Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les points de terminaison sont des appareils qui accèdent aux ressources et applications d’une organisation. Les espaces de travail modernes incluent différents appareils qui demandent l’accès à partir de l’intérieur et de l’extérieur du réseau d’entreprise.
Les solutions confiance zéro pour les points de terminaison concernent la vérification de la sécurité des appareils qui accèdent aux données professionnelles, y compris les applications qui s’exécutent sur les appareils. Les partenaires peuvent s’intégrer aux solutions de point de terminaison de Microsoft pour vérifier la sécurité des appareils et des applications, appliquer des stratégies de privilège minimum et préparer à l’avance les violations.
Ce guide est destiné aux fournisseurs de logiciels et aux partenaires technologiques qui souhaitent améliorer leurs solutions de sécurité de point de terminaison en s’intégrant à des produits Microsoft.
Guide d’intégration Zero Trust pour les terminaux
Ce guide d’intégration inclut des instructions pour l’intégration avec les produits suivants :
- Microsoft Defender pour point de terminaison, qui aide les réseaux d’entreprise à prévenir, détecter, examiner et répondre aux menaces avancées.
- Microsoft Intune, qui fournit une protection et une sécurité pour les appareils utilisés par les employés et les applications qui s’exécutent sur ces appareils.
- Microsoft Defender pour IoT, qui assure la sécurité sur vos réseaux de technologie opérationnelle (OT).
Microsoft Defender pour Endpoint
Microsoft Defender pour point de terminaison est une plateforme de sécurité des points de terminaison d’entreprise conçue pour aider les réseaux d’entreprise à prévenir, détecter, enquêter et répondre aux menaces avancées. Il utilise une combinaison de capteurs comportementaux de point de terminaison, d’analytique de sécurité cloud et de renseignement sur les menaces.
Defender pour point de terminaison prend en charge les applications non-Microsoft pour améliorer les fonctionnalités de détection, d’investigation et de renseignement sur les menaces de la plateforme. En outre, les partenaires peuvent étendre leurs offres de sécurité existantes en plus de l’infrastructure ouverte et un ensemble complet et complet d’API pour créer des extensions et des intégrations avec Defender pour point de terminaison.
La page opportunités et scénarios pour les partenaires de Microsoft Defender pour les points de terminaison décrit plusieurs catégories d'intégrations prises en charge. En outre, d’autres idées pour les scénarios d’intégration peuvent inclure :
- Optimisation de la correction des menaces : Microsoft Defender Endpoint peut prendre des réponses instantanées ou assistées par les opérateurs pour traiter les alertes. Les partenaires peuvent utiliser les actions de réponse de point de terminaison telles que l’isolation de la machine, la mise en quarantaine des fichiers pour bloquer l’IoC sur le point de terminaison managé.
- Combiner le contrôle d’accès réseau avec la sécurité des appareils : les scores de risque ou d’exposition peuvent être utilisés pour implémenter et appliquer des stratégies pour l’accès réseau et aux applications.
Pour devenir un partenaire de solution Defender pour point de terminaison, vous devez suivre et suivre les étapes décrites dans Devenir un partenaire Microsoft Defender pour point de terminaison.
Microsoft Intune
Microsoft Intune, qui inclut le service Microsoft Intune et Microsoft Configuration Manager, fournit une protection et une sécurité pour les appareils utilisés par les employés et les applications qui s’exécutent sur ces appareils. Intune inclut des stratégies de conformité des appareils qui garantissent que les employés accèdent aux applications et aux données des appareils qui répondent aux stratégies de sécurité de l’entreprise. Il inclut également des stratégies de protection des applications qui fournissent des contrôles de sécurité basés sur l’application pour les appareils entièrement gérés et appartenant aux employés.
Pour s’intégrer à Microsoft Intune, les éditeurs de logiciels indépendants utilisent Microsoft Graph et le Kit de développement logiciel (SDK) de gestion des applications Microsoft Intune. L’intégration d’Intune à l’API Microsoft Graph permet l’une des mêmes fonctionnalités offertes par la console d’administration pour Intune. Des informations telles que l’état de conformité de l’appareil, la configuration de la stratégie de conformité, les paramètres de stratégie de protection des applications et bien plus encore sont disponibles via l’API Microsoft Graph. En outre, vous pouvez automatiser des tâches dans Intune qui améliorent davantage l’histoire confiance zéro de votre client. Des conseils généraux sur l’utilisation d’Intune dans Microsoft Graph sont disponibles dans le référentiel de documentation Microsoft Graph. Ici, nous nous concentrons sur les scénarios liés à La Confiance Zéro.
Vérifier que les appareils respectent les normes de sécurité et de conformité
Les solutions ISV peuvent utiliser les informations de stratégie et de conformité des appareils d’Intune pour prendre en charge le principe confiance zéro de Vérifier explicitement. Les données de conformité sur les utilisateurs et les appareils d’Intune permettent à l’application de l’éditeur de logiciels indépendants de déterminer la posture de risque d’un appareil en ce qui concerne l’utilisation de l’application. En effectuant ces vérifications, l’éditeur de logiciels indépendants garantit que les appareils qui utilisent le service sont conformes aux normes et stratégies de sécurité et de conformité des clients.
L’API Microsoft Graph permet aux éditeurs de logiciels indépendants de s’intégrer à Intune via un ensemble d’API RESTful. Ces API sont les mêmes que celles utilisées par le Centre d’administration Microsoft Intune pour afficher, créer, gérer, déployer et signaler toutes les actions, données et activités dans Intune. Les éléments d’intérêt spécifique pour les éditeurs de logiciels indépendants prenant en charge les initiatives confiance zéro sont la possibilité d’afficher l’état de conformité des appareils et de configurer des règles et des stratégies de conformité. Consultez les recommandations de Microsoft relatives à l’utilisation de l’ID Microsoft Entra et d’Intune pour la configuration et la conformité confiance zéro : sécuriser les points de terminaison avec confiance zéro. Les règles de conformité d’Intune sont fondamentales pour la prise en charge de l’accès conditionnel basé sur les appareils via l’ID Microsoft Entra. Les éditeurs de logiciels indépendants devraient également considérer la fonctionnalité d'accès conditionnel et les API pour comprendre comment mener à bien les scénarios de conformité des utilisateurs et des appareils ainsi que d'accès conditionnel.
Idéalement en tant qu’éditeur de logiciels indépendants, votre application se connecte aux API Microsoft Graph en tant qu’application cloud et établit une connexion de service à service. Les applications mutualisées fournissent aux éditeurs de logiciels indépendants une définition et un contrôle centralisés de l'application et permettent aux clients de donner leur consentement individuel à un logiciel d'éditeur de logiciels indépendants qui fonctionne avec leurs données de locataire. Passez en revue les informations sur la location dans Microsoft Entra ID pour l’inscription et la création d’applications Microsoft Entra uniques ou mutualisées. L’authentification de votre application peut utiliser l’ID Microsoft Entra pour l’authentification unique.
Après avoir créé votre application, vous devez accéder aux informations d’appareil et de conformité à l’aide de l’API Microsoft Graph. Vous trouverez la documentation relative à l’utilisation de Microsoft Graph dans le centre de développement Microsoft Graph. L’API Microsoft Graph est un ensemble d’API RESTful qui suivent les normes ODATA pour l’accès aux données et l’interrogation.
Obtention de l’état de conformité de l’appareil
Ce diagramme montre comment les informations de conformité des appareils circulent de l’appareil vers votre solution ISV. Les appareils des utilisateurs finaux reçoivent des stratégies d’Intune, d’un partenaire MTD (Mobile Threat Defense) ou d’un partenaire de conformité GPM (Mobile Device Management). Une fois les informations de conformité collectées à partir des appareils, Intune calcule l’état de conformité global de chaque appareil et stocke celui-ci dans Microsoft Entra ID. En utilisant l’API Microsoft Graph, votre solution peut lire et répondre à l’état de conformité de l’appareil, en appliquant les principes de Confiance Zéro.
Lors de l’inscription à Intune, un enregistrement d’appareil est créé dans Intune avec d’autres détails sur l’appareil, y compris l’état de conformité de l’appareil. Intune transfère l’état de conformité de l’appareil à l’ID Microsoft Entra, où l’ID Microsoft Entra stocke également l’état de conformité avec chaque appareil. En effectuant une opération GET sur https://graph.microsoft.com/v1.0/deviceManagement/managedDevices, vous pouvez voir tous les dispositifs inscrits pour un client et leur état de conformité. Vous pouvez également interroger https://graph.microsoft.com/v1.0/devices pour obtenir la liste des appareils enregistrés et inscrits de Microsoft Entra et leur état de conformité.
Par exemple, cette demande :
GET https://graph.microsoft.com/v1.0/users/{usersId}/managedDevices/{managedDeviceId}
Retours :
HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 5095
{
"value": {
"@odata.type": "#microsoft.graph.managedDevice",
"id": "705c034c-034c-705c-4c03-5c704c035c70",
"userId": "User Id value",
"deviceName": "Device Name value",
"managedDeviceOwnerType": "company",
"enrolledDateTime": "2016-12-31T23:59:43.797191-08:00",
"lastSyncDateTime": "2017-01-01T00:02:49.3205976-08:00",
"complianceState": "compliant",
...
}
Vous pouvez également récupérer une liste de stratégies de conformité, de leurs déploiements et de l’état des utilisateurs et des appareils pour ces stratégies de conformité. Pour obtenir des informations sur la stratégie de conformité via Graph, commencez ici : Get deviceCompliancePolicy - Microsoft Graph v1.0. Un bon arrière-plan sur les stratégies de conformité des appareils et leur utilisation est ici : stratégies de conformité des appareils dans Microsoft Intune - Azure.
Après avoir identifié une stratégie spécifique, vous pouvez interroger pour obtenir l’état d’un appareil pour un paramètre de stratégie de conformité particulier. Par exemple, en supposant qu’une stratégie de conformité a été déployée pour exiger un code secret sur le verrou, interrogez Get deviceComplianceSettingState pour obtenir l’état spécifique de ce paramètre. Cette requête indique si l’appareil est conforme ou non conforme au paramètre de verrouillage du code secret. Cette même approche peut être utilisée pour d’autres stratégies de conformité des appareils déployées par les clients.
Les informations de conformité sont fondamentales pour la fonctionnalité d’accès conditionnel de Microsoft Entra ID. Intune détermine la conformité des appareils en fonction des stratégies de conformité et écrit l’état de conformité dans l’ID Microsoft Entra. Ensuite, les clients utilisent des stratégies d’accès conditionnel pour déterminer si des actions sont effectuées pour une non-conformité, y compris empêcher les utilisateurs d’accéder aux données d’entreprise à partir d’un appareil non conforme.
Pour plus d’informations sur l’intégration de la conformité des appareils avec l’accès conditionnel, consultez Stratégies de conformité des appareils dans Microsoft Intune.
Suivez le principe d’accès le moins privilégié
Un éditeur de logiciels indépendants qui s’intègre à Intune souhaite s’assurer que son application prend en charge le principe confiance zéro pour appliquer l’accès au privilège minimum. L’intégration Intune prend en charge deux méthodes importantes de contrôle d’accès : les autorisations déléguées ou les autorisations d’application. L’application de l’ÉDITEUR de logiciels indépendants doit utiliser l’un des modèles d’autorisation. Les autorisations déléguées vous donnent un contrôle précis sur les objets spécifiques dans Intune auxquels l’application a accès, mais nécessite qu’un administrateur se connecte avec ses informations d’identification. Par comparaison, les autorisations d’application permettent à l’application de l’éditeur de logiciels indépendants d’accéder ou de contrôler les classes de données et d’objets, plutôt que d’objets individuels spécifiques, mais n’exige pas qu’un utilisateur se connecte.
En plus de créer votre application en tant qu'application monoposte ou multilocataire (préférée), vous devez déclarer les autorisations déléguées ou d'application requises par votre application pour accéder aux informations Intune et effectuer des actions contre Intune. Affichez des informations sur la prise en main des autorisations ici : Configurez les autorisations d’application pour une API web.
Microsoft Defender pour IoT
Les architectures réseau ot (Operational Technology) diffèrent souvent de l’infrastructure informatique traditionnelle, à l’aide d’une technologie unique avec des protocoles propriétaires. Les appareils OT peuvent également avoir des plateformes vieillissantes avec une connectivité et une puissance limitées, ou des exigences de sécurité spécifiques et des expositions uniques aux attaques physiques.
Déployez Microsoft Defender pour IoT pour appliquer des principes de confiance zéro à votre réseau OT, en surveillant le trafic pour détecter des comportements anormaux ou non autorisés lorsque le trafic traverse des sites et des zones. Surveillez les menaces et les vulnérabilités spécifiques aux appareils OT, ce qui atténue les risques à mesure qu’ils sont détectés.
Accélérer les opérations en partageant des données Defender pour IoT sur votre centre d’opérations de sécurité (SOC) et d’autres parties de votre organisation. Intégrer aux services Microsoft, tels que Microsoft Sentinel et Defender pour Endpoint, ou d'autres services partenaires, y compris avec des systèmes SIEM ainsi que des systèmes de gestion de tickets. Par exemple:
Transférez les données d’alerte locales directement vers des SIEMs telles que Splunk, IBM QRadar, etc. Splunk et IBM QRadar prennent également en charge l’ingestion Event Hubs, que vous pouvez utiliser pour transférer des alertes cloud à partir de Defender pour IoT.
Intégrez le Gestionnaire de technologie opérationnelle de ServiceNow pour importer des données Defender pour IoT dans ServiceNow et des actions basées sur les risques avec le contexte du processus de production.
Pour plus d’informations, consultez :
- Bien démarrer avec la supervision de la sécurité OT
- Confiance zéro et vos réseaux OT
- Surveiller avec confiance zéro
- Catalogue d’intégration Defender pour IoT