Gérer les alertes de gouvernance des applications
Vous pouvez examiner les alertes concernant les applications cloud malveillantes et les applications susceptibles de présenter des risques pour votre organization dans les pages alertes ou incidents Microsoft Defender XDR.
Par exemple :
Afficher les détails de l’alerte
Par défaut, la page Alertes Microsoft Defender XDR répertorie les nouvelles alertes générées par la gouvernance des applications en fonction des règles de détection des menaces et de vos stratégies actives. Affichez les détails d’une alerte spécifique en sélectionnant l’alerte. Une page s’ouvre avec des informations supplémentaires sur l’alerte et les options de gestion de l’alerte.
Par exemple :
Dans la page, vous pouvez obtenir des informations supplémentaires à partir de la section Article d’alerte :
- Détails exacts sur la raison pour laquelle l’alerte a été créée sous Ce qui s’est passé
- Informations sur la façon de corriger l’alerte sous Actions recommandées
Gérer une alerte de gouvernance des applications
Pour examiner et prendre des mesures sur une application dans la gouvernance des applications, sélectionnez l’entité d’application carte sous Entités associées, puis sélectionnez Afficher les détails de l’application.
Les stratégies d’application que vous avez configurées pour la correction automatique à partir de l’action ont un status résolu.
Pour gérer l’alerte de gouvernance des applications :
- Investigation : examinez les informations contenues dans l’alerte et remplacez son status par Marquer en cours.
- Résolution : Après votre examen et, si nécessaire, la détermination des modifications de stratégie d’application ou la prise en charge continue des applications dans votre locataire, modifiez son status sur Résolu.
En fonction des modèles d’alerte d’application, vous pouvez mettre à jour la stratégie d’application appropriée et modifier son paramètre Action pour effectuer une correction automatique. Cela supprime votre besoin d’examiner et de résoudre manuellement les futures alertes générées par la stratégie d’application. Pour plus d’informations, consultez Gérer vos stratégies d’application.
Interdire ou approuver une application OAuth connectée à Salesforce et à Google Workspace
Remarque
Cette section s’applique uniquement aux applications Salesforce et Google Workspace.
Sous les onglets Applications Google ou Applications Salesforce , sélectionnez l’application pour ouvrir le volet Application et afficher plus d’informations sur l’application et les autorisations qui lui ont été accordées.
- Sélectionnez Autorisations pour afficher la liste complète des autorisations qui ont été accordées à l’application.
- Sous Utilisation de la communauté, vous pouvez voir à quel point l’application est commune à d’autres organisations.
- Sélectionnez Activité associée pour afficher les activités répertoriées dans le journal d’activité lié à cette application.
Pour interdire l’application, sélectionnez l’icône d’interdiction à la fin de la ligne de l’application dans le tableau. Par exemple :
- Vous pouvez choisir si vous souhaitez indiquer aux utilisateurs que l’application qu’ils ont installée et autorisée a été interdite. La notification indique aux utilisateurs que l’application sera désactivée et qu’ils n’auront pas accès à l’application connectée. Si vous ne souhaitez pas qu’ils le sachent, désélectionnez Notifier les utilisateurs qui ont accordé l’accès à cette application interdite dans la boîte de dialogue.
- Il est recommandé d’informer les utilisateurs de l’application que leur application est sur le point d’être interdite d’utilisation.
Par exemple :
Tapez le message que vous souhaitez envoyer aux utilisateurs de l’application dans la zone Entrer un message de notification personnalisée. Sélectionnez Interdire l’application pour envoyer le courrier, puis interdire l’application aux utilisateurs de votre application connectée.
Pour approuver l’application, sélectionnez l’icône Approuver à la fin de la ligne dans le tableau.
- L’icône devient verte et l’application est approuvée pour tous les utilisateurs de votre application connectée.
- Lorsque vous marquez une application comme approuvée, il n’y a aucun effet sur l’utilisateur final. Ce changement de couleur est destiné à vous aider à voir les applications que vous avez approuvées pour les séparer de celles que vous n’avez pas encore examinées.
Révoquer l’application OAuth connectée à Salesforce et Google Workspace et avertir l’utilisateur
Remarque
Cette section s’applique uniquement aux applications Salesforce et Google Workspace. Pour Google Workspace et Salesforce, il est possible de révoquer l’autorisation sur une application ou d’informer l’utilisateur qu’il doit modifier l’autorisation. Lorsque vous révoquez l’autorisation, toutes les autorisations qui ont été accordées à l’application sous « Applications d’entreprise » dans Microsoft Entra ID.
Sous les onglets Applications Google ou Applications Salesforce , sélectionnez les trois points à la fin de la ligne de l’application, puis sélectionnez Notifier l’utilisateur. Par défaut, l’utilisateur reçoit une notification comme suit : Vous avez autorisé l’application à accéder à votre compte Google Workspace. Cette application est en conflit avec la stratégie de sécurité de votre organization. Reconsidérer l’octroi ou la révocation des autorisations que vous avez accordées à cette application dans votre compte Google Workspace. Pour révoquer l’accès à l’application, accédez à :https://security.google.com/settings/security/permissions?hl=en& ; pli=1 Sélectionnez l’application et sélectionnez « Révoquer l’accès » dans la barre de menus de droite. Vous pouvez personnaliser le message envoyé.
Vous pouvez également révoquer des autorisations pour utiliser l’application pour l’utilisateur. Sélectionnez l’icône à la fin de la ligne de l’application dans le tableau, puis sélectionnez Révoquer l’application.
