Partager via


Confiance nulle plan de déploiement avec Microsoft 365

Cet article fournit un plan de déploiement pour créer Confiance nulle sécurité avec Microsoft 365. Confiance nulle est un modèle de sécurité qui suppose une violation et vérifie chaque requête comme si elle provenait d’un réseau non contrôlé. Quelle que soit la provenance de la demande ou la ressource à laquelle il accède, le modèle Confiance Zéro nous apprend à « ne jamais faire confiance, toujours vérifier ».

Utilisez cet article avec cette affiche.

Élément Descriptif
Illustration du plan de déploiement microsoft 365 Confiance nulle.
PDF | Visio
Mise à jour d’avril 2025
Guides de solutions associés

Confiance nulle principes et architecture

La confiance zéro est une stratégie de sécurité. Ce n’est pas un produit ou un service, mais une approche dans la conception et l’implémentation de l’ensemble de principes de sécurité suivants.

Principe Descriptif
Vérifiez explicitement. Authentifiez et autorisez toujours en fonction de tous les points de données disponibles.
Utiliser l'accès avec le moindre privilège Limitez l'accès utilisateur avec les concepts Just-In-Time (juste-à-temps) et Just-Enough-Access, des stratégies adaptatives basées sur les risques et la protection des données.
Supposer une violation Réduisez le rayon d’explosion et segmentez l’accès. Vérifiez le chiffrement de bout en bout et utilisez l'analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses.

Les conseils de cet article vous aident à appliquer ces principes en implémentant des fonctionnalités avec Microsoft 365.

Une approche Confiance Zéro s’étend dans l’ensemble du patrimoine numérique et sert de philosophie de sécurité intégrée et de stratégie de bout en bout.

Cette illustration fournit une représentation des éléments principaux qui contribuent à Confiance nulle.

Diagramme montrant l’architecture de sécurité Confiance Zéro.

Dans l’illustration :

  • L’application de la stratégie de sécurité est au centre d’une architecture Confiance Zéro. Cela inclut l’authentification multifacteur avec l’accès conditionnel qui prend en compte le risque lié au compte d’utilisateur, les status d’appareils et d’autres critères et stratégies que vous définissez.
  • Les identités, les appareils, les données, les applications, le réseau et d’autres composants d’infrastructure sont tous configurés avec une sécurité appropriée. Les stratégies configurées pour chacun de ces composants sont coordonnées avec votre stratégie globale Confiance Zéro. Par exemple, les stratégies d’appareil déterminent les critères pour les appareils sains et les stratégies d’accès conditionnel nécessitent des appareils sains pour l’accès à des applications et des données spécifiques.
  • La protection contre les menaces et les renseignements surveillent l’environnement, exposent les risques actuels et prennent des mesures automatisées pour corriger les attaques.

Pour plus d’informations sur Confiance nulle, consultez le Centre d’aide Confiance nulle de Microsoft.

Déploiement de Confiance nulle pour Microsoft 365

Microsoft 365 est conçu intentionnellement avec de nombreuses fonctionnalités de sécurité et de protection des informations pour vous aider à créer des Confiance nulle dans votre environnement. De nombreuses fonctionnalités peuvent être étendues pour protéger l’accès à d’autres applications SaaS que votre organisation utilise et les données de ces applications.

Cette illustration représente le travail de déploiement de fonctionnalités Confiance nulle. Ce travail est aligné sur Confiance nulle scénarios métier dans l’infrastructure d’adoption Confiance nulle.

Diagramme montrant le plan de déploiement de Microsoft 365 Confiance nulle sur cinq voies de nage.

Dans cette illustration, le travail de déploiement est classé en cinq couloirs de nage :

  • Travail à distance et hybride sécurisé : ce travail crée une base de protection des identités et des appareils.
  • Empêcher ou réduire les dommages à l’entreprise causés par une violation : la protection contre les menaces fournit une surveillance et une correction en temps réel des menaces de sécurité. Defender for Cloud Apps permet de découvrir les applications SaaS, y compris les applications IA, et d’étendre la protection des données à ces applications.
  • Identifier et protéger les données métier sensibles : les fonctionnalités de protection des données fournissent des contrôles sophistiqués ciblant des types de données spécifiques pour protéger vos informations les plus précieuses.
  • Sécuriser les applications et les données IA : protégez rapidement l’utilisation des applications IA par votre organization et les données avec lesquelles elles interagissent.
  • Répondre aux exigences réglementaires et de conformité : comprenez et suivez vos progrès en matière de conformité aux réglementations qui affectent vos organization.

Cet article suppose que vous utilisez l’identité cloud. Si vous avez besoin d’aide pour cet objectif, consultez Déployer votre infrastructure d’identité pour Microsoft 365.

Conseil / Astuce

Une fois que vous comprenez les étapes et le processus de déploiement de bout en bout, vous pouvez utiliser le guide de déploiement avancé configurer votre modèle de sécurité Microsoft Confiance nulle quand vous êtes connecté à l’Centre d’administration Microsoft 365. Ce guide vous guide tout au long de l’application des principes Confiance nulle pour les piliers technologiques standard et avancés. Pour parcourir le guide sans vous connecter, accédez au portail d’installation de Microsoft 365.

Couloir de nage 1 - Sécuriser le travail à distance et hybride

La sécurisation du travail à distance et hybride implique la configuration de la protection des identités et de l’accès aux appareils. Ces protections contribuent à la vérification explicite du principe Confiance nulle.

Effectuez le travail de sécurisation du travail à distance et hybride en trois phases.

Phase 1 : implémenter des stratégies d’identité et d’accès aux appareils de point de départ

Microsoft recommande un ensemble complet de stratégies d’identité et d’accès aux appareils pour les Confiance nulle dans ce guide : Confiance nulle configurations d’identité et d’accès aux appareils.

Dans la phase 1, commencez par implémenter le niveau de point de départ. Ces stratégies ne nécessitent pas l’inscription d’appareils dans la gestion.

Diagramme montrant les stratégies d’accès et d’identité Confiance Zéro pour le niveau de point de départ.

Accédez à Confiance nulle protection de l’identité et de l’accès aux appareils pour obtenir des instructions normatives détaillées. Cette série d’articles décrit un ensemble de configurations préalables d’accès aux identités et aux appareils, ainsi qu’un ensemble d’Microsoft Entra accès conditionnel, de Microsoft Intune et d’autres stratégies pour sécuriser l’accès à Microsoft 365 pour les services et applications cloud d’entreprise, aux autres services SaaS et aux applications locales publiées avec Microsoft Entra’application procuration.

Comprend Conditions préalables N’inclut pas
Stratégies d’identité et d’accès aux appareils recommandées pour trois niveaux de protection :
  • Point de départ
  • Entreprise (recommandé)
  • Spécialisé

Recommandations supplémentaires pour :
  • Utilisateurs externes (invités)
  • Microsoft Teams
  • SharePoint
Microsoft E3 ou E5

Microsoft Entra ID dans l’un des modes suivants :
  • Cloud uniquement
  • Hybride avec authentification par synchronisation de hachage de mot de passe (PHS)
  • Hybride avec authentification directe (PTA)
  • Fédéré
Inscription des appareils pour les stratégies qui nécessitent des appareils gérés. Consultez Gérer des appareils avec Intune pour inscrire des appareils.

Phase 2 : inscrire des appareils dans la gestion avec Intune

Ensuite, inscrivez vos appareils dans la gestion et commencez à les protéger avec des contrôles plus sophistiqués.

Consultez Gérer des appareils avec Intune pour obtenir des instructions normatives détaillées sur l’inscription des appareils dans la gestion.

Comprend Conditions préalables N’inclut pas
Inscrire des appareils avec Intune :
  • Appareils d’entreprise
  • Autopilot/automatisé
  • inscription

Configurer des stratégies :
  • Stratégies de protection des applications
  • Stratégies de conformité
  • Stratégies de profil d’appareil
Inscrire des points de terminaison avec Microsoft Entra ID Configuration des fonctionnalités de protection des informations, notamment :
  • Types d’informations sensibles
  • Étiquettes
  • Stratégies DLP

Pour ces fonctionnalités, consultez Swim lane 3 - Identifier et protéger les données métier sensibles (plus loin dans cet article).

Pour plus d’informations, consultez Confiance nulle pour Microsoft Intune.

Phase 3 : Ajouter Confiance nulle protection des identités et de l’accès aux appareils : Stratégies d’entreprise

Avec les appareils inscrits dans la gestion, vous pouvez désormais implémenter l’ensemble complet des stratégies d’identité et d’accès aux appareils Confiance nulle recommandées, nécessitant des appareils conformes.

Revenez à Stratégies d’identité et d’accès aux appareils courantes et ajoutez les stratégies au niveau Entreprise.

Diagramme montrant les stratégies d’identité et d’accès Confiance nulle pour le niveau Entreprise (recommandé).

En savoir plus sur la sécurisation du travail à distance et hybride dans l’infrastructure d’adoption Confiance nulle- Sécuriser le travail à distance et hybride.

Couloir de nage 2 : empêcher ou réduire les dommages causés par l’entreprise en cas de violation

Microsoft Defender XDR est une solution de détection et de réponse étendue (XDR) qui collecte, met en corrélation et analyse automatiquement les données de signal, de menace et d’alerte de votre environnement Microsoft 365, y compris les points de terminaison, les e-mails, les applications et les identités. En outre, Microsoft Defender for Cloud Apps aide les organisations à identifier et à gérer l’accès aux applications SaaS, y compris les applications GenAI.

Empêchez ou réduisez les dommages à l’entreprise d’une violation en pilotant et en déployant Microsoft Defender XDR.

Diagramme montrant le processus d’ajout de Microsoft Defender XDR à l’architecture Confiance Zéro.

Accédez à Pilote et déployer Microsoft Defender XDR pour obtenir un guide méthodique sur le pilotage et le déploiement de composants Microsoft Defender XDR.

Comprend Conditions préalables N’inclut pas
Configurez l’environnement d’évaluation et pilote pour tous les composants :
Protéger contre les menaces

Examiner les menaces et y répondre
Consultez les instructions pour en savoir plus sur les exigences d’architecture pour chaque composant de Microsoft Defender XDR. Protection Microsoft Entra ID n’est pas inclus dans ce guide de solution. Il est inclus dans swim lane 1 - Travail à distance et hybride sécurisé.

En savoir plus sur la façon de prévenir ou de réduire les dommages pour l’entreprise d’une violation dans l’infrastructure d’adoption Confiance nulleEmpêcher ou réduire les dommages pour l’entreprise d’une violation.

Couloir de nage 3 : identifier et protéger les données métier sensibles

Implémentez Protection des données Microsoft Purview pour vous aider à découvrir, classifier et protéger les informations sensibles où qu’elles se trouvent ou voyagent.

Protection des données Microsoft Purview fonctionnalités sont incluses dans Microsoft Purview et vous donnent les outils nécessaires pour connaître vos données, protéger vos données et éviter toute perte de données. Vous pouvez commencer ce travail à tout moment.

Protection des données Microsoft Purview fournit une infrastructure, un processus et des fonctionnalités que vous pouvez utiliser pour atteindre vos objectifs métier spécifiques.

Diagramme montrant la vue d’ensemble de Microsoft Purview Information Protection.

Pour plus d’informations sur la planification et le déploiement de la protection des informations, consultez Déployer une solution Protection des données Microsoft Purview.

En savoir plus sur l’identification et la protection des données métier sensibles dans l’infrastructure d’adoption Confiance nulleIdentifier et protéger les données métier sensibles.

Couloir de natation 4 : sécuriser les applications et les données d’IA

Microsoft 365 inclut des fonctionnalités permettant aux organisations de sécuriser rapidement les applications IA et les données qu’elles utilisent.

Commencez par utiliser Purview Gestion de la posture de sécurité des données (DSPM) pour l’IA. Cet outil se concentre sur la façon dont l’IA est utilisée dans vos organization, en particulier vos données sensibles qui interagissent avec les outils IA. DSPM pour l’IA fournit des insights plus approfondis pour Microsoft Copilots et les applications SaaS tierces comme ChatGPT Enterprise et Google Gemini.

Le diagramme suivant montre l’une des vues agrégées sur l’impact de l’utilisation de l’IA sur vos données : Interactions sensibles par application d’IA générative.

Diagramme montrant les interactions sensibles par application IA générative.

Utilisez DSPM pour l’IA pour :

  • Bénéficiez d’une visibilité sur l’utilisation de l’IA, y compris les données sensibles.
  • Passez en revue les évaluations des données pour en savoir plus sur les lacunes dans le surpartage qui peuvent être atténuées avec les contrôles de surpartage SharePoint.
  • Recherchez les lacunes dans la couverture de votre stratégie pour les étiquettes de confidentialité et les stratégies de protection contre la perte de données (DLP).

Defender for Cloud Apps est un autre outil puissant pour découvrir et régir l’utilisation des applications GenAI SaaS. Defender for Cloud Apps inclut plus d’un millier d’applications liées à l’IA générative dans le catalogue, ce qui offre une visibilité sur la façon dont les applications d’IA génératives sont utilisées dans votre organization et vous aide à les gérer en toute sécurité.

En plus de ces outils, Microsoft 365 fournit un ensemble complet de fonctionnalités pour sécuriser et régir l’IA. Consultez Découvrir, protéger et gouverner les données et les applications IA pour savoir comment commencer à utiliser ces fonctionnalités.

Diagramme montrant les fonctionnalités de Microsoft 365 pour la protection et la gouvernance de l’IA.

Le tableau suivant répertorie les fonctionnalités de Microsoft 365 avec des liens vers des informations supplémentaires dans la bibliothèque Sécurité pour l’IA.

Capacité Plus d’informations
Contrôles de surpartage SharePoint, y compris Gestion avancée de SharePoint Appliquer des contrôles de surpartage SharePoint
DSPM pour l’IA Obtenir une visibilité sur l’utilisation de l’IA avec (DSPM) pour l’IA
Protéger les données via DSPM pour l’IA
Étiquettes de confidentialité et stratégies DLP Continuer à identifier les lacunes dans les étiquettes de confidentialité et les stratégies DLP
Gestion des risques internes (IRM) : modèle de stratégie d’utilisation de l’IA risquée Appliquer le modèle d’IA à risque
Protection adaptative Configurer la protection adaptative pour la gestion des risques internes
Defender pour les applications Cloud Découvrir, approuver et bloquer les applications IA
Trier et protéger l’utilisation des applications IA
Gérer les applications IA en fonction du risque de conformité
Gestionnaire de conformité Purview Créer et gérer des évaluations pour les réglementations liées à l’IA
Conformité des communications Purview Analyser les invites et les réponses entrées dans les applications d’IA génératives pour détecter les interactions inappropriées ou risquées ou le partage d’informations confidentielles
Gestion du cycle de vie des données Purview Supprimer de manière proactive le contenu que vous n’avez plus besoin de conserver pour réduire le risque de surexposition des données dans les outils d’IA
découverte électronique Rechercher des mots clés dans les invites et les réponses, gérer les résultats dans les cas eDiscovery
Journaux d’audit pour les activités Copilot et IA identifier comment, quand et où les interactions Copilot se sont produites et quels éléments ont été consultés, y compris les étiquettes de confidentialité sur ces éléments
Évaluations de confidentialité Priva Lancer des évaluations d’impact sur la confidentialité pour les applications IA que vous créez

Couloir de nage 5 : respecter les exigences réglementaires et de conformité

Indépendamment de la complexité de l’environnement informatique de votre organization ou de la taille de votre organization, les nouvelles exigences réglementaires susceptibles d’affecter votre entreprise s’additionnent continuellement. Une approche Confiance nulle dépasse souvent certains types d’exigences imposées par les réglementations de conformité, par exemple celles qui contrôlent l’accès aux données personnelles. Les organisations qui ont implémenté une approche Confiance nulle peuvent constater qu’elles remplissent déjà de nouvelles conditions ou peuvent facilement s’appuyer sur leur architecture Confiance nulle pour être conforme.

Microsoft 365 inclut des fonctionnalités pour faciliter la conformité réglementaire, notamment :

  • Responsable conformité
  • Explorateur de contenu
  • Stratégies de rétention, étiquettes de confidentialité et stratégies DLP
  • Conformité des communications
  • Gestion du cycle de vie des données
  • Gestion des risques de confidentialité Priva

Utilisez les ressources suivantes pour répondre aux exigences réglementaires et de conformité.

Ressource Plus d’informations
Framework d’adoption Confiance nulle — Respecter les exigences réglementaires et de conformité Décrit une approche méthodique que votre organization peut suivre, notamment la définition de la stratégie, la planification, l’adoption et la gouvernance.
Gouverner les applications et les données IA pour la conformité réglementaire Traite de la conformité réglementaire pour les nouvelles réglementations liées à l’IA, y compris les fonctionnalités spécifiques qui vous aident.
Gérer la confidentialité des données et la protection des données avec Microsoft Privé et Microsoft Purview Évaluez les risques et prenez les mesures appropriées pour protéger les données personnelles dans l’environnement de votre organization à l’aide de Microsoft Priva et de Microsoft Purview.

Étapes suivantes

Pour en savoir plus sur Confiance nulle, visitez le centre d’aide Confiance nulle.