Lire en anglais

Partager via


Gouverner les applications découvertes à l’aide de Microsoft Defender pour point de terminaison

L’intégration Microsoft Defender for Cloud Apps à Microsoft Defender pour point de terminaison fournit une solution de contrôle et de visibilité Shadow IT transparente. Notre intégration permet aux administrateurs Defender for Cloud Apps de bloquer l’accès des utilisateurs finaux aux applications cloud, en intégrant en mode natif Defender for Cloud Apps contrôles de gouvernance des applications avec la protection réseau de Microsoft Defender pour point de terminaison. Les administrateurs peuvent également adopter une approche plus douce d’avertissement des utilisateurs lorsqu’ils accèdent à des applications cloud à risque.

Defender for Cloud Apps utilise la balise d’application non approuvée intégrée pour marquer les applications cloud comme interdites d’utilisation, disponibles dans les pages Cloud Discovery et Cloud App Catalog. En activant l’intégration à Defender pour point de terminaison, vous pouvez bloquer en toute transparence l’accès aux applications non approuvées en un seul clic dans le portail Defender for Cloud Apps.

Les applications marquées comme non approuvées dans Defender for Cloud Apps sont automatiquement synchronisées avec Defender pour point de terminaison. Plus précisément, les domaines utilisés par ces applications non approuvées sont propagés aux appareils de point de terminaison pour être bloqués par Microsoft Defender Antivirus dans le contrat SLA de protection réseau.

Notes

La latence de blocage d’une application via Defender pour point de terminaison est de trois heures maximum entre le moment où vous marquez l’application comme non approuvée dans Defender for Cloud Apps et le moment où l’application est bloquée sur l’appareil. Cela est dû à une heure maximum de synchronisation des applications Defender for Cloud Apps approuvées/non approuvées vers Defender pour point de terminaison, et jusqu’à deux heures pour envoyer (push) la stratégie aux appareils afin de bloquer l’application une fois l’indicateur créé dans Defender pour point de terminaison.

Configuration requise

Activer le blocage des applications cloud avec Defender pour point de terminaison

Procédez comme suit pour activer le contrôle d’accès pour les applications cloud :

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Cloud Apps. Sous Cloud Discovery, sélectionnez Microsoft Defender pour point de terminaison, puis appliquer l’accès aux applications.

    Capture d’écran montrant comment activer le blocage avec Defender pour point de terminaison.

    Notes

    L’application de ce paramètre peut prendre jusqu’à 30 minutes.

  2. Dans Microsoft Defender XDR, accédez à Paramètres Points>de terminaisonFonctionnalités avancées>, puis sélectionnez Indicateurs réseau personnalisés. Pour plus d’informations sur les indicateurs réseau, consultez Créer des indicateurs pour les adresses IP et les URL/domaines.

    Cela vous permet d’exploiter Microsoft Defender fonctionnalités de protection réseau antivirus pour bloquer l’accès à un ensemble prédéfini d’URL à l’aide de Defender for Cloud Apps, soit en affectant manuellement des balises d’application à des applications spécifiques, soit en utilisant automatiquement une stratégie de découverte d’application.

    Capture d’écran montrant comment activer les indicateurs réseau personnalisés dans Defender pour point de terminaison.

Informer les utilisateurs lors de l’accès aux applications bloquées & personnaliser la page de blocage

Les administrateurs peuvent désormais configurer et incorporer une URL de support/d’aide pour les pages de bloc. Avec cette configuration, les administrateurs peuvent informer les utilisateurs lorsqu’ils accèdent à des applications bloquées. Les utilisateurs sont invités à fournir un lien de redirection personnalisé vers une page d’entreprise répertoriant les applications bloquées pour utilisation et les étapes nécessaires à suivre pour sécuriser une exception sur les pages de blocage. Les utilisateurs finaux sont redirigés vers cette URL configurée par l’administrateur lorsqu’ils cliquent sur « Visiter la page de support » dans la page de bloc.

Defender for Cloud Apps utilise la balise d’application non approuvée intégrée pour marquer les applications cloud comme bloquées. La balise est disponible dans les pages Cloud Discovery et Cloud App Catalog . En activant l’intégration à Defender pour point de terminaison, vous pouvez former en toute transparence les utilisateurs sur les applications bloquées et les étapes à suivre pour sécuriser une exception en un seul clic dans le portail Defender for Cloud Apps.

Les applications marquées comme non approuvées sont automatiquement synchronisées avec les indicateurs d’URL personnalisés de Defender pour point de terminaison, généralement en quelques minutes. Plus précisément, les domaines utilisés par les applications bloquées sont propagés aux appareils de point de terminaison pour fournir un message par Microsoft Defender Antivirus dans le contrat SLA de protection réseau.

Configuration de l’URL de redirection personnalisée pour la page de bloc

Utilisez les étapes suivantes pour configurer une URL d’aide/de support personnalisée pointant vers une page web d’entreprise ou un lien SharePoint dans lequel vous pouvez informer les employés des raisons pour lesquelles ils ont été bloqués pour accéder à l’application et fournir une liste d’étapes pour sécuriser une exception ou partager la stratégie d’accès de l’entreprise afin de respecter l’acceptation des risques de votre organization.

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres>Cloud Apps>Cloud Discovery>Microsoft Defender pour point de terminaison.
  2. Dans la liste déroulante Alertes , sélectionnez Informations.
  3. Sous Avertissements> utilisateurURL de notification pour les applications bloquées, entrez votre URL. Par exemple :

Capture d’écran montrant la configuration de l’ajout d’UNE URL personnalisée pour les applications bloquées.

Bloquer les applications pour des groupes d’appareils spécifiques

Pour bloquer l’utilisation de groupes d’appareils spécifiques, procédez comme suit :

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Cloud Apps. Ensuite, sous Découverte du cloud, sélectionnez Étiquettes d’applications et accédez à l’onglet Profils délimités .

  2. Sélectionnez Ajouter un profil. Le profil définit les entités délimitées pour le blocage/le déblocage des applications.

  3. Fournissez un nom et une description de profil descriptifs.

  4. Indiquez si le profil doit être un profil Include ou Exclude .

    • Inclure : seul l’ensemble d’entités inclus sera affecté par la mise en œuvre de l’accès. Par exemple, le profil myContoso a Include pour les groupes d’appareils A et B. Le blocage de l’application Y avec le profil myContoso bloque l’accès à l’application uniquement pour les groupes A et B.

    • Exclure : l’ensemble d’entités exclus ne sera pas affecté par la mise en œuvre de l’accès. Par exemple, le profil myContoso a Exclude pour les groupes d’appareils A et B. Le blocage de l’application Y avec le profil myContoso bloque l’accès à l’application pour l’ensemble du organization, à l’exception des groupes A et B.

  5. Sélectionnez les groupes d’appareils appropriés pour le profil. Les groupes d’appareils répertoriés sont extraits de Microsoft Defender pour point de terminaison. Pour plus d’informations, consultez Créer un groupe d’appareils.

  6. Sélectionnez Enregistrer.

    Profils délimités.

Pour bloquer une application, procédez comme suit :

  1. Dans le portail Microsoft Defender, sous Applications cloud, accédez à Cloud Discovery et accédez à l’onglet Applications découvertes.

  2. Sélectionnez l’application qui doit être bloquée.

  3. Marquez l’application comme non approuvée.

    Annuler l’approbation d’une application.

  4. Pour bloquer tous les appareils de votre organization, dans la boîte de dialogue Étiquette non approuvée ?, sélectionnez Enregistrer. Pour bloquer des groupes d’appareils spécifiques dans vos organisations, sélectionnez Sélectionner un profil pour inclure ou exclure les groupes d’être bloqués. Choisissez ensuite le profil pour lequel l’application sera bloquée, puis sélectionnez Enregistrer.

    Choisissez un profil avec lesquels annuler l’approbation d’une application.

    La boîte de dialogue Balise comme non approuvée ? s’affiche uniquement lorsque votre locataire a un blocage d’application cloud avec Defender pour point de terminaison activé et si vous disposez d’un accès administrateur pour apporter des modifications.

Notes

  • La capacité d’application est basée sur les indicateurs d’URL personnalisés de Defender pour point de terminaison.
  • Toute étendue organisationnelle qui a été définie manuellement sur les indicateurs créés par Defender for Cloud Apps avant la publication de cette fonctionnalité sera remplacée par Defender for Cloud Apps. L’étendue requise doit être définie à partir de l’expérience Defender for Cloud Apps à l’aide de l’expérience des profils délimités.
  • Pour supprimer un profil d’étendue sélectionné d’une application non approuvée, supprimez la balise non approuvée, puis étiquetez à nouveau l’application avec le profil délimité requis.
  • La propagation et la mise à jour des domaines d’application sur les appareils de point de terminaison peuvent prendre jusqu’à deux heures une fois qu’ils sont marqués avec la balise ou/et l’étendue appropriée.
  • Lorsqu’une application est marquée comme supervisée, l’option permettant d’appliquer un profil délimité s’affiche uniquement si la source de données Win10 Endpoint Users intégrée a reçu des données de manière cohérente au cours des 30 derniers jours.

Former les utilisateurs lors de l’accès aux applications à risque

Les administrateurs ont la possibilité d’avertir les utilisateurs lorsqu’ils accèdent à des applications à risque. Au lieu de bloquer les utilisateurs, ils sont invités à envoyer un message fournissant un lien de redirection personnalisé vers une page d’entreprise répertoriant les applications approuvées pour l’utilisation. L’invite fournit des options permettant aux utilisateurs de contourner l’avertissement et de passer à l’application. Les administrateurs sont également en mesure de surveiller le nombre d’utilisateurs qui contournent le message d’avertissement.

Defender for Cloud Apps utilise la balise d’application supervisée intégrée pour marquer les applications cloud comme risquées. La balise est disponible dans les pages Cloud Discovery et Cloud App Catalog . En activant l’intégration à Defender pour point de terminaison, vous pouvez avertir en toute transparence les utilisateurs de l’accès aux applications surveillées en un seul clic dans le portail Defender for Cloud Apps.

Les applications marquées comme supervisées sont automatiquement synchronisées avec les indicateurs d’URL personnalisés de Defender pour point de terminaison, généralement en quelques minutes. Plus précisément, les domaines utilisés par les applications surveillées sont propagés aux appareils de point de terminaison pour fournir un message d’avertissement par Microsoft Defender Antivirus dans le contrat SLA de protection réseau.

Configuration de l’URL de redirection personnalisée pour le message d’avertissement

Procédez comme suit pour configurer une URL personnalisée pointant vers une page web d’entreprise dans laquelle vous pouvez informer les employés sur la raison pour laquelle ils ont été avertis et fournir une liste d’autres applications approuvées qui respectent l’acceptation des risques de votre organization ou qui sont déjà gérées par le organization.

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Cloud Apps. Sous Cloud Discovery, sélectionnez Microsoft Defender pour point de terminaison.

  2. Dans la zone URL de notification , entrez votre URL.

    Capture d’écran montrant comment configurer l’URL de notification.

Configuration de la durée de contournement de l’utilisateur

Étant donné que les utilisateurs peuvent contourner le message d’avertissement, vous pouvez utiliser les étapes suivantes pour configurer la durée de l’application de contournement. Une fois la durée écoulée, les utilisateurs sont invités à envoyer le message d’avertissement la prochaine fois qu’ils accèdent à l’application surveillée.

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Cloud Apps. Sous Cloud Discovery, sélectionnez Microsoft Defender pour point de terminaison.

  2. Dans la zone Durée de contournement , entrez la durée (heures) de la déviation de l’utilisateur.

    Capture d’écran montrant comment configurer la durée de contournement.

Surveiller les contrôles d’application appliqués

Une fois les contrôles appliqués, vous pouvez surveiller les modèles d’utilisation des applications par les contrôles appliqués (accès, blocage, contournement) en procédant comme suit.

  1. Dans le portail Microsoft Defender, sous Applications cloud, accédez à Cloud Discovery, puis à l’onglet Applications découvertes. Utilisez les filtres pour rechercher l’application supervisée appropriée.
  2. Sélectionnez le nom de l’application pour afficher les contrôles d’application appliqués dans la page de vue d’ensemble de l’application.

Étapes suivantes

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.