Déployer le contrôle d’application par accès conditionnel pour les applications personnalisées avec des fournisseurs d’identité non-Microsoft

  • Article

Les contrôles de session dans Microsoft Defender for Cloud Apps peuvent être configurés de manière à fonctionner avec toutes les applications web. Cet article explique comment intégrer et déployer des applications cœur de métier personnalisées, des applications SaaS non proposées et des applications locales hébergées par le biais du proxy d’application Microsoft Entra avec des contrôles de session. Il fournit des étapes pour acheminer les sessions d’application d’autres solutions IdP vers Defender for Cloud Apps. Pour Microsoft Entra ID, consulter Déployer le contrôle d’application par accès conditionnel pour les applications personnalisées avec Microsoft Entra ID.

Pour obtenir la liste des applications proposées par Defender for Cloud Apps pour qu’elles fonctionnent de manière prête à l’emploi, consultez Protéger les applications avec le contrôle d’application par accès conditionnel de Defender for Cloud Apps.

Prérequis

Ajouter des administrateurs à la liste d’intégration/maintenance de l’application

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud.

  2. Sous Contrôle d’application par accès conditionnel, sélectionnez Intégration/maintenance des applications.

  3. Entrez le nom d’utilisateur principal ou l’email des utilisateurs qui intégreront l’application, puis sélectionnez Enregistrer.

    Screenshot of settings for App onboarding and maintenance.

Rechercher les licences nécessaires

  • Votre organisation doit disposer des licences suivantes pour utiliser le contrôle d’application par accès conditionnel :

    • Licence requise par votre solution fournisseur d’identité (IdP)
    • Microsoft Defender for Cloud Apps

  • Les applis doivent être configurées avec l’authentification unique

  • Les applis doivent utiliser les protocoles d’authentification suivants :

    Fournisseur d'identité Protocoles
    Autres SAML 2.0

Pour déployer n’importe quelle application

Suivez ces étapes pour configurer des applications à contrôler par le contrôle d’application par accès conditionnel de Defender for Cloud Apps.

  1. Configurer votre fournisseur d’identité pour qu’il fonctionne avec Defender for Cloud Apps

  2. Configurer l’application que vous déployez

  3. Vérifier que l’application fonctionne correctement

  4. Activer l’application pour l’utiliser dans votre organisation

Remarque

Pour déployer le contrôle d’application par accès conditionnel pour les applis Microsoft Entra, vous avez besoin d’une licence valide pour Microsoft Entra ID P1 ou version ultérieure, ainsi qu’une licence Defender for Cloud Apps.

Étape 1 : Configurez votre fournisseur d’identité pour qu’il fonctionne avec Defender for Cloud Apps

Remarque

Pour obtenir des exemples de configuration des solutions IdP, consultez :

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud.

  2. Sous Applications connectées, sélectionnez Applis de contrôle d’application par accès conditionnel.

  3. Sélectionnez +Ajouter, puis, dans la fenêtre contextuelle, sélectionnez l’application que vous souhaitez déployer, puis sélectionnez Démarrer l’assistant.

  4. Dans la page INFORMATIONS SUR L’APPLICATION, renseignez le formulaire à l’aide des informations de la page de configuration de l’authentification unique de votre application, puis sélectionnez Suivant.

    • Si votre fournisseur d’identité fournit un fichier de métadonnées d’authentification unique pour l’application sélectionnée, sélectionnez Charger le fichier de métadonnées à partir de l’application et chargez le fichier de métadonnées.
    • Vous pouvez également sélectionner Remplir les données manuellement et fournir les informations suivantes :
      • URL Assertion Consumer Service
      • Si votre application fournit un certificat SAML, sélectionnez Utiliser le certificat SAML <app_name> et chargez le fichier de certificat.

    Screenshot showing app information page.

  5. Dans la page FOURNISSEUR D’IDENTITÉ, suivez les étapes fournies pour configurer une nouvelle application dans le portail de votre fournisseur d’identité, puis sélectionnez Suivant.

    1. Rendez-vous sur le portail de votre fournisseur d’identité et créez une application SAML personnalisée.
    2. Copiez la configuration d’authentification unique de l’application <app_name> existante sur la nouvelle application personnalisée.
    3. Attribuez des utilisateurs à la nouvelle application personnalisée.
    4. Copiez les informations de configuration de l’authentification unique des applis. Vous en aurez besoin à l’étape suivante.

    Screenshot showing gather identity provider information page.

    Remarque

    Ces étapes peuvent différer légèrement selon votre fournisseur d’identité. Cette étape est recommandée pour les raisons suivantes :

    • Certains fournisseurs d’identité ne vous permettent pas de modifier les attributs SAML ou les propriétés d’URL d’une application de galerie
    • La configuration d’une application personnalisée vous permet de tester cette application avec des contrôles d’accès et de session sans modifier le comportement existant pour votre organisation.

  6. Dans la page suivante, renseignez le formulaire à l’aide des informations de la page de configuration de l’authentification unique de votre application, puis sélectionnez Suivant.

    • Si votre fournisseur d’identité fournit un fichier de métadonnées d’authentification unique pour l’application sélectionnée, sélectionnez Charger le fichier de métadonnées à partir de l’application et chargez le fichier de métadonnées.
    • Vous pouvez également sélectionner Remplir les données manuellement et fournir les informations suivantes :
      • URL Assertion Consumer Service
      • Si votre application fournit un certificat SAML, sélectionnez Utiliser le certificat SAML <app_name> et chargez le fichier de certificat.

    Screenshot showing enter identity provider information page.

  7. À la page suivante, copiez les informations suivantes, puis sélectionnez Suivant. Vous aurez besoin de ces informations dans l’étape suivante.

    • URL d’authentification unique
    • Attributs et valeurs

    Screenshot showing gather identity providers SAML information page.

  8. Dans le portail de votre fournisseur d’identité, procédez comme suit :

    Remarque

    Les paramètres sont courants dans la page des paramètres d’application personnalisée du portail du fournisseur d’identité.

    1. Recommandé : créez une sauvegarde des paramètres actuels.

    2. Remplacez la valeur de champ URL d’authentification unique par l’URL d’authentification unique SAML Defender for Cloud Apps que vous avez notée précédemment.

      Remarque

      Certains fournisseurs peuvent faire référence à l’URL d’authentification unique comme URL de réponse.

    3. Ajoutez les attributs et les valeurs que vous avez notés précédemment aux propriétés de l’application.

      Remarque

      • Certains fournisseurs peuvent y faire référence en tant qu’attributs utilisateur ou en tant que revendications.
      • Lors de la création d’une application SAML, le fournisseur d’identité Okta limite les attributs à 1 024 caractères. Pour atténuer l’impact de cette limitation, commencez par créer l’application sans les attributs appropriés. Après avoir créé l’application, modifiez-la, puis ajoutez les attributs appropriés.

    4. Vérifiez que l’identifiant de nom est au format d’adresse e-mail.

    5. Enregistrez vos paramètres.

  9. Dans la page MODIFICATIONS DE L’APPLICATION, effectuez les opérations suivantes, puis sélectionnez Suivant. Vous aurez besoin de ces informations dans l’étape suivante.

    • Copier l’URL du service d’authentification unique
    • Télécharger le certificat SAML Defender for Cloud Apps

    Screenshot showing gather Defender for Cloud Apps SAML information page.

  10. Dans le portail de votre application, dans la page des paramètres d’authentification unique de l’application, procédez comme suit :

    1. Recommandé : créez une sauvegarde des paramètres actuels.
    2. Dans le champ URL d’authentification unique, entrez l’URL d’authentification unique Defender for Cloud Apps que vous avez notée précédemment.
    3. Chargez le certificat SAML Defender for Cloud Apps que vous avez téléchargé précédemment.

    Remarque

    • Après que vous avez enregistré vos paramètres, toutes les demandes de connexion associées à cette application sont routées via le contrôle d’application par accès conditionnel.
    • Le certificat SAML Defender for Cloud Apps est valide pendant un an. Après l’expiration de ce certificat, un nouveau certificat doit être généré.

Étape 2 : Ajoutez l’application manuellement et installez des certificats, si nécessaire

Les applications du catalogue d’applications sont automatiquement renseignées dans la table sous Applications connectées. Vérifiez que l’application que vous souhaitez déployer est reconnue en accédant à cet emplacement.

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud.

  2. Sous Applications connectées, sélectionnez Applications de contrôle d’application par accès conditionnel pour accéder à une table des applications qui peuvent être configurées avec des stratégies d’accès et de session.

    Conditional access app control apps.

  3. Sélectionnez le menu déroulant Application : sélectionner des applications... pour filtrer et rechercher l’application que vous souhaitez déployer.

    Select App: Select apps to search for the app.

  4. Si vous ne voyez pas l’application, vous devez l’ajouter manuellement.

Comment ajouter manuellement une application non identifiée

  1. Dans la bannière, sélectionnez Afficher les nouvelles applications.

    Conditional access app control view new apps.

  2. Dans la liste des nouvelles applications, pour chaque application que vous intégrez, sélectionnez le signe +, puis sélectionnez Ajouter.

    Remarque

    Si une application n’apparaît pas dans le catalogue d’applications Defender for Cloud Apps, elle figure dans la boîte de dialogue, sous les applis non identifiées avec l’URL de connexion. Lorsque vous cliquez sur le signe + pour ces applications, vous pouvez intégrer l’application en tant qu’application personnalisée.

    Conditional access app control discovered Microsoft Entra apps.

Pour ajouter des domaines pour une application

L’association des domaines appropriés à une application permet à Defender for Cloud Apps d’appliquer des stratégies et des activités d’audit.

Par exemple, si vous avez configuré une stratégie qui bloque le téléchargement de fichiers pour un domaine associé, les téléchargements de fichiers par l’application à partir de ce domaine seront bloqués. Toutefois, les téléchargements de fichiers par l’application à partir de domaines non associés à l’application ne seront pas bloqués et l’action ne sera pas auditée dans le journal d’activité.

Remarque

Defender for Cloud Apps ajoute toujours un suffixe aux domaines non associés à l’application pour garantir une expérience utilisateur transparente.

  1. Dans l’application, dans la barre d’outils d’administration Defender for Cloud Apps, sélectionnez Domaines découverts.

    Remarque

    La barre d’outils d’administration est visible uniquement pour les utilisateurs disposant des autorisations d’intégration ou de maintenance des applis.

  2. Dans le panneau Domaines découverts, notez les noms de domaine ou exportez la liste en tant que fichier .csv.

    Remarque

    Le panneau affiche une liste de domaines découverts qui ne sont pas associés dans l’application. Les noms de domaine sont complets.

  3. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud.
  4. Sous Applications connectées, sélectionnez Applis de contrôle d’application par accès conditionnel.
  5. Dans la liste des applications, dans la ligne où apparaît l’application que vous déployez, choisissez les trois points en fin de ligne, puis sélectionnez Modifier l’application.

    Conseil

    Pour afficher la liste des domaines configurés dans l’application, sélectionnez Afficher les domaines d’application.

  6. Dans Domaines définis par l’utilisateur, entrez tous les domaines que vous souhaitez associer à cette application, puis sélectionnez Enregistrer.

    Remarque

    Vous pouvez utiliser le caractère générique * comme espace réservé pour tout caractère. Lors de l’ajout de domaines, décidez si vous souhaitez ajouter des domaines spécifiques (sub1.contoso.com,sub2.contoso.com) ou plusieurs domaines (*.contoso.com).

Installer les certificats racines

  1. Répétez les étapes suivantes pour installer l’autorité de confiance actuelle et les certificats racines auto-signés de l’autorité de confiance suivante.

    1. Sélectionnez le certificat.
    2. Sélectionnez Ouvrir, puis, lorsque vous y êtes invité, sélectionnez de nouveau Ouvrir.
    3. Sélectionnez Installer le certificat.
    4. Choisissez Utilisateur actuel ou Ordinateur local.
    5. Sélectionnez Placer tous les certificats dans le magasin suivant, puis sélectionnez Parcourir.
    6. Sélectionnez Autorités de certification racines de confiance, puis sélectionnez OK.
    7. Sélectionnez Terminer.

    Remarque

    Pour que les certificats soient reconnus, une fois que vous avez installé le certificat, vous devez redémarrer le navigateur et accéder à la même page.

  2. Sélectionnez Continuer.

  3. Vérifiez que l’application est disponible dans la table.

    Onboard with session control.

Étape 3 : Vérifiez que l’application fonctionne correctement

Pour vérifier que l’application est protégée, procédez d’abord à une déconnexion complète des navigateurs associés à l’application ou ouvrez un nouveau navigateur en mode incognito.

Ouvrez l’application et effectuez les vérifications suivantes :

  • Vérifiez que l’icône du cadenas apparaît dans votre navigateur ou, si vous travaillez dans un navigateur autre que Microsoft Edge, vérifiez que l’URL de votre application contient le suffixe .mcas. Pour en savoir plus, consultez Protection dans le navigateur avec Microsoft Edge Entreprise (préversion).
  • Visitez toutes les pages de l’application qui font partie du processus de travail d’un utilisateur et vérifiez que les pages offrent un rendu correct.
  • Vérifiez que le comportement et la fonctionnalité de l’application ne sont pas affectés par l’exécution d’actions courantes telles que le téléchargement de fichiers vers l’aval et vers l’amont.
  • Passez en revue la liste des domaines associés à l’application. Pour plus d’informations, consultez Ajouter les domaines de l’application.

Si vous rencontrez des erreurs ou des problèmes, utilisez la barre d’outils d’administration pour collecter des ressources telles que des fichiers .har et des sessions enregistrées pour déposer un ticket de support.

Étape 4 : Activez l’application pour l’utiliser dans votre organisation

Une fois que vous êtes prêt à activer l’application à utiliser dans l’environnement de production de votre organisation, procédez comme suit.

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud.

  2. Sous Applications connectées, sélectionnez Applis de contrôle d’application par accès conditionnel.

  3. Dans la liste des applications, dans la ligne où apparaît l’application que vous déployez, choisissez les trois points en fin de ligne, puis choisissez Modifier l’application.

  4. Sélectionnez Utiliser l’application avec des contrôles de session, puis sélectionnez Enregistrer.

    Edit this app dialogue.

Étapes suivantes

« PRÉCÉDENT : Déployer le contrôle d'application par accès conditionnel pour les applications de catalogue

SUIVANT : Guide pratique pour créer une stratégie de session »

Voir aussi

Introduction au contrôle d’application par accès conditionnel

Dépannage des contrôles d’accès et de session

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.