Partager via

Tutoriel : Bloquer le téléchargement d’informations sensibles avec le contrôle d’application par accès conditionnel

  • Article

L'administrateur informatique d'aujourd'hui est coincé entre le marteau et l'enclume. Vous voulez permettre à vos employés d'être productifs. Cela signifie qu'il faut permettre aux employés d'accéder aux applications afin qu'ils puissent travailler à tout moment, à partir de n'importe quel appareil. Cependant, vous voulez protéger les ressources de la société, y compris les informations exclusives et privilégiées. Comment permettre aux employés d’accéder à vos applications cloud tout en protégeant vos données ? Ce didacticiel vous permet de bloquer les téléchargements effectués par les utilisateurs qui ont accès à vos données sensibles dans les applications cloud d’entreprise, à partir d’appareils non gérés ou d’emplacements réseau hors entreprise.

Dans ce tutoriel, vous apprendrez comment le faire :

La menace

Un responsable de compte dans votre organization souhaite case activée quelque chose dans Salesforce depuis chez lui pendant le week-end, sur son ordinateur portable personnel. Les données Salesforce peuvent inclure des informations de crédit client carte ou des informations personnelles. Le PC d’accueil n’est pas géré. S’ils téléchargent des documents à partir de Salesforce sur le PC, il peut être infecté par des programmes malveillants. En cas de perte ou de vol de l’appareil, il se peut qu’il ne soit pas protégé par mot de passe et que toute personne qui le trouve ait accès à des informations sensibles.

Dans ce cas, vos utilisateurs se connectent à Salesforce à l’aide de leurs informations d’identification d’entreprise, via Microsoft Entra ID.

La solution

Protégez vos organization en surveillant et en contrôlant l’utilisation des applications cloud avec Defender for Cloud Apps contrôle d’application d’accès conditionnel.

Configuration requise

  • Une licence valide pour Microsoft Entra ID licence P1 ou la licence requise par votre solution de fournisseur d’identité (IdP)
  • Une stratégie d’accès conditionnel Microsoft Entra pour Salesforce
  • Salesforce configuré en tant qu’application Microsoft Entra ID

Créer une stratégie de blocage de téléchargement pour les appareils non gérés

Cette procédure explique comment créer une stratégie de session Defender for Cloud Apps uniquement, ce qui vous permet de restreindre une session en fonction de l’état d’un appareil.

Pour contrôler une session à l’aide d’un appareil comme condition, vous devez également créer une stratégie d’accès Defender for Cloud Apps. Pour plus d’informations, consultez Créer des stratégies d’accès Microsoft Defender for Cloud Apps.

Pour créer votre stratégie de session

  1. Dans le portail Microsoft Defender, sous Applications cloud, sélectionnez Stratégies>Gestion des stratégies.

  2. Dans la page Stratégies , sélectionnez Créer une stratégie>Stratégie de session.

  3. Dans la page Créer une stratégie de session , donnez un nom et une description à votre stratégie. Par exemple, Bloquer les téléchargements à partir de Salesforce pour les appareils non gérés.

  4. Affectez une gravité de stratégie et unecatégorie.

  5. Pour le type de contrôle session, sélectionnez Téléchargement du fichier de contrôle (avec inspection) . Ce paramètre vous donne la possibilité de surveiller tout ce que vos utilisateurs font dans une session Salesforce et vous permet de contrôler le blocage et la protection des téléchargements en temps réel.

  6. Sous Source de l’activité dans la section Activités correspondant à toutes les sections suivantes , sélectionnez les filtres :

    • Balise d’appareil : sélectionnez N’est pas égal. puis sélectionnez Intune conforme, joint à Azure AD hybride ou Certificat client valide. Votre sélection dépend de la méthode utilisée dans votre organization pour identifier les appareils gérés.

    • Application : sélectionnez Intégration automatisée d’Azure> ADégale>à Salesforce.

  7. Vous pouvez également bloquer les téléchargements pour les emplacements qui ne font pas partie de votre réseau d’entreprise. Sous Source de l’activité dans la section Activités correspondant à toutes les sections suivantes , définissez les filtres suivants :

    • Adresse IP ou Emplacement : utilisez l’un de ces deux paramètres pour identifier les emplacements non professionnels ou inconnus, à partir desquels un utilisateur peut essayer d’accéder à des données sensibles.

    Remarque

    Si vous souhaitez bloquer les téléchargements à partir d’appareils non gérés et d’emplacements non professionnels, vous devez créer deux stratégies de session. Une stratégie définit la source d’activité à l’aide de l’emplacement. L’autre stratégie définit la source d’activité sur les appareils non gérés.

    • Application : sélectionnez Intégration automatisée d’Azure> ADégale>à Salesforce.

  8. Sous Source d’activité dans la section Fichiers correspondant à toutes les sections suivantes , définissez les filtres suivants :

    • Étiquettes de confidentialité : si vous utilisez des étiquettes de confidentialité de Protection des données Microsoft Purview, filtrez les fichiers en fonction d’une étiquette de confidentialité Protection des données Microsoft Purview spécifique.

    • Sélectionnez Nom de fichier ou Type de fichier pour appliquer des restrictions en fonction du nom ou du type de fichier.

  9. Activez l’inspection du contenu pour permettre à la DLP interne d’analyser vos fichiers à la recherche de contenu sensible.

  10. Sous Actions, sélectionnez bloquer. Personnalisez le message de blocage que vos utilisateurs reçoivent lorsqu’ils ne peuvent pas télécharger des fichiers.

  11. Configurez les alertes que vous souhaitez recevoir lorsque la stratégie est mise en correspondance, comme une limite afin de ne pas recevoir trop d’alertes et si vous souhaitez recevoir les alertes sous forme d’e-mail.

  12. Sélectionnez Créer.

Valider votre stratégie

  1. Pour simuler le téléchargement de fichiers bloqués, à partir d’un appareil non géré ou d’un emplacement réseau non géré, connectez-vous à l’application. Ensuite, essayez de télécharger un fichier.

  2. Le fichier doit être bloqué et vous devez recevoir le message que vous avez défini précédemment, sous Personnaliser les messages de blocage.

  3. Dans le portail Microsoft Defender, sous Applications cloud, accédez à Stratégies, puis sélectionnez Gestion des stratégies. Sélectionnez ensuite la stratégie que vous avez créée pour afficher le rapport de stratégie. Une correspondance de stratégie de session doit apparaître sous peu.

  4. Dans le rapport de stratégie, vous pouvez voir les connexions qui ont été redirigées vers Microsoft Defender for Cloud Apps pour le contrôle de session, ainsi que les fichiers téléchargés ou bloqués à partir des sessions supervisées.

Étapes suivantes

Comment créer une stratégie d’accès

Comment créer une stratégie de session

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.