Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit un plan de déploiement pour créer Confiance nulle sécurité avec Microsoft 365. Confiance nulle est un modèle de sécurité qui suppose une violation et vérifie chaque requête comme si elle provenait d’un réseau non contrôlé. Quelle que soit la provenance de la demande ou la ressource à laquelle il accède, le modèle Confiance Zéro nous apprend à « ne jamais faire confiance, toujours vérifier ».
Utilisez cet article avec cette affiche.
Confiance nulle principes et architecture
La confiance zéro est une stratégie de sécurité. Ce n’est pas un produit ou un service, mais une approche dans la conception et l’implémentation de l’ensemble de principes de sécurité suivants.
| Principe | Descriptif |
|---|---|
| Vérifiez explicitement. | Authentifiez et autorisez toujours en fonction de tous les points de données disponibles. |
| Utiliser l'accès avec le moindre privilège | Limitez l'accès utilisateur avec les concepts Just-In-Time (juste-à-temps) et Just-Enough-Access, des stratégies adaptatives basées sur les risques et la protection des données. |
| Supposer une violation | Réduisez le rayon d’explosion et segmentez l’accès. Vérifiez le chiffrement de bout en bout et utilisez l'analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses. |
Les conseils de cet article vous aident à appliquer ces principes en implémentant des fonctionnalités avec Microsoft 365.
Une approche Confiance Zéro s’étend dans l’ensemble du patrimoine numérique et sert de philosophie de sécurité intégrée et de stratégie de bout en bout.
Cette illustration fournit une représentation des éléments principaux qui contribuent à Confiance nulle.
Dans l’illustration :
- L’application de la stratégie de sécurité est au centre d’une architecture Confiance Zéro. Cela inclut l’authentification multifacteur avec l’accès conditionnel qui prend en compte le risque lié au compte d’utilisateur, les status d’appareils et d’autres critères et stratégies que vous définissez.
- Les identités, les appareils, les données, les applications, le réseau et d’autres composants d’infrastructure sont tous configurés avec une sécurité appropriée. Les stratégies configurées pour chacun de ces composants sont coordonnées avec votre stratégie globale Confiance Zéro. Par exemple, les stratégies d’appareil déterminent les critères pour les appareils sains et les stratégies d’accès conditionnel nécessitent des appareils sains pour l’accès à des applications et des données spécifiques.
- La protection contre les menaces et les renseignements surveillent l’environnement, exposent les risques actuels et prennent des mesures automatisées pour corriger les attaques.
Pour plus d’informations sur Confiance nulle, consultez le Centre d’aide Confiance nulle de Microsoft.
Déploiement de Confiance nulle pour Microsoft 365
Microsoft 365 est conçu intentionnellement avec de nombreuses fonctionnalités de sécurité et de protection des informations pour vous aider à créer des Confiance nulle dans votre environnement. De nombreuses fonctionnalités peuvent être étendues pour protéger l’accès à d’autres applications SaaS que votre organisation utilise et les données de ces applications.
Cette illustration représente le travail de déploiement de fonctionnalités Confiance nulle. Ce travail est aligné sur Confiance nulle scénarios métier dans l’infrastructure d’adoption Confiance nulle.
Dans cette illustration, le travail de déploiement est classé en cinq couloirs de nage :
- Travail à distance et hybride sécurisé : ce travail crée une base de protection des identités et des appareils.
- Empêcher ou réduire les dommages à l’entreprise causés par une violation : la protection contre les menaces fournit une surveillance et une correction en temps réel des menaces de sécurité. Defender for Cloud Apps permet de découvrir les applications SaaS, y compris les applications IA, et d’étendre la protection des données à ces applications.
- Identifier et protéger les données métier sensibles : les fonctionnalités de protection des données fournissent des contrôles sophistiqués ciblant des types de données spécifiques pour protéger vos informations les plus précieuses.
- Sécuriser les applications et les données IA : protégez rapidement l’utilisation des applications IA par votre organization et les données avec lesquelles elles interagissent.
- Répondre aux exigences réglementaires et de conformité : comprenez et suivez vos progrès en matière de conformité aux réglementations qui affectent vos organization.
Cet article suppose que vous utilisez l’identité cloud. Si vous avez besoin d’aide pour cet objectif, consultez Déployer votre infrastructure d’identité pour Microsoft 365.
Conseil / Astuce
Une fois que vous comprenez les étapes et le processus de déploiement de bout en bout, vous pouvez utiliser le guide de déploiement avancé configurer votre modèle de sécurité Microsoft Confiance nulle quand vous êtes connecté à l’Centre d’administration Microsoft 365. Ce guide vous guide tout au long de l’application des principes Confiance nulle pour les piliers technologiques standard et avancés. Pour parcourir le guide sans vous connecter, accédez au portail d’installation de Microsoft 365.
Couloir de nage 1 - Sécuriser le travail à distance et hybride
La sécurisation du travail à distance et hybride implique la configuration de la protection des identités et de l’accès aux appareils. Ces protections contribuent à la vérification explicite du principe Confiance nulle.
Effectuez le travail de sécurisation du travail à distance et hybride en trois phases.
Phase 1 : implémenter des stratégies d’identité et d’accès aux appareils de point de départ
Microsoft recommande un ensemble complet de stratégies d’identité et d’accès aux appareils pour les Confiance nulle dans ce guide : Confiance nulle configurations d’identité et d’accès aux appareils.
Dans la phase 1, commencez par implémenter le niveau de point de départ. Ces stratégies ne nécessitent pas l’inscription d’appareils dans la gestion.
Accédez à Confiance nulle protection de l’identité et de l’accès aux appareils pour obtenir des instructions normatives détaillées. Cette série d’articles décrit un ensemble de configurations préalables d’accès aux identités et aux appareils, ainsi qu’un ensemble d’Microsoft Entra accès conditionnel, de Microsoft Intune et d’autres stratégies pour sécuriser l’accès à Microsoft 365 pour les services et applications cloud d’entreprise, aux autres services SaaS et aux applications locales publiées avec Microsoft Entra’application procuration.
| Comprend | Conditions préalables | N’inclut pas |
|---|---|---|
Stratégies d’identité et d’accès aux appareils recommandées pour trois niveaux de protection :
Recommandations supplémentaires pour :
|
Microsoft E3 ou E5 Microsoft Entra ID dans l’un des modes suivants :
|
Inscription des appareils pour les stratégies qui nécessitent des appareils gérés. Consultez Gérer des appareils avec Intune pour inscrire des appareils. |
Phase 2 : inscrire des appareils dans la gestion avec Intune
Ensuite, inscrivez vos appareils dans la gestion et commencez à les protéger avec des contrôles plus sophistiqués.
Consultez Gérer des appareils avec Intune pour obtenir des instructions normatives détaillées sur l’inscription des appareils dans la gestion.
| Comprend | Conditions préalables | N’inclut pas |
|---|---|---|
Inscrire des appareils avec Intune :
Configurer des stratégies :
|
Inscrire des points de terminaison avec Microsoft Entra ID | Configuration des fonctionnalités de protection des informations, notamment :
Pour ces fonctionnalités, consultez Swim lane 3 - Identifier et protéger les données métier sensibles (plus loin dans cet article). |
Pour plus d’informations, consultez Confiance nulle pour Microsoft Intune.
Phase 3 : Ajouter Confiance nulle protection des identités et de l’accès aux appareils : Stratégies d’entreprise
Avec les appareils inscrits dans la gestion, vous pouvez désormais implémenter l’ensemble complet des stratégies d’identité et d’accès aux appareils Confiance nulle recommandées, nécessitant des appareils conformes.
Revenez à Stratégies d’identité et d’accès aux appareils courantes et ajoutez les stratégies au niveau Entreprise.
En savoir plus sur la sécurisation du travail à distance et hybride dans l’infrastructure d’adoption Confiance nulle- Sécuriser le travail à distance et hybride.
Couloir de nage 2 : empêcher ou réduire les dommages causés par l’entreprise en cas de violation
Microsoft Defender XDR est une solution de détection et de réponse étendue (XDR) qui collecte, met en corrélation et analyse automatiquement les données de signal, de menace et d’alerte de votre environnement Microsoft 365, y compris les points de terminaison, les e-mails, les applications et les identités. En outre, Microsoft Defender for Cloud Apps aide les organisations à identifier et à gérer l’accès aux applications SaaS, y compris les applications GenAI.
Empêchez ou réduisez les dommages à l’entreprise d’une violation en pilotant et en déployant Microsoft Defender XDR.
Accédez à Pilote et déployer Microsoft Defender XDR pour obtenir un guide méthodique sur le pilotage et le déploiement de composants Microsoft Defender XDR.
| Comprend | Conditions préalables | N’inclut pas |
|---|---|---|
Configurez l’environnement d’évaluation et pilote pour tous les composants :
Protéger contre les menaces Examiner les menaces et y répondre |
Consultez les instructions pour en savoir plus sur les exigences d’architecture pour chaque composant de Microsoft Defender XDR. | Protection Microsoft Entra ID n’est pas inclus dans ce guide de solution. Il est inclus dans swim lane 1 - Travail à distance et hybride sécurisé. |
En savoir plus sur la façon de prévenir ou de réduire les dommages pour l’entreprise d’une violation dans l’infrastructure d’adoption Confiance nulle — Empêcher ou réduire les dommages pour l’entreprise d’une violation.
Couloir de nage 3 : identifier et protéger les données métier sensibles
Implémentez Protection des données Microsoft Purview pour vous aider à découvrir, classifier et protéger les informations sensibles où qu’elles se trouvent ou voyagent.
Protection des données Microsoft Purview fonctionnalités sont incluses dans Microsoft Purview et vous donnent les outils nécessaires pour connaître vos données, protéger vos données et éviter toute perte de données. Vous pouvez commencer ce travail à tout moment.
Protection des données Microsoft Purview fournit une infrastructure, un processus et des fonctionnalités que vous pouvez utiliser pour atteindre vos objectifs métier spécifiques.
Pour plus d’informations sur la planification et le déploiement de la protection des informations, consultez Déployer une solution Protection des données Microsoft Purview.
En savoir plus sur l’identification et la protection des données métier sensibles dans l’infrastructure d’adoption Confiance nulle — Identifier et protéger les données métier sensibles.
Couloir de natation 4 : sécuriser les applications et les données d’IA
Microsoft 365 inclut des fonctionnalités permettant aux organisations de sécuriser rapidement les applications IA et les données qu’elles utilisent.
Commencez par utiliser Purview Gestion de la posture de sécurité des données (DSPM) pour l’IA. Cet outil se concentre sur la façon dont l’IA est utilisée dans vos organization, en particulier vos données sensibles qui interagissent avec les outils IA. DSPM pour l’IA fournit des insights plus approfondis pour Microsoft Copilots et les applications SaaS tierces comme ChatGPT Enterprise et Google Gemini.
Le diagramme suivant montre l’une des vues agrégées sur l’impact de l’utilisation de l’IA sur vos données : Interactions sensibles par application d’IA générative.
Utilisez DSPM pour l’IA pour :
- Bénéficiez d’une visibilité sur l’utilisation de l’IA, y compris les données sensibles.
- Passez en revue les évaluations des données pour en savoir plus sur les lacunes dans le surpartage qui peuvent être atténuées avec les contrôles de surpartage SharePoint.
- Recherchez les lacunes dans la couverture de votre stratégie pour les étiquettes de confidentialité et les stratégies de protection contre la perte de données (DLP).
Defender for Cloud Apps est un autre outil puissant pour découvrir et régir l’utilisation des applications GenAI SaaS. Defender for Cloud Apps inclut plus d’un millier d’applications liées à l’IA générative dans le catalogue, ce qui offre une visibilité sur la façon dont les applications d’IA génératives sont utilisées dans votre organization et vous aide à les gérer en toute sécurité.
En plus de ces outils, Microsoft 365 fournit un ensemble complet de fonctionnalités pour sécuriser et régir l’IA. Consultez Découvrir, protéger et gouverner les données et les applications IA pour savoir comment commencer à utiliser ces fonctionnalités.
Le tableau suivant répertorie les fonctionnalités de Microsoft 365 avec des liens vers des informations supplémentaires dans la bibliothèque Sécurité pour l’IA.
Couloir de nage 5 : respecter les exigences réglementaires et de conformité
Indépendamment de la complexité de l’environnement informatique de votre organization ou de la taille de votre organization, les nouvelles exigences réglementaires susceptibles d’affecter votre entreprise s’additionnent continuellement. Une approche Confiance nulle dépasse souvent certains types d’exigences imposées par les réglementations de conformité, par exemple celles qui contrôlent l’accès aux données personnelles. Les organisations qui ont implémenté une approche Confiance nulle peuvent constater qu’elles remplissent déjà de nouvelles conditions ou peuvent facilement s’appuyer sur leur architecture Confiance nulle pour être conforme.
Microsoft 365 inclut des fonctionnalités pour faciliter la conformité réglementaire, notamment :
- Responsable conformité
- Explorateur de contenu
- Stratégies de rétention, étiquettes de confidentialité et stratégies DLP
- Conformité des communications
- Gestion du cycle de vie des données
- Gestion des risques de confidentialité Priva
Utilisez les ressources suivantes pour répondre aux exigences réglementaires et de conformité.
| Ressource | Plus d’informations |
|---|---|
| Framework d’adoption Confiance nulle — Respecter les exigences réglementaires et de conformité | Décrit une approche méthodique que votre organization peut suivre, notamment la définition de la stratégie, la planification, l’adoption et la gouvernance. |
| Gouverner les applications et les données IA pour la conformité réglementaire | Traite de la conformité réglementaire pour les nouvelles réglementations liées à l’IA, y compris les fonctionnalités spécifiques qui vous aident. |
| Gérer la confidentialité des données et la protection des données avec Microsoft Privé et Microsoft Purview | Évaluez les risques et prenez les mesures appropriées pour protéger les données personnelles dans l’environnement de votre organization à l’aide de Microsoft Priva et de Microsoft Purview. |
Étapes suivantes
Pour en savoir plus sur Confiance nulle, visitez le centre d’aide Confiance nulle.