Contrôle d’application d’accès conditionnel dans Microsoft Defender for Cloud Apps
Dans le milieu de travail d’aujourd’hui, il ne suffit pas de savoir ce qui s’est passé dans votre environnement cloud après coup. Vous devez arrêter les violations et les fuites en temps réel. Vous devez également empêcher les employés de mettre intentionnellement ou accidentellement vos données et organization en danger.
Vous souhaitez prendre en charge les utilisateurs de votre organization pendant qu’ils utilisent les meilleures applications cloud disponibles et mettent leurs propres appareils au travail. Toutefois, vous avez également besoin d’outils pour protéger vos organization contre les fuites et les vols de données en temps réel. Microsoft Defender for Cloud Apps s’intègre à n’importe quel fournisseur d’identité (IdP) pour fournir cette protection avec des stratégies d’accès et de session.
Par exemple :
Utilisez des stratégies d’accès pour :
- Bloquer l’accès à Salesforce pour les utilisateurs d’appareils non gérés.
- Bloquer l’accès à Dropbox pour les clients natifs.
Utilisez des stratégies de session pour :
- Bloquer les téléchargements de fichiers sensibles à partir de OneDrive vers des appareils non gérés.
- Bloquer les chargements de fichiers de programmes malveillants vers SharePoint Online.
Les utilisateurs de Microsoft Edge bénéficient d’une protection directe dans le navigateur. Une icône de verrou 
dans la barre d’adresse du navigateur indique cette protection.
Les utilisateurs d’autres navigateurs sont redirigés via le proxy inverse vers Defender for Cloud Apps. Ces navigateurs affichent un *.mcas.ms suffixe dans l’URL du lien. Par exemple, si l’URL de l’application est myapp.com, l’URL de l’application est mise à jour vers myapp.com.mcas.ms.
Cet article décrit le contrôle d’application d’accès conditionnel dans Defender for Cloud Apps via Microsoft Entra stratégies d’accès conditionnel.
Activités dans le contrôle d’application d’accès conditionnel
Le contrôle d’application d’accès conditionnel utilise des stratégies d’accès et des stratégies de session pour surveiller et contrôler l’accès aux applications utilisateur et les sessions en temps réel, dans votre organization.
Chaque stratégie a des conditions pour définir qui (quel utilisateur ou groupe d’utilisateurs), quoi (quelles applications cloud) et où (emplacements et réseaux) la stratégie est appliquée. Une fois que vous avez déterminé les conditions, routez d’abord vos utilisateurs vers Defender for Cloud Apps. Vous pouvez y appliquer les contrôles d’accès et de session pour protéger vos données.
Les stratégies d’accès et de session incluent les types d’activités suivants :
| Activité | Description |
|---|---|
| Empêcher l’exfiltration de données | Bloquer le téléchargement, la coupe, la copie et l’impression de documents sensibles sur (par exemple) les appareils non gérés. |
| Exiger le contexte d’authentification | Réévaluez Microsoft Entra stratégies d’accès conditionnel lorsqu’une action sensible se produit dans la session, telle que l’exigence d’une authentification multifacteur. |
| Protéger le téléchargement | Au lieu de bloquer le téléchargement de documents sensibles, exigez que les documents soient étiquetés et chiffrés lors de l’intégration à Protection des données Microsoft Purview. Cette action permet de protéger le document et de restreindre l’accès utilisateur dans une session potentiellement risquée. |
| Empêcher le chargement de fichiers sans étiquette | Assurez-vous que le chargement des fichiers sans étiquette qui ont du contenu sensible est bloqué jusqu’à ce que l’utilisateur classifie le contenu. Avant qu’un utilisateur charge, distribue ou utilise un fichier sensible, le fichier doit avoir l’étiquette définie par la stratégie de votre organization. |
| Bloquer les programmes malveillants potentiels | Protégez votre environnement contre les programmes malveillants en bloquant le chargement de fichiers potentiellement malveillants. Tout fichier qu’un utilisateur tente de charger ou de télécharger peut être analysé par rapport à Microsoft Threat Intelligence et bloqué instantanément. |
| Surveiller la conformité des sessions utilisateur | Examinez et analysez le comportement des utilisateurs pour comprendre où et dans quelles conditions, les stratégies de session doivent être appliquées à l’avenir. Les utilisateurs à risque sont surveillés lorsqu’ils se connectent aux applications et leurs actions sont journalisées à partir de la session. |
| Bloquer l’accès | Bloquer de manière granulaire l’accès pour des applications et des utilisateurs spécifiques, en fonction de plusieurs facteurs de risque. Par exemple, vous pouvez les bloquer s’ils utilisent des certificats clients comme forme de gestion des appareils. |
| Bloquer les activités personnalisées | Certaines applications ont des scénarios uniques qui comportent des risques. Un exemple est l’envoi de messages qui ont du contenu sensible dans des applications telles que Microsoft Teams ou Slack. Dans ces types de scénarios, analysez les messages à la recherche de contenu sensible et bloquez-les en temps réel. |
Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Créer des stratégies d’accès Microsoft Defender for Cloud Apps
- Créer des stratégies de session Microsoft Defender for Cloud Apps
Facilité d’utilisation
Le contrôle d’application d’accès conditionnel ne vous oblige pas à installer quoi que ce soit sur l’appareil. Il est donc idéal lorsque vous surveillez ou contrôlez des sessions à partir d’appareils non gérés ou d’utilisateurs partenaires.
Defender for Cloud Apps utilise une heuristique brevetée pour identifier et contrôler les activités des utilisateurs dans l’application cible. Les heuristiques sont conçues pour optimiser et équilibrer la sécurité et la facilité d’utilisation.
Dans certains rares scénarios, le blocage d’activités côté serveur rend l’application inutilisable, de sorte que les organisations sécurisent ces activités uniquement côté client. Cette approche les rend potentiellement vulnérables à l’exploitation par des initiés malveillants.
Performances système et stockage des données
Defender for Cloud Apps utilise des centres de données Azure dans le monde entier pour fournir des performances optimisées grâce à la géolocalisation. La session d’un utilisateur peut être hébergée en dehors d’une région particulière, en fonction des modèles de trafic et de son emplacement. Toutefois, pour protéger la confidentialité des utilisateurs, ces centres de données ne stockent pas de données de session.
Defender for Cloud Apps serveurs proxy ne stockent pas les données au repos. Lorsque nous mettons en cache du contenu, nous respectons les exigences énoncées dans RFC 7234 (mise en cache HTTP) et mettons en cache uniquement le contenu public.
Applications et clients pris en charge
Appliquez des contrôles de session et d’accès à toute authentification unique interactive qui utilise le protocole d’authentification SAML 2.0. Les contrôles d’accès sont également pris en charge pour les applications clientes mobiles et de bureau intégrées.
En outre, si vous utilisez des applications Microsoft Entra ID, appliquez des contrôles de session et d’accès aux éléments suivants :
- Toute authentification unique interactive qui utilise le protocole d’authentification OpenID Connect.
- Applications hébergées localement et configurées avec le proxy d’application Microsoft Entra.
Microsoft Entra ID applications sont également intégrées automatiquement pour le contrôle d’application par accès conditionnel, tandis que les applications qui utilisent d’autres fournisseurs d’identité doivent être intégrées manuellement.
Defender for Cloud Apps identifie les applications à l’aide des données du catalogue d’applications cloud. Si vous avez personnalisé des applications avec des plug-ins, vous devez ajouter tous les domaines personnalisés associés à l’application appropriée dans le catalogue. Pour plus d’informations, consultez Rechercher votre application cloud et calculer les scores de risque.
Remarque
Vous ne pouvez pas utiliser les applications installées qui ont des flux de connexion non interactifs , telles que l’application Authenticator et d’autres applications intégrées, avec des contrôles d’accès. Dans ce cas, nous vous recommandons de créer une stratégie d’accès dans le centre d’administration Microsoft Entra en plus des stratégies d’accès Microsoft Defender for Cloud Apps.
Étendue de la prise en charge du contrôle de session
Bien que les contrôles de session soient conçus pour fonctionner avec n’importe quel navigateur sur n’importe quelle plateforme principale sur n’importe quel système d’exploitation, nous prenons en charge les dernières versions des navigateurs suivants :
Les utilisateurs de Microsoft Edge bénéficient d’une protection dans le navigateur, sans rediriger vers un proxy inverse. Pour plus d’informations, consultez Protection dans le navigateur avec Microsoft Edge for Business (préversion).
Prise en charge des applications pour TLS 1.2+
Defender for Cloud Apps utilise les protocoles TLS (Transport Layer Security) 1.2+ pour fournir le chiffrement. Les applications clientes intégrées et les navigateurs qui ne prennent pas en charge TLS 1.2+ ne sont pas accessibles lorsque vous les configurez avec le contrôle de session.
Toutefois, les applications SaaS (Software as a Service) qui utilisent TLS 1.1 ou version antérieure apparaissent dans le navigateur comme utilisant TLS 1.2+ lorsque vous les configurez avec Defender for Cloud Apps.