Tutoriel : Bloquer le téléchargement d’informations sensibles avec le contrôle d’application par accès conditionnel

De nos jours, l’administration informatique est coincée entre le marteau et l’enclume. Vous voulez donner à vos employés les moyens d’être productifs. Ce qui implique de les autoriser à accéder à des applications pour qu’ils puissent travailler à tout moment, depuis n’importe quel appareil. Mais vous devez également protéger les ressources de l’entreprise, notamment les informations propriétaires et privilégiées. Comment permettre à vos employés d’accéder à vos applications cloud tout en protégeant vos données ? Ce tutoriel vous permet de bloquer les téléchargements effectués par des utilisateurs qui ont accès à vos données sensibles dans des applications cloud d’entreprise depuis des appareils non gérés ou des emplacements réseau hors entreprise.

Ce didacticiel vous montre comment effectuer les opérations suivantes :

La menace

Un responsable de compte de votre organisation veut vérifier une information dans Salesforce de chez lui pendant le weekend, sur son ordinateur portable personnel. Les données Salesforce peuvent inclure des informations personnelles sur vos clients ou leurs numéros de carte de crédit. Les ordinateurs personnels sont des appareils non gérés. Le client peut télécharger des documents Salesforce sur son ordinateur, alors que ce dernier est infecté par un programme malveillant. Si l’appareil est perdu ou volé, et qu’il n’est pas protégé par un mot de passe, la personne qui l’a entre ses mains peut accéder aux informations sensibles.

Dans ce cas, vos utilisateurs se connectent à Salesforce à l'aide de leurs identifiants d'entreprise, via Microsoft Entra ID.

La solution

Protégez votre organisation en surveillant et en contrôlant l'application cloud avec Defender pour Cloud Apps avec un contrôle d'application à accès conditionnel.

Prérequis

  • Une licence valide pour Microsoft Entra ID P1 ou licence requise par votre solution de fournisseur d’identité (IDP)
  • Une stratégie d'accès conditionnel Microsoft Entra pour Salesforce
  • Salesforce configuré en tant qu'application Microsoft Entra ID

Créer une stratégie de blocage de téléchargement pour les appareils non gérés

Cette procédure décrit comment créer une stratégie de session Defender pour Cloud Apps uniquement, qui vous permet de restreindre une session en fonction de l'état d'un appareil.

Pour contrôler une session en utilisant un appareil comme condition, vous devez également créer une stratégie d'accès Defender pour Cloud Apps. Pour en savoir plus, voir Créer des stratégies d'accès Microsoft Defender pour Cloud Apps.

Pour créer votre stratégie de session :

  1. Dans le portail Microsoft Defender, sous Applications cloud, sélectionnez Stratégies – >Gestion des stratégies.

  2. Dans la page Stratégies, cliquez sur Créer une stratégie> et sélectionnez Stratégie de session.

  3. Dans la page Créer une stratégie de session, donnez à votre stratégie un nom et une description. Par exemple, Bloquer les téléchargements depuis Salesforce pour les appareils non gérés.

  4. Affectez une gravité de la stratégie et une catégorie.

  5. Pour Type de contrôle de session, sélectionnez Contrôler le téléchargement de fichiers (avec inspection). Ce paramètre vous permet de surveiller tout ce que font vos utilisateurs dans une session Salesforce, et de bloquer et protéger les téléchargements en temps réel.

  6. Sous Source de l’activité dans la section Activités remplissant toutes les conditions suivantes, sélectionnez les filtres :

    • Balise de l’appareil : Sélectionnez N’est pas égal. puis sélectionnez Conforme à Intune, jonction Azure AD Hybride ou Certificat client valide. Votre sélection dépend de la méthode utilisée dans votre organisation pour identifier les appareils gérés.

    • Application : sélectionnez Intégration automatisée d'Azure AD>Equals>Salesforce.

  7. Vous pouvez également bloquer les téléchargements pour les emplacements qui ne font pas partie de votre réseau d’entreprise. Sous Source de l’activité dans la section Activités remplissant toutes les conditions suivantes, sélectionnez les filtres suivants :

    • Adresse IP ou Emplacement : utilisez l’un ou l’autre de ces deux paramètres pour identifier les emplacements hors entreprise ou inconnus, à partir desquels un utilisateur peut essayer d’accéder à des données sensibles.

    Remarque

    Si vous souhaitez bloquer les téléchargements à la fois à partir des appareils non gérés et des emplacements hors entreprise, vous devez créer deux stratégies de session. Une stratégie définit la Source de l’activité à l’aide de l’emplacement. L’autre stratégie définit la Source de l’activité pour les appareils non gérés.

    • Application : sélectionnez Intégration automatisée d'Azure AD>Equals>Salesforce.
  8. Sous Source de l’activité dans la section Fichiers remplissant toutes les conditions suivantes, sélectionnez les filtres suivants :

    • Étiquettes de confidentialité : si vous utilisez des étiquettes de confidentialité de Protection des données Microsoft Purview, filtrez les fichiers en fonction d’une étiquette de confidentialité spécifique de Protection des données Microsoft Purview.

    • Sélectionnez Nom de fichier ou Type de fichier pour appliquer des restrictions en fonction de ces deux paramètres.

  9. Activez l’option Inspection du contenu pour permettre à la protection contre la perte de données (DLP) interne d’analyser vos fichiers pour en détecter le contenu sensible.

  10. Sous Actions, sélectionnez Bloquer. Personnalisez le message de blocage que vos utilisateurs reçoivent quand ils ne parviennent pas à télécharger des fichiers.

  11. Configurez les alertes que vous souhaitez recevoir lorsque la stratégie correspond, par exemple une limite pour ne pas recevoir trop d'alertes, et indiquez si vous souhaitez recevoir les alertes sous forme d'e-mail.

  12. Sélectionnez Créer.

Valider votre stratégie

  1. Pour simuler le blocage du téléchargement de fichiers, depuis un appareil non géré ou un emplacement réseau hors entreprise, connectez-vous à l’application. Ensuite, essayez de télécharger un fichier.

  2. Le fichier devrait être bloqué et vous devriez recevoir le message que vous avez défini plus tôt, sous Personnaliser les messages de blocage.

  3. Dans le portail Microsoft Defender, sous Applications Cloud, accédez à Stratégies, puis sélectionnez Gestion des stratégies. Sélectionnez ensuite la stratégie que vous avez créée pour afficher le rapport de stratégie. Une correspondance de stratégie de session doit apparaître rapidement.

  4. Dans le rapport de stratégie, vous pouvez savoir quelles connexions ont été redirigées vers Microsoft Defender for Cloud Apps à des fins de contrôle de session et quels fichiers ont été téléchargés ou bloqués depuis les sessions surveillées.

Étapes suivantes

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.