie Gardez la valeur par défaut de Contrôle d’accès. Description Entrez une description optionnelle et significative pour votre politique afin d’aider votre équipe à comprendre son objectif. Dans la zone Activités correspondant à tous les éléments suivants, sélectionnez des filtres d’activité supplémentaires à appliquer à la politique. Les filtres incluent les options suivantes :
Nom Description Application Filtres pour une application spécifique à inclure dans la politique. Sélectionnez les applications en commençant par déterminer si elles utilisent Intégration Azure AD automatique pour les applications Microsoft Entra ID ou Intégration manuelle pour les applications IdP non-Microsoft. Ensuite, sélectionnez l’application que vous souhaitez inclure dans votre filtre à partir de la liste.
Si votre application IdP non-Microsoft est absente de la liste, assurez-vous de l’avoir entièrement intégrée. Pour plus d'informations, voir :
- Intégrer des applications du catalogue IdP non-Microsoft pour le contrôle d’applications par accès conditionnel
- Intégrer des applications personnalisées IdP non-Microsoft pour le contrôle d’applications par accès conditionnel
Si vous choisissez de ne pas utiliser le filtre Application, la politique s’applique à toutes les applications marquées comme Activé sur la page Paramètres > Applications cloud > Applications connectées > Contrôle d’application par accès conditionnel.
Remarque : vous pouvez constater un certain chevauchement entre les applications intégrées et celles nécessitant une intégration manuelle. En cas de conflit dans votre filtre entre les applications, les applications intégrées manuellement prennent le pas.Application cliente Filtrer pour les applications de navigateur ou mobiles/de bureau. Appareil Filtrer pour les étiquettes d’appareil, telles que pour une méthode de gestion d’appareils spécifique, ou les types d’appareils, tels que PC, mobile ou tablette. Adresse IP Filtrer par adresse IP ou utiliser les étiquettes d’adresses IP assignées précédemment. Emplacement Filtrer par emplacement géographique. L’absence d’un emplacement clairement défini peut identifier des activités risquées. ISP enregistré Filtrer pour les activités provenant d’un fournisseur d’accès Internet spécifique. Utilisateur Filtrer pour un utilisateur ou un groupe d’utilisateurs spécifique. Chaîne d’agent utilisateur Filtrer pour une chaîne d’agent utilisateur spécifique. Étiquette d’agent utilisateur Filtrer pour les étiquettes d’agent utilisateur, telles que pour les navigateurs ou systèmes d’exploitation obsolètes. Par exemple :
Sélectionnez Modifier et prévisualiser les résultats pour obtenir un aperçu des types d’activités qui seraient retournées avec votre sélection actuelle.
Dans la zone Actions, sélectionnez l’une des options suivantes :
Audit : Définissez cette action pour autoriser l’accès selon les filtres de politique que vous avez explicitement définis.
Bloquer : Définissez cette action pour bloquer l’accès en fonction des filtres de stratégie que vous définissez explicitement.
Dans la zone Alertes, configurez l’une des actions suivantes selon vos besoins :
- Créer une alerte pour chaque événement correspondant avec la gravité de la stratégie
- Envoyer une alerte par email
- Limite quotidienne des alertes par stratégie
- Envoyer des alertes à Power Automate
Sélectionnez Créer lorsque vous avez terminé.
Tester votre stratégie
Après avoir créé votre politique d’accès, testez-la en vous réauthentifiant à chaque application configurée dans la politique. Vérifiez que votre expérience d’application est conforme à vos attentes, puis consultez vos journaux d’activité.
Nous vous recommandons :
- Créez une politique pour un utilisateur que vous avez spécifiquement créé pour les tests.
- Déconnectez-vous de toutes les sessions existantes avant de vous ré-authentifier à vos applications.
- Connectez-vous aux applications mobiles et de bureau à partir d’appareils gérés et d’appareils non gérés pour vous assurer que les activités sont entièrement capturées dans le journal d’activité.
Assurez-vous de vous connecter avec un utilisateur correspondant à votre politique.
Pour tester votre politique dans votre application :
- Visitez toutes les pages de l’application qui font partie du processus de travail d’un utilisateur et vérifiez que les pages offrent un rendu correct.
- Vérifiez que le comportement et la fonctionnalité de l’application ne sont pas affectés par l’exécution d’actions courantes telles que le téléchargement de fichiers vers l’aval et vers l’amont.
- Si vous travaillez avec des applications personnalisées IdP non-Microsoft, vérifiez chacun des domaines que vous avez ajoutés manuellement pour votre application.
Pour vérifier les journaux d’activité :
Dans Microsoft Defender XDR, sélectionnez Applications cloud > Journal d’activité, et vérifiez les activités de connexion capturées pour chaque étape. Vous pouvez filtrer en sélectionnant Filtres avancés et en filtrant pour Source égale Contrôle d’accès.
Connexion à authentification unique les activités sont des événements de contrôle d’applications par accès conditionnel.
Sélectionnez une activité pour l’étendre et obtenir plus de détails. Vérifiez que l’étiquette Agent utilisateur reflète correctement si l’appareil est un client intégré, soit une application mobile ou de bureau, ou si l’appareil est un appareil géré qui est conforme et joint au domaine.
Si vous rencontrez des erreurs ou des problèmes, utilisez la barre d’outils Vue Admin pour rassembler des ressources telles que des fichiers .Har
et des sessions enregistrées, puis soumettez un ticket de support.
Créer des politiques d’accès pour les appareils gérés par l’identité
Utilisez des certificats client pour contrôler l’accès aux appareils qui ne sont pas joints à Microsoft Entra-hybride et ne sont pas gérés par Microsoft Intune. Déployez de nouveaux certificats sur des appareils gérés, ou utilisez des certificats existants, tels que des certificats MDM tiers. Par exemple, vous pouvez déployer un certificat client sur des appareils gérés et ensuite bloquer l’accès depuis des appareils sans certificat.
Pour plus d’informations, veuillez consulter la section Appareils gérés par l’identité avec contrôle d’applications par accès conditionnel.
Contenu connexe
Pour plus d’informations, consultez l’article suivant :
- Dépannage des contrôles d’accès et de session
- Tutoriel : Bloquer le téléchargement d’informations sensibles avec le contrôle d’application par accès conditionnel
- Blocage des téléchargements sur des appareils non gérés à l’aide de contrôles de session
- Webinaire sur le contrôle d’application par accès conditionnel
Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.