Contrôle de l'application à accès conditionnel dans Microsoft Defender for Cloud Apps.
Dans le monde du travail d'aujourd'hui, il ne suffit pas de savoir après coup ce qui s'est passé dans votre environnement cloud. Vous devez stopper les violations et les fuites en temps réel. Vous devez également empêcher les employés de mettre intentionnellement ou accidentellement vos données et votre organisation en danger.
Vous voulez soutenir les utilisateurs de votre organisation tandis qu’ils utilisent les meilleures applications cloud disponibles et apportent leurs propres appareils au travail. Toutefois, vous avez également besoin d’outils vous permettant de protéger votre organisation contre les fuites et les vols de données en temps réel. Microsoft Defender pour Cloud Apps s’intègre à n’importe quel fournisseur d’identité (IdP) pour offrir cette protection avec des stratégies d’accès et de session.
Par exemple :
Utilisez les stratégies d’accès pour :
- Bloquez l'accès à Salesforce pour les utilisateurs d'appareils non gérés.
- Bloquez l’accès à Dropbox pour les clients natifs
Utilisez les stratégies de session pour :
- Bloquez les téléchargements de fichiers sensibles depuis OneDrive vers des appareils non gérés.
- Bloquez les chargements de fichiers malveillants vers SharePoint Online.
Les utilisateurs de Microsoft Edge bénéficient d'une protection directe, dans le navigateur. Un icône de cadenas 
dans la barre d'adresse du navigateur indique cette protection.
Les utilisateurs d'autres navigateurs sont redirigés via un proxy inverse vers Defender for Cloud Apps. Ces navigateurs affichent un suffixe *.mcas.ms dans l'URL du lien. Par exemple, si l'URL de l'application est myapp.com, l'URL de l'application est mise à jour en myapp.com.mcas.ms.
Cet article décrit le contrôle des apps à accès conditionnel dans Defender for Cloud Apps via les stratégies d'accès conditionnel de Microsoft Entra.
Activités dans le contrôle de l'application à accès conditionnel.
Le contrôle des apps à accès conditionnel utilise des stratégies d’accès et des stratégies de session pour surveiller et contrôler l’accès des utilisateurs aux applications et les sessions en temps réel, dans l’ensemble de votre organisation.
Chaque stratégie est assortie de conditions permettant de définir à qui (quel utilisateur ou groupe d’utilisateurs), à quoi (quelles applications cloud) et où (quels emplacements et réseaux) la stratégie s’applique. Après avoir déterminé les conditions, acheminez d'abord vos utilisateurs vers Defender for Cloud Apps. Là, vous pouvez appliquer les contrôles d'accès et de session pour protéger vos données.
Les stratégies d’accès et de session incluent les types d’activités suivants :
| Activité | Description |
|---|---|
| Empêcher l’exfiltration de données | Bloquez le téléchargement, la découpe, la copie et l'impression de documents sensibles sur des appareils non gérés (par exemple). |
| Exiger un contexte d’authentification | Réévaluez les stratégies d’accès conditionnel Microsoft Entra lorsqu’une action sensible se produit dans la session, par exemple en exigeant une authentification multifactorielle. |
| Protéger au téléchargement | Au lieu de bloquer le téléchargement de documents sensibles, exigez que les documents soient étiquetés et chiffrés lorsque vous intégrez Microsoft Purview Information Protection. Cette action permet de protéger le document et de limiter l'accès de l'utilisateur à une session potentiellement risquée. |
| Empêcher le chargement de fichiers sans étiquette | Veillez à ce que le chargement de fichiers non étiquetés dont le contenu est sensible soit bloqué jusqu'à ce que l'utilisateur classifie le contenu. Avant qu'un utilisateur ne charge, ne distribue ou n'utilise un fichier sensible, celui-ci doit porter l'étiquette définie par la stratégie de votre organisation. |
| Bloquer les logiciels malveillants potentiels | Contribuez à protéger votre environnement contre les logiciels malveillants en bloquant le chargement de fichiers potentiellement malveillants. Tout fichier qu'un utilisateur tente de charger ou de télécharger peut être analysé par Microsoft Threat Intelligence et bloqué instantanément. |
| Vérifier la conformité des sessions utilisateur | Étudiez et analysez le comportement des utilisateurs pour comprendre où, et dans quelles conditions, les stratégies de session devraient être appliquées à l’avenir. Les utilisateurs à risque sont surveillés lorsqu'ils se connectent à des applications, et leurs actions sont journalisées depuis la session. |
| Bloquer l’accès | Bloquez de manière granulaire l'accès à des applications et à des utilisateurs spécifiques, en fonction de plusieurs facteurs de risque. Par exemple, vous pouvez les bloquer s’ils utilisent des certificats clients comme moyen de gérer les appareils. |
| Bloquer des activités personnalisées | Certaines applications ont des scénarios uniques qui comportent des risques. C'est le cas par exemple de l'envoi de messages au contenu sensible dans des applications comme Microsoft Teams ou Slack. Dans ce genre de scénarios, analysez les messages pour rechercher la présence de contenu sensible et les bloquer en temps réel. |
Pour plus d’informations, consultez l’article suivant :
- Créer des stratégies d’accès à Microsoft Defender pour Cloud Apps.
- Créer des stratégies de session Microsoft Defender pour Cloud Apps
Usage
Le contrôle des apps par accès conditionnel ne nécessite pas d'installer quoi que ce soit sur l'appareil, il est donc idéal lorsque vous surveillez ou contrôlez des sessions provenant d'appareils non gérés ou d'utilisateurs partenaires.
Defender for Cloud Apps utilise une heuristique brevetée pour identifier et contrôler les activités des utilisateurs dans l'application cible. L'heuristique est conçue pour optimiser et équilibrer la sécurité et la convivialité.
Dans certains scénarios rares, le blocage des activités côté serveur rend l'application inutilisable, de sorte que les organisations sécurisent ces activités uniquement côté client. Cette approche les rend potentiellement susceptibles d'être exploitées par des initiés malveillants.
Performance du système et stockage des données
Defender for Cloud Apps utilise les centres de données Azure du monde entier pour fournir des performances optimisées grâce à la géolocalisation. La session d'un utilisateur peut être hébergée en dehors d'une région particulière, en fonction des schémas de trafic et de l'emplacement de l'utilisateur. Cependant, pour protéger la vie privée des utilisateurs, ces centres de données ne stockent aucune donnée de session.
Les serveurs proxy de Defender for Cloud Apps ne stockent pas de données au repos. Lorsque nous mettons du contenu en cache, nous respectons les exigences énoncées dans la RFC 7234 (mise en cache HTTP) et nous ne mettons en cache que le contenu public.
Applications et clients pris en charge
Appliquez des contrôles de session et d'accès à toute connexion unique interactive qui utilise le protocole d'authentification SAML 2.0. Les contrôles d’accès sont également pris en charge pour les applications clientes mobiles et de bureau intégrées.
En outre, si vous utilisez les applications Microsoft Entra ID, appliquez des contrôles de session et d’accès à :
- Toute connexion unique interactive qui utilise le protocole d'authentification OpenID Connect.
- Applications hébergées localement et configurées avec le proxy d’application Microsoft Entra.
Les applications Microsoft Entra ID sont également automatiquement intégrées au contrôle des applications à accès conditionnel, alors que les applications qui utilisent d'autres IdP doivent être intégrées manuellement.
Defender for Cloud Apps identifie les applications en utilisant les données du catalogue des applications cloud. Si vous avez personnalisé des applications avec des plug-in, vous devez ajouter tous les domaines personnalisés associés à l'application concernée dans le catalogue. Pour plus d’informations, consultez Rechercher votre application cloud et calculer les scores de risque.
Remarque
Vous ne pouvez pas utiliser les applications installées qui ont des flux de connexion non interactifs, comme l'application Authenticator et d'autres applications intégrées, avec des contrôles d'accès. Notre recommandation dans ce cas est d'élaborer une stratégie d'accès dans le centre d'administration de Microsoft Entra en plus des stratégies d'accès de Microsoft Defender for Cloud Apps.
Étendue de la prise en charge du contrôle de session
Bien que les contrôles de session soient conçus pour fonctionner avec n'importe quel navigateur sur n'importe quelle plateforme majeure sur n'importe quel système d'exploitation, nous prenons en charge les dernières versions des navigateurs suivants :
Les utilisateurs de Microsoft Edge bénéficient d’une protection dans le navigateur, sans redirection vers un proxy inverse. Pour plus d'informations, consultez la section Protection dans le navigateur avec Microsoft Edge for Business (aperçu).
Prise en charge des applications pour TLS 1.2+
Defender for Cloud Apps utilise les protocoles Transport Layer Security (TLS) 1.2+ pour assurer le chiffrement. Les applications clientes intégrées et les navigateurs qui ne prennent pas en charge TLS 1.2+ ne sont pas accessibles lorsque vous les configurez avec le contrôle de session.
Cependant, les applications SaaS (Software as a Service) qui utilisent TLS 1.1 ou une version antérieure apparaissent dans le navigateur comme utilisant TLS 1.2+ lorsque vous les configurez avec Defender for Cloud Apps.