Décrire l’Accès global sécurisé dans Microsoft Entra

  • 9 minutes

Microsoft Entra fournit désormais un nouvel ensemble de produits dans le cadre de l’Accès global sécurisé Microsoft. Accès sécurisé global est le terme unificateur utilisé à la fois pour Accès Internet Microsoft Entra et Accès privé Microsoft Entra.

L’Accès Internet Microsoft Entra sécurise l’accès aux applications SaaS (Software as a Service), y compris les services Microsoft et les applications Internet publiques tout en protégeant les utilisateurs, les appareils et les données contre les menaces Internet.

L’Accès privé Microsoft Entra fournit à vos utilisateurs, qu’ils soient dans un bureau ou travaillant à distance, un accès sécurisé à vos ressources privées et d’entreprise.

L’Accès Internet Microsoft Entra et l’Accès privé Microsoft Entra se combinent en tant que solution qui converge sur les contrôles d’accès à confiance zéro, d’identité et de point de terminaison afin que vous puissiez sécuriser l’accès à n’importe quelle application ou ressource, à partir de n’importe quel emplacement, appareil ou identité. Ce type de solution représente une nouvelle catégorie de sécurité réseau appelée Security Service Edge (SSE).

SSE aide à résoudre les problèmes de sécurité tels que :

  • La nécessité de réduire le risque de mouvement latéral via un tunnel VPN compromis.
  • La nécessité de placer un périmètre autour des ressources basées sur Internet.
  • La nécessité d’améliorer le service dans les emplacements de bureaux distants, telles que des succursales.

La solution Security Service Edge de Microsoft, Accès global sécurisé, fournit des protections avancées pour vos ressources basées sur Internet et exécutées dans votre cloud privé ou votre infrastructure locale, afin de résoudre les problèmes de sécurité.

La solution utilise un client Accès global sécurisé qui permet aux organisations de contrôler le trafic réseau sur l’appareil informatique de l’utilisateur final. Les organisations peuvent acheminer des profils de trafic spécifiques via l’Accès Internet Microsoft Entra et l’Accès privé Microsoft Entra. Le routage du trafic dans cette méthode permet davantage de contrôles activés par une intégration approfondie aux stratégies d’accès conditionnel et aux risques évalués en temps réel, sur l’identité, l’appareil, l’emplacement et les applications pour protéger n’importe quelle application ou ressource.

Capture d’écran montrant les composants qui composent l’Accès global sécurisé.

Microsoft Entra Private Access

Les solutions VPN sont souvent utilisées comme méthode principale pour contrôler l’accès au réseau d’entreprise. Une fois la connectivité de réseau privé établie, la porte d’entrée de votre réseau est déverrouillée et, en plus de cela, il est courant que les utilisateurs et les appareils bénéficient d’autorisations excessives. Cela augmente considérablement la surface d’attaque de votre organisation.

L’Accès privé Microsoft Entra peut être déployé pour bloquer le mouvement d’attaque latérale, réduire l’accès excessif et remplacer les VPN hérités. Le service fournit à vos utilisateurs, qu’ils travaillent dans un bureau ou à distance, un accès sécurisé à vos ressources privées et d’entreprise.

Conceptuellement, la façon dont l’Accès privé fonctionne est que pour un ensemble donné de ressources privées que vous souhaitez sécuriser, vous configurez une nouvelle application d’entreprise qui sert de conteneur pour ces ressources privées. La nouvelle application a un connecteur réseau qui sert de répartiteur entre le service Accès privé et la ressource à laquelle un utilisateur souhaite accéder. À présent, les entreprises ont des exigences différentes pour accéder à différentes ressources privées. Par conséquent, l’Accès privé Microsoft Entra fournit deux façons de configurer les ressources privées auxquelles vous souhaitez accéder via le service.

  • Accès rapide : comme décrit précédemment, l’Accès privé fonctionne en créant une application d’entreprise qui sert de conteneur pour les ressources privées que vous souhaitez sécuriser. Avec Accès rapide, vous déterminez les ressources privées à ajouter au « conteneur » ou à l’application d’entreprise ; que nous allons appeler l’application Accès rapide. Les ressources privées que vous ajoutez à l’application Accès rapide sont définies par le nom de domaine complet, l’adresse IP, la plage d’adresses ou IP, et les ports utilisés pour accéder à la ressource. Ces informations sont appelées segment d’application Accès rapide. Vous pouvez ajouter de nombreux segments d’application à l’application Accès rapide. Vous pouvez ensuite lier des stratégies d’accès conditionnel à l’application Accès rapide.

    Diagramme de l’Accès privé Microsoft Entra avec l’affichage des composants d’Accès rapide.

  • L’application Accès global sécurisé, également appelée Accès par application, fournit une approche plus granulaire. Avec l’application Accès global sécurisé, vous pouvez créer plusieurs « conteneurs » ou une application d’entreprise. Pour chacune de ces nouvelles applications d’entreprise, vous définissez les propriétés de la ressource privée et vous affectez des utilisateurs et des groupes et attribuez des stratégies d’accès conditionnel spécifiques. Par exemple, vous pouvez avoir un groupe de ressources privées dont vous avez besoin pour sécuriser, mais pour lequel vous souhaitez définir différentes stratégies d’accès en fonction de la façon dont elles accèdent à la ressource ou pour une période donnée.

    Diagramme de l’Accès privé Microsoft Entra avec l’affichage des composants de l’application Accès sécurisé global, également appelé Accès par application.

Accès Internet Microsoft Entra

Une passerelle web sécurisée (SWG) est une solution de cybersécurité qui protège les utilisateurs contre les menaces web en filtrant le trafic Internet et en appliquant des stratégies de sécurité.

L’Accès Internet Microsoft Entra fournit une solution SWG (Secure Web Gateway) centrée sur l’identité pour les applications SaaS (Software as a Service), y compris les services Microsoft et d’autres trafics Internet. Il protège les utilisateurs, les appareils et les données du paysage des menaces à l’échelle de l’Internet grâce à des contrôles de sécurité de première classe et une visibilité par le biais de journaux de trafic.

Certaines des fonctionnalités clés incluent :

  • La protection contre l’usurpation d’identité ou le vol de jeton de l’utilisateur à l’aide de stratégies d’accès conditionnel pour effectuer une vérification réseau conforme de l’accès aux ressources.
    • L’application de réseau conforme se produit sur le plan d’authentification et sur le plan de données. L’application du plan d’authentification est réalisée par Microsoft Entra ID au moment de l’authentification utilisateur. L’application du plan de données fonctionne avec les services qui prennent en charge l’Évaluation continue de l’accès (CAE).
    • L’Évaluation continue de l’accès (CAE) est une fonctionnalité de sécurité où les applications et Microsoft Entra communiquent constamment pour garantir que l’accès utilisateur est à jour et sécurisé. Si quelque chose change, comme l’emplacement d’un utilisateur ou en cas de problème de sécurité, le système peut rapidement ajuster ou bloquer l’accès en quasi temps réel, ce qui garantit que les stratégies sont toujours appliquées.
  • Les restrictions de locataire pour empêcher l’exfiltration de données vers d’autres locataires ou comptes personnels, y compris l’accès anonyme.
  • Les stratégies de profil de transfert du trafic Internet pour contrôler les sites Internet accessibles pour garantir que les travailleurs distants se connectent à Internet de manière contrôlée et sécurisée.
  • Le filtrage de contenu web pour réguler l’accès aux sites web en fonction de leurs catégories de contenu et de leurs noms de domaine.
  • et bien plus encore...

Tableau de bord de l’accès global sécurisé

L’Accès global sécurisé inclut un tableau de bord qui vous fournit des visualisations du trafic réseau acquis par les services Accès privé Microsoft Entra et Accès Internet Microsoft Entra. Le tableau de bord compile les données de vos configurations réseau, notamment les appareils, les utilisateurs et les locataires, dans plusieurs widgets. Ces widgets, à leur tour, vous fournissent des informations que vous pouvez utiliser pour superviser et améliorer vos configurations réseau. Voici quelques-uns des widgets disponibles :

  • Capture instantanée de l’accès global sécurisé
  • Alertes et notifications (prévisualisation)
  • Profilage de l’utilisation (prévisualisation)
  • Accès entre locataires
  • Filtrage des catégories Web
  • Statuts des appareils

Capture instantanée de l’accès global sécurisé

Le widget d’instantané Accès global sécurisé fournit un résumé du nombre d’utilisateurs et d’appareils qui utilisent le service, et le nombre d’applications qui ont été sécurisées via le service. Le widget affiche par défaut tous les types de trafic, mais vous pouvez modifier le filtre pour afficher l’Accès Internet, l’Accès privé ou le trafic Microsoft.

Capture d’écran du widget d’instantané de Global Secure Access.

Profilage de l’utilisation (prévisualisation)

Le widget Profilage d’utilisation affiche des modèles d’utilisation pour l’Accès Internet, l’Accès privé ou Microsoft 365 sur une période sélectionnée et par catégorie.

Capture d’écran du widget de profilage de l’utilisation.

Alertes et notifications (prévisualisation)

Le widget Alertes et notifications montre ce qui se passe dans le réseau et permet d’identifier les activités suspectes ou les tendances identifiées d’après les données réseau.

Ce widget fournit les alertes suivantes :

  • Réseau distant non sain : un réseau distant non sain a un ou plusieurs liens d’appareil déconnectés.
  • Augmentation de l’activité des locataires externes : le nombre d’utilisateurs accédant aux locataires externes a augmenté.
  • Incohérence entre jeton et appareil : le jeton d’origine est utilisé sur un autre appareil.
  • Contenu web bloqué : l’accès au site web a été bloqué.

Capture d’écran du widget de notifications d’alertes de tableau de bord.

Accès interlocataire L’Accès global sécurisé offre une visibilité sur le nombre d’utilisateurs et d’appareils qui accèdent à d’autres locataires. Le widget affiche les informations suivantes :

  • Connexions : nombre de connexions via Microsoft Entra ID aux services Microsoft au cours des dernières 24 heures. Ce widget vous fournit des informations sur l’activité dans votre locataire.
  • Nombre total de locataires distincts : nombre d’ID de locataires distincts observés au cours des dernières 24 heures.
  • Locataires invisibles : nombre d’ID de locataires distincts qui ont été vus au cours des dernières 24 heures, mais pas au cours des sept derniers jours.
  • Utilisateurs : nombre de connexions utilisateur distinctes à d’autres locataires au cours des dernières 24 heures.
  • Appareils : nombre d’appareils distincts qui se sont connectés à d’autres locataires au cours des dernières 24 heures.

Capture d’écran du widget d’accès interlocataire.

Filtrage des catégories Web

Le widget Filtrage des catégories web affiche les principales catégories de contenu web qui ont été bloquées ou autorisées par le service. Ces catégories peuvent être utilisées pour déterminer les sites ou catégories de sites que vous voudriez bloquer.

État de l’appareil Les widgets État de l’appareil affichent les appareils actifs et inactifs que vous avez déployés.

Capture d’écran du widget État de l’appareil.