Déployer le contrôle d’application par accès conditionnel pour les applications de catalogue avec Microsoft Entra ID

  • Article

Les contrôles d’accès et de session dans Microsoft Defender for Cloud Apps fonctionnent avec des applications à partir du catalogue d’applications cloud et avec des applications personnalisées. Pour obtenir la liste des applications qui sont pré-intégrées et qui fonctionnent de manière prête à l’emploi, consultez Protéger les applications avec le contrôle d’application par accès conditionnel de Defender for Cloud Apps.

Prérequis

  • Votre organisation doit disposer des licences suivantes pour utiliser le contrôle d’application par accès conditionnel :

  • Les applis doivent être configurées avec l’authentification unique

  • Les applis doivent utiliser l’un des protocoles d’authentification suivants :

    Fournisseur d’identité Protocoles
    Microsoft Entra ID SAML 2.0 ou OpenID Connect
    Autres SAML 2.0

Configurez l’intégration de Microsoft Entra ID

Remarque

Lors de la configuration d’une application avec l’authentification unique (SSO) dans Microsoft Entra ID ou d’autres fournisseurs d’identité, un champ qui peut être répertorié comme facultatif est le paramètre d’URL de connexion. Notez que ce champ peut être requis pour que le contrôle d’application par accès conditionnel fonctionne.

Procédez comme suit pour créer une stratégie d’accès conditionnel Microsoft Entra qui achemine les sessions d’application vers Defender for Cloud Apps. Pour obtenir d’autres solutions IdP, consultez Configurer l’intégration avec d’autres solutions IdP.

  1. Dans Microsoft Entra ID, accédez à Sécurité>Accès conditionnel.

  2. Dans le volet Accès conditionnel, dans la barre d’outils en haut, sélectionnez Nouvelle stratégie ->Créer une stratégie.

  3. Dans le volet Nouveau, dans la zone de texte Nom, entrez le nom de la stratégie.

  4. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail et affectez les utilisateurs et les groupes qui intégreront (authentification initiale et vérification) l’application.

  5. Sous Affectations, sélectionnez Applications cloud ou actions, attribuez les applications et les actions que vous souhaitez contrôler avec le contrôle d’application par accès conditionnel.

  6. Sous Contrôles d’accès, sélectionnez Session, sélectionnez Utiliser le contrôle d’application par accès conditionnel, puis choisissez une stratégie intégrée (Surveiller uniquement (aperçu) ou Bloquer les téléchargements (aperçu)) ou Utilisez une stratégie personnalisée pour définir une stratégie avancée dans Defender for Cloud Apps, puis choisissez Sélectionner.

    Capture d’écran de la page d’accès conditionnel Microsoft Entra.

  7. Si vous le souhaitez, ajoutez des conditions et accordez des contrôles en fonction des besoins.

  8. Définissez Activer la stratégie sur Activé, puis sélectionnez Créer.

Remarque

Avant de continuer, veillez à vous déconnecter des sessions existantes.

Une fois que vous avez créé la stratégie, connectez-vous à chaque application configurée dans cette stratégie. Veillez à vous connecter à l’aide d’un utilisateur configuré dans la stratégie.

Defender for Cloud Apps synchronise vos détails de stratégie avec ses serveurs pour chaque nouvelle application à laquelle vous vous connectez. Cette opération peut prendre jusqu’à une minute.

Vérifiez que les contrôles d’accès et de session sont configurés

Les instructions précédentes vous ont aidé à créer une stratégie intégrée Defender for Cloud Apps pour les applications de catalogue directement dans Microsoft Entra ID. Dans cette étape, vérifiez que les contrôles d'accès et de session sont configurés pour ces applis.

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud.

  2. Sous Applications connectées, sélectionnez Applis de contrôle d’application par accès conditionnel. Examinez la colonne Contrôles disponibles et vérifiez que le contrôle d’accès ou l’accès conditionnel Azure AD et le contrôle de session apparaissent pour vos applis.

    Si l’application n’est pas activée pour le contrôle de session, ajoutez-la en sélectionnant Intégrer avec le contrôle de session et en cochant Utiliser cette application avec les contrôles de session. Par exemple :

    Capture d’écran de l’intégration avec le contrôle de session.

Activez votre application pour une utilisation en production

Lorsque vous êtes prêt, cette procédure décrit comment activer l’application pour l’utiliser dans l’environnement de production de votre organisation.

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud.

  2. Sous Applications connectées, sélectionnez Applis de contrôle d’application par accès conditionnel. Dans la liste des applications, dans la ligne où apparaît l’application que vous déployez, choisissez les trois points en fin de ligne, puis choisissez Modifier l’application.

  3. Sélectionnez Activer l’application pour travailler sur les contrôles de session, puis sélectionnez Enregistrer. Par exemple :

    Capture d’écran de la boîte de dialogue Modifier cette application.

  4. Tout d’abord, déconnectez-vous de toutes les sessions existantes. Ensuite, essayez de vous connecter à chaque application qui a été déployée avec succès. Connectez-vous à l’aide d’un utilisateur qui correspond à la stratégie configurée dans Microsoft Entra ID ou pour une application SAML configurée avec votre fournisseur d’identité.

  5. Dans le portail Microsoft Defender, sous Logiciels cloud, sélectionnez Journal d’activité et vérifiez que les activités de connexion sont capturées pour chaque application.

  6. Vous pouvez filtrer en sélectionnant Avancé, puis en filtrant avec Source est égale à Contrôle d’accès. Par exemple :

    Capture d’écran du filtrage à l’aide de l’accès conditionnel Microsoft Entra.

  7. Nous vous recommandons de vous connecter aux applications mobiles et de bureau à partir d’appareils gérés et non gérés, afin de vous assurer que les activités sont correctement capturées dans le journal d’activité.

    Pour vérifier que les activités sont correctement capturées, cliquez sur une activité de connexion avec authentification unique afin d’ouvrir le tiroir Activité. Vérifiez que l’Étiquette agent utilisateur indique correctement si l’appareil est un client natif (à savoir, une application mobile ou de bureau) ou un appareil géré (conforme, joint à un domaine ou avec certificat client valide).

Remarque

Après son déploiement, vous ne pouvez pas supprimer une application à partir de la page Contrôle d’application par accès conditionnel. Tant que vous ne définissez pas une stratégie d’accès ou de session sur l’application, le contrôle d’application par accès conditionnel ne change pas le comportement de l’application.

Étapes suivantes

« PRÉCÉDENT : Introduction au contrôle d’application par accès conditionnel

SUIVANT : Déployer le contrôle d’application par accès conditionnel pour n’importe quelle application »

Dépannage des contrôles d’accès et de session

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.