Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit un plan de déploiement pour créer Confiance nulle sécurité avec Microsoft 365. Confiance nulle est un modèle de sécurité qui suppose une violation et vérifie chaque requête comme si elle provient d’un réseau non contrôlé. Quelle que soit l’origine de la requête ou la ressource qu’elle accède, le modèle Confiance nulle nous apprend à « ne jamais faire confiance, toujours vérifier ».
Utilisez cet article avec cette affiche.
principes et architecture de Confiance nulle
Confiance nulle est une stratégie de sécurité. Ce n’est pas un produit ou un service, mais une approche dans la conception et l’implémentation de l’ensemble de principes de sécurité suivants.
| Principe | Descriptif |
|---|---|
| Vérifiez explicitement. | Authentifiez et autorisez toujours en fonction de tous les points de données disponibles. |
| Utiliser l'accès avec le moindre privilège | Limitez l'accès utilisateur avec les concepts Just-In-Time (juste-à-temps) et Just-Enough-Access, des stratégies adaptatives basées sur les risques et la protection des données. |
| Supposer une violation | Réduisez le rayon d’explosion et segmentez l’accès. Vérifiez le chiffrement de bout en bout et utilisez l'analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses. |
Les conseils de cet article vous aident à appliquer ces principes en implémentant des fonctionnalités avec Microsoft 365.
Une approche Confiance nulle s’étend dans l’ensemble du patrimoine numérique et sert de philosophie de sécurité intégrée et de stratégie de bout en bout.
Cette illustration fournit une représentation des éléments principaux qui contribuent à Confiance nulle.
Dans l’illustration :
- L’application de la stratégie de sécurité est au centre d’une architecture Confiance nulle. Cela inclut l’authentification multifacteur avec l’accès conditionnel qui prend en compte le risque lié au compte d’utilisateur, les status d’appareils et d’autres critères et stratégies que vous définissez.
- Les identités, les appareils, les données, les applications, le réseau et d’autres composants d’infrastructure sont tous configurés avec une sécurité appropriée. Les stratégies configurées pour chacun de ces composants sont coordonnées avec votre stratégie globale de Confiance nulle. Par exemple, les stratégies d’appareil déterminent les critères pour les appareils sains et les stratégies d’accès conditionnel nécessitent des appareils sains pour l’accès à des applications et des données spécifiques.
- La protection contre les menaces et les renseignements surveillent l’environnement, exposent les risques actuels et prennent des mesures automatisées pour corriger les attaques.
Pour plus d'informations sur Confiance nulle, consultez le Centre de conseils Confiance nulle de Microsoft.
Déploiement de Confiance nulle pour Microsoft 365
Microsoft 365 est conçu intentionnellement avec de nombreuses fonctionnalités de sécurité et de protection des informations pour vous aider à créer des Confiance nulle dans votre environnement. De nombreuses fonctionnalités peuvent être étendues pour protéger l’accès à d’autres applications SaaS que votre organisation utilise et les données de ces applications.
Cette illustration représente le travail de déploiement de fonctionnalités de Confiance nulle. Ce travail est aligné sur les scénarios métiers Confiance nulle dans le cadre d’adoption de Confiance nulle.
Dans cette illustration, le travail de déploiement est classé en cinq couloirs de nage :
- Sécuriser le travail distant et hybride : ce travail crée une base de protection des identités et des appareils.
- Empêcher ou réduire les dommages d’entreprise à la suite d'une violation. La protection contre les menaces assure une surveillance et une correction en temps réel des menaces de sécurité. Defender for Cloud Apps fournit la découverte d’applications SaaS, y compris les applications IA, et vous permet d’étendre la protection des données à ces applications.
- Identifier et protéger les données métier sensibles : les fonctionnalités de protection des données fournissent des contrôles sophistiqués ciblés sur des types de données spécifiques pour protéger vos informations les plus précieuses.
- Sécuriser les applications et données IA : protégez rapidement l’utilisation des applications IA de votre organisation et les données avec lesquelles elles interagissent.
- Respectez les exigences réglementaires et de conformité : comprenez et suivez vos progrès en matière de conformité aux réglementations qui affectent votre organisation.
Cet article suppose que vous utilisez l’identité cloud. Si vous avez besoin d’aide pour cet objectif, consultez Deploy your identity infrastructure for Microsoft 365.
Conseil / Astuce
Lorsque vous comprenez les étapes et le processus de déploiement de bout en bout, vous pouvez utiliser le Configurer votre modèle de sécurité Microsoft Confiance nulle guide de déploiement avancé lors de la connexion au Centre d’administration Microsoft 365. Ce guide vous guide tout au long de l’application de principes Confiance nulle pour les piliers de la technologie standard et avancée.
Couloir de nage 1 - Sécuriser le travail à distance et hybride
La sécurisation du travail à distance et hybride implique la configuration de la protection des identités et de l’accès aux appareils. Ces protections contribuent au principe Confiance nulle verifier explicitement.
Effectuez le travail de sécurisation du travail à distance et hybride en trois phases.
Phase 1 : implémenter des stratégies d’identité et d’accès aux appareils de point de départ
Microsoft recommande un ensemble complet de stratégies d’accès aux identités et aux appareils pour Confiance nulle dans ce guide : Confiance nulle configurations d’identité et d’accès aux appareils.
Dans la phase 1, commencez par implémenter le niveau de point de départ. Ces stratégies ne nécessitent pas l’inscription d’appareils dans la gestion.
Accédez à Confiance nulle protection des identités et des accès aux appareils pour obtenir des conseils préscriptifs détaillés. Cette série d'articles décrit un ensemble de configurations préalables pour l'identité et l'accès aux appareils, ainsi qu'un ensemble de politiques Accès conditionnel Microsoft Entra, Microsoft Intune et d'autres stratégies pour sécuriser l'accès à Microsoft 365 pour les applications et services cloud d'entreprise, aux autres services SaaS et aux applications locales publiées avec le proxy d'application Microsoft Entra.
| Comprend | Conditions préalables | N’inclut pas |
|---|---|---|
Stratégies d’identité et d’accès aux appareils recommandées pour trois niveaux de protection :
Recommandations supplémentaires pour :
|
Microsoft E3 ou E5 Microsoft Entra ID dans l’un des modes suivants :
|
Enrôlement des appareils pour les stratégies qui nécessitent des appareils gérés. Consultez Gérer les appareils avec Intune pour inscrire des appareils. |
Phase 2 : inscrire des appareils dans la gestion avec Intune
Ensuite, inscrivez vos appareils dans la gestion et commencez à les protéger avec des contrôles plus sophistiqués.
Consultez Gérer les appareils avec Intune pour obtenir des conseils préscriptifs détaillés sur l’inscription des appareils dans la gestion.
| Comprend | Conditions préalables | N’inclut pas |
|---|---|---|
Inscrire des appareils avec Intune :
Configurer des stratégies :
|
Inscrire des points de terminaison avec Microsoft Entra ID | Configuration des fonctionnalités de protection des informations, notamment :
Pour ces capacités, consultez le couloir de nage 3 — Détection et protection des données d'entreprise sensibles (plus loin dans cet article). |
Pour plus d’informations, consultez Confiance nulle pour Microsoft Intune.
Phase 3 : Ajouter la protection de l’accès des appareils et de l’identité Confiance nulle : politiques d'entreprise.
Avec les appareils inscrits dans la gestion, vous pouvez désormais implémenter l’ensemble complet de stratégies d’identité et d’accès aux appareils recommandées Confiance nulle, nécessitant des appareils conformes.
Revenez aux stratégies communes d'accès aux identités et appareils et ajoutez les stratégies à l'échelon Entreprise.
En savoir plus sur la sécurisation du travail distant et hybride dans le framework d’adoption Confiance nulle — Travail distant et hybride sécurisé.
Ligne de défense 2 : empêcher ou réduire les dommages subis par l'entreprise en cas de violation de données.
Microsoft Defender XDR est une solution de détection et de réponse étendue (XDR) qui collecte, met en corrélation et analyse automatiquement les données de signal, de menace et d’alerte dans votre environnement de Microsoft 365, y compris le point de terminaison, l’e-mail, les applications et les identités. En outre, Microsoft Defender for Cloud Apps aide les organisations à identifier et à gérer l’accès aux applications SaaS, y compris les applications GenAI.
Empêchez ou réduisez les dommages subis par l'entreprise en cas d'intrusion en mettant en pilote et en déployant Microsoft Defender XDR.
Accédez à Pilot et déployez Microsoft Defender XDR pour obtenir un guide méthode pour piloter et déployer des composants Microsoft Defender XDR.
| Comprend | Conditions préalables | N’inclut pas |
|---|---|---|
Configurez l’environnement d’évaluation et pilote pour tous les composants :
Protéger contre les menaces Examiner les menaces et y répondre |
Consultez les instructions pour en savoir plus sur les exigences d’architecture pour chaque composant de Microsoft Defender XDR. | Protection Microsoft Entra ID n'est pas inclus dans ce guide de solution. Il est inclus dans la voie 1 — Travail distant et hybride sécurisé. |
Apprenez-en davantage sur la façon d’empêcher ou de réduire les dommages aux entreprises d’une violation dans le cadre d’adoption Confiance nulle — Prevent ou réduisez les dommages causés par une violation.
Couloir de nage 3 : identifier et protéger les données métier sensibles
Implémentez Protection des données Microsoft Purview pour vous aider à découvrir, classifier et protéger des informations sensibles où qu’elles se trouvent ou voyagent.
Protection des données Microsoft Purview fonctionnalités sont incluses dans Microsoft Purview et vous donnent les outils permettant de connaître vos données, de protéger vos données et d’éviter toute perte de données. Vous pouvez commencer ce travail à tout moment.
Protection des données Microsoft Purview fournit une infrastructure, un processus et des fonctionnalités que vous pouvez utiliser pour atteindre vos objectifs métier spécifiques.
Pour plus d’informations sur la planification et le déploiement de la protection des informations, consultez Deploy a Protection des données Microsoft Purview solution.
Découvrez comment identifier et protéger les données métier sensibles dans le cadre d’adoption Confiance nulle — Identifier et protéger les données métier sensibles.
Couloir de natation 4 : sécuriser les applications et les données d’IA
Microsoft 365 inclut des fonctionnalités permettant aux organisations de sécuriser rapidement les applications IA et les données utilisées.
Commencez par utiliser Purview Gestion de la posture de sécurité des données (DSPM) pour l’IA. Cet outil se concentre sur la façon dont l’IA est utilisée dans vos organization, en particulier vos données sensibles qui interagissent avec les outils IA. DSPM pour IA fournit des insights plus approfondis pour Microsoft Copilots et les applications SaaS tierces telles que ChatGPT Enterprise et Google Gemini.
Le diagramme suivant montre l’une des vues agrégées sur l’impact de l’utilisation de l’IA sur vos données : Interactions sensibles par application d’IA générative.
Utilisez DSPM pour l’IA pour :
- Bénéficiez d’une visibilité sur l’utilisation de l’IA, y compris les données sensibles.
- Passez en revue les analyses et évaluations des données pour en savoir plus sur les lacunes en matière de partage excessif qui peuvent être atténuées avec les contrôles de partage excessif de SharePoint.
- Recherchez les lacunes dans la couverture de votre stratégie pour les étiquettes de confidentialité et les stratégies de protection contre la perte de données (DLP).
Defender for Cloud Apps est un autre outil puissant pour découvrir et régir les applications et l’utilisation SaaS GenAI. Defender for Cloud Apps inclut plus d’un millier d’applications liées à l’IA générative dans le catalogue, ce qui donne une visibilité sur l’utilisation des applications IA génératives dans votre organisation et vous aide à les gérer en toute sécurité.
En plus de ces outils, Microsoft 365 fournit un ensemble complet de fonctionnalités pour la sécurisation et la gouvernance de l’IA. Consultez Découvrir, protéger et régir les applications et données IA pour découvrir comment commencer à utiliser ces fonctionnalités.
Le tableau suivant répertorie les fonctionnalités de Microsoft 365 avec des liens vers des informations supplémentaires dans la bibliothèque Security for AI.
Couloir de nage 5 : respecter les exigences réglementaires et de conformité
Indépendamment de la complexité de l’environnement informatique de votre organization ou de la taille de votre organization, les nouvelles exigences réglementaires susceptibles d’affecter votre entreprise s’additionnent continuellement. Une approche Confiance nulle dépasse souvent certains types d’exigences imposées par les réglementations de conformité, par exemple celles qui contrôlent l’accès aux données personnelles. Les organisations qui ont implémenté une approche Confiance nulle peuvent trouver qu’elles répondent déjà à certaines conditions nouvelles ou peuvent facilement s’appuyer sur leur architecture Confiance nulle pour être conforme.
Microsoft 365 inclut des fonctionnalités permettant d’aider à la conformité réglementaire, notamment :
- Responsable conformité
- Explorateur de contenu
- Stratégies de rétention, étiquettes de confidentialité et stratégies DLP
- Conformité des communications
- Gestion du cycle de vie des données
- Gestion des risques de confidentialité Priva
Utilisez les ressources suivantes pour répondre aux exigences réglementaires et de conformité.
| Ressource | Plus d’informations |
|---|---|
| Cadre d'adoption de Confiance nulle — Répondre aux exigences réglementaires et de conformité | Décrit une approche méthodique que votre organization peut suivre, notamment la définition de la stratégie, la planification, l’adoption et la gouvernance. |
| Gouverner les applications et les données IA pour la conformité réglementaire | Traite de la conformité réglementaire pour les nouvelles réglementations liées à l’IA, y compris des fonctionnalités spécifiques qui aident. |
| Confidentialité des données et protection des données avec Microsoft Priva et Microsoft Purview | Évaluez les risques et prenez les mesures appropriées pour protéger les données personnelles dans l'environnement de votre organisation à l'aide de Microsoft Priva et de Microsoft Purview. |
Étapes suivantes
En savoir plus sur Confiance nulle en visitant le centre d’aide Confiance nulle.