Découverte d’applications (version préliminaire) pour l’Accès Sécurisé Global

Important

La découverte d’applications est actuellement en PRÉVERSION. Les informations concernent un produit en cours de développement qui peut être sensiblement modifié avant sa sortie. Microsoft n’offre aucune garantie, exprimée ou implicite, en ce qui concerne les informations fournies ici.

La découverte d’applications permet aux administrateurs d’obtenir une visibilité complète de l’utilisation des applications au sein de leur réseau d’entreprise. En identifiant les applications accessibles et par qui, les administrateurs peuvent créer des applications privées avec une segmentation précise et un accès au privilège minimum, ce qui réduit l’accès inutile.

Grâce à l’accès rapide, vous pouvez rapidement intégrer l’accès privé en publiant de larges plages d’adresses IP et des noms de domaine complets génériques, comme vous le feriez avec des solutions VPN traditionnelles. Vous pouvez ensuite passer de l’accès rapide à la publication par application pour un meilleur contrôle et une granularité sur chaque application. Par exemple, vous pouvez créer une stratégie d’accès conditionnel et définir des attributions d’utilisateurs par application.

Cet article décrit le processus d’utilisation de la découverte d’applications pour détecter les applications auxquelles les utilisateurs accèdent (via Accès rapide) et créer des applications privées distinctes.

Conditions préalables

• Un locataire Microsoft Entra intégré à Accès privé Microsoft Entra.
• Un locataire Microsoft Entra configuré avec Accès rapide.
• Un appareil configuré avec le client Global Secure Access (Windows, macOS, Android, iOS).

Découvrir des applications

Pour afficher la liste de tous les segments d’application dans Accès rapide auxquels les utilisateurs ont accédé via le client Global Secure Access au cours des 30 derniers jours :

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur global d’accès sécurisé .
2. Accédez à Accès global sécurisé>Applications>Découverte d’applications.

Par défaut, la vue de découverte d’applications trie les segments d’application dans l’ordre décroissant en fonction du nombre d’utilisateurs. Cet ordre de tri par défaut déplace les segments d’application les plus utilisés en haut de la liste, ce qui les rend plus visibles par l’administrateur.

L’administrateur peut ajuster l’intervalle de temps, ajouter d’autres filtres et trier les segments d’application en fonction de chacune des colonnes. L’administrateur peut également filtrer par utilisateur pour afficher la liste des segments d’application accessibles par un utilisateur spécifique. À partir du champ Recherche, l’administrateur peut filtrer par nom de domaine complet (FQDN), adresse IP et adresse de port.

Les colonnes suivantes sont disponibles pour chaque segment d’application :

• nom de domaine complet de destination: nom de domaine complet du segment d’application.
• adresse IP de destination: adresse IP du segment d’application.
• protocole de transport: protocole de transport du segment d’application. L’accès privé prend actuellement en charge le protocole TCP (Transmission Control Protocol) et udp (User Datagram Protocol).
• port de destination: port du segment d’application.
• Utilisateurs: nombre d’utilisateurs qui ont accédé au segment d’application.
• Transactions: nombre de transactions (connexions) au segment d’application.
• Appareils : nombre d’appareils utilisés pour accéder au segment d’application.
• octets envoyés: nombre total d’octets de données envoyés par l’appareil utilisateur au segment d’application.
• octets reçus: nombre total d’octets de données reçus par l’appareil utilisateur du segment d’application.
• Dernier accès: la dernière fois dans l’intervalle de temps où le segment d’application a été consulté.
• Premier accès: la première fois dans l'intervalle de temps où le segment d'application a été consulté.

Créer une application

Utilisez la découverte d’applications pour créer des applications Microsoft Entra ID basées sur les segments d’application découverts de la table principale. Pour ajouter un segment d’application à une nouvelle application :

1. Dans la liste de découverte d’applications, choisissez un ou plusieurs segments d’application correspondant à une application que vous souhaitez créer.
   1. Souvent, une application utilise un segment d’application. Par exemple:
      • Un serveur de fichiers, tel que : filesrv.contoso.com, TCP, 445.
      • Un portail, tel que : internalportal.contoso.com, TCP, 443.
   2. Toutefois, il arrive qu'une application unique utilise plusieurs ports ou protocoles, ou fonctionne sur plusieurs serveurs (FQDN/IPs). Dans ce cas, vous pouvez choisir plusieurs segments d’application et même ajouter d’autres manuellement. Par exemple:
      • Publication de services ADDS dans un site AD spécifique : dc1.contoso.com et dc2.contoso.com, TCP, 88, 135, 137, 138, 389, 445, 464, 636, 3268, 3269 et un port élevé fixe pour Netlogon dc1.contoso.com et dc2.contoso.com, UDP, 88, 123, 389, 464.
   3. Pour une liste complète des ports ADDS, consultez Comment configurer un pare-feu pour des domaines et des approbations Active Directory.
2. Sélectionnez Ajouter à une nouvelle application. L’écran Créer une application d’accès sécurisé global s’ouvre, affichant les segments d’application sélectionnés.
   1. Donnez un Nom à l’application et sélectionnez le groupe de connecteurs correspondant.
   2. Vous pouvez également ajouter ou supprimer manuellement des segments d’applications.
   3. Pour appliquer vos modifications, sélectionnez Enregistrer.
3. Activez l’accès pour les utilisateurs appropriés en ajustant les utilisateurs et les groupes affectés à la nouvelle application.
   1. Vous devez affiner les affectations après la création de l’application. De cette façon, la liste contient uniquement des groupes d’utilisateurs qui nécessitent l’accès à la nouvelle application, en fonction du principe du privilège minimum.
   2. Pour les applications d’entreprise :
      1. Accédez à Accès global sécurisé>Applications>Applications d’entreprise>Utilisateurs et groupes.
      2. Sélectionnez l’application que vous avez créée.
      3. Modifiez les affectations d’utilisateur et de groupe en fonction des besoins.

Important

L’accès sécurisé global hiérarchise le trafic pour les applications définies individuellement plus haut que l’accès rapide. Cela signifie qu’une fois que vous déplacez un segment d’application de l’accès rapide vers une application d’accès sécurisé global spécifique, tout le trafic acheminé vers ce segment d’application sera routé en fonction de la configuration de votre application. Aucun trafic vers la nouvelle application n’est acheminé via Accès rapide, même si le segment d’application peut persister dans les plages définies par Accès rapide. Par conséquent, pour éviter toute interruption de service, les nouvelles applications que vous créez via la découverte d’applications héritent de tous les utilisateurs et groupes affectés de l’accès rapide (au moment de la création). Une fois la nouvelle application validée, vous devez rescoper les autorisations de l’application uniquement pour les utilisateurs qui doivent se connecter aux segments d’application définis dans celui-ci.

4. (Facultatif) Pour une sécurité supplémentaire, vous pouvez définir des stratégies d’accès conditionnel en fonction des stratégies de sécurité de votre entreprise. Par exemple, vous souhaiterez peut-être exiger l’authentification multifacteur (MFA) et la conformité des appareils lorsque les utilisateurs accèdent à une application critique.

Remarque

Les segments d’application persistent dans la table principale de découverte d’applications, même après avoir créé une application, jusqu’à ce qu’un utilisateur se connecte à la nouvelle application et accède à la ressource. À l’avenir, la table principale de découverte d’applications sera mise à jour indépendamment de l’interaction de l’utilisateur.

Ajouter à une application existante

Vous pouvez utiliser la découverte d’applications pour ajouter des segments d’application à une application privée existante. Pour ajouter un segment d’application à une application existante :

1. Dans la liste de découverte d’applications, choisissez un ou plusieurs segments d’application.
2. Sélectionnez Ajouter à une application existante.
3. Choisissez l’application privée existante à laquelle vous souhaitez ajouter les segments. L’écran Modifier l’application d’accès sécurisé global s’ouvre, affichant les propriétés de l’application existante, les segments d’application sélectionnés (avec l’état en attente) et tous les segments d’application précédemment configurés (avec l’état Réussite).
4. Passez en revue la configuration et révisez le nom, le groupe de connecteurs, ainsi que les segments d'application, et effectuez toutes les révisions nécessaires.
5. Pour appliquer vos modifications, sélectionnez Enregistrer.

Afficher les détails d’un segment d’application

Avant de décider de créer une application privée, vous pouvez consulter d’autres détails du segment d’application.

1. Dans la table de découverte d’applications, sélectionnez le Nom de domaine complet de destination ou l’IP de destination pour le segment d’application que vous souhaitez explorer.
2. L’onglet Utilisation affiche par défaut un graphique des Utilisateurs dans le temps. Vous pouvez définir le graphique pour qu’il affiche la distribution des Transactions, Appareils, Octets envoyéset Octets reçus au fil du temps. Vous pouvez également modifier l’intervalle de temps en ajustant le paramètre Timespan.
3. L’onglet Utilisateurs affiche la liste des utilisateurs qui ont accédé au segment d’application sélectionné au cours des 30 derniers jours.
   

Important

Utilisez la liste des utilisateurs pour informer les décisions que vous prenez en ce qui concerne les utilisateurs et les groupes que vous envisagez d’affecter à l’application Entra une fois que vous avez intégré le segment d’application sélectionné.

Contenu connexe

• Comment configurer l’accès rapide pour l’accès sécurisé global