Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit un plan de déploiement pour créer Confiance nulle sécurité avec Microsoft 365. Confiance nulle est un modèle de sécurité qui suppose une violation et vérifie chaque requête comme si elle provient d’un réseau non contrôlé. Quelle que soit l’origine de la requête ou la ressource qu’elle accède, le modèle Confiance nulle nous apprend à « ne jamais faire confiance, toujours vérifier ».
Utilisez cet article avec cette affiche.
| Élément | Descriptif |
|---|---|
PDF | Visio Mise à jour d’avril 2025 |
Guides de solutions associés
|
principes et architecture de Confiance nulle
Confiance nulle est une stratégie de sécurité. Ce n’est pas un produit ou un service, mais une approche dans la conception et l’implémentation de l’ensemble de principes de sécurité suivants.
| Principe | Descriptif |
|---|---|
| Vérifiez explicitement. | Authentifiez et autorisez toujours en fonction de tous les points de données disponibles. |
| Utiliser l'accès avec le moindre privilège | Limitez l'accès utilisateur avec les concepts Just-In-Time (juste-à-temps) et Just-Enough-Access, des stratégies adaptatives basées sur les risques et la protection des données. |
| Supposer une violation | Réduisez le rayon d’explosion et segmentez l’accès. Vérifiez le chiffrement de bout en bout et utilisez l'analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses. |
Les conseils de cet article vous aident à appliquer ces principes en implémentant des fonctionnalités avec Microsoft 365.
Une approche Confiance nulle s’étend dans l’ensemble du patrimoine numérique et sert de philosophie de sécurité intégrée et de stratégie de bout en bout.
Cette illustration fournit une représentation des éléments principaux qui contribuent à Confiance nulle.
Dans l’illustration :
- L’application de la stratégie de sécurité est au centre d’une architecture Confiance nulle. Cela inclut l’authentification multifacteur avec l’accès conditionnel qui prend en compte le risque lié au compte d’utilisateur, les status d’appareils et d’autres critères et stratégies que vous définissez.
- Les identités, les appareils, les données, les applications, le réseau et d’autres composants d’infrastructure sont tous configurés avec une sécurité appropriée. Les stratégies configurées pour chacun de ces composants sont coordonnées avec votre stratégie globale de Confiance nulle. Par exemple, les stratégies d’appareil déterminent les critères pour les appareils sains et les stratégies d’accès conditionnel nécessitent des appareils sains pour l’accès à des applications et des données spécifiques.
- La protection contre les menaces et les renseignements surveillent l’environnement, exposent les risques actuels et prennent des mesures automatisées pour corriger les attaques.
Pour plus d'informations sur Confiance nulle, consultez le Confiance nulle Centre d'aide.
Déploiement de Confiance nulle pour Microsoft 365
Microsoft 365 est conçu intentionnellement avec de nombreuses fonctionnalités de sécurité et de protection des informations pour vous aider à créer des Confiance nulle dans votre environnement. De nombreuses fonctionnalités peuvent être étendues pour protéger l’accès à d’autres applications SaaS que votre organisation utilise et les données de ces applications.
Cette illustration représente le travail de déploiement de fonctionnalités de Confiance nulle. Ce travail est aligné sur les scénarios métier Confiance nulle dans le cadre d'adoption Confiance nulle.
Dans cette illustration, le travail de déploiement est classé en cinq couloirs de nage :
- Travail à distance et hybride sécurisé : ce travail crée une base de protection des identités et des appareils.
- Empêcher ou réduire les dommages à l’entreprise causés par une violation : la protection contre les menaces fournit une surveillance et une correction en temps réel des menaces de sécurité. Defender for Cloud Apps permet de découvrir les applications SaaS, y compris les applications IA, et d’étendre la protection des données à ces applications.
- Identifier et protéger les données métier sensibles : les fonctionnalités de protection des données fournissent des contrôles sophistiqués ciblant des types de données spécifiques pour protéger vos informations les plus précieuses.
- Sécuriser les applications et les données IA : protégez rapidement l’utilisation des applications IA par votre organization et les données avec lesquelles elles interagissent.
- Répondre aux exigences réglementaires et de conformité : comprenez et suivez vos progrès en matière de conformité aux réglementations qui affectent vos organization.
Cet article suppose que vous utilisez l’identité cloud. Si vous avez besoin d’aide pour cet objectif, consultez Deploy your identity infrastructure for Microsoft 365.
Conseil / Astuce
Lorsque vous comprenez les étapes et le processus de déploiement de bout en bout, vous pouvez utiliser la Configurer votre modèle de sécurité Microsoft Confiance nulle guide de déploiement avancé lors de la connexion au centre d’administration Microsoft 365. Ce guide vous guide tout au long de l’application de principes Confiance nulle pour les piliers de la technologie standard et avancée.
Couloir de nage 1 - Sécuriser le travail à distance et hybride
La sécurisation du travail à distance et hybride implique la configuration de la protection des identités et de l’accès aux appareils. Ces protections contribuent au principe Confiance nulle verifier explicitement.
Effectuez le travail de sécurisation du travail à distance et hybride en trois phases.
Phase 1 : implémenter des stratégies d’identité et d’accès aux appareils de point de départ
Microsoft recommande un ensemble complet de stratégies d’accès aux identités et aux appareils pour Confiance nulle dans ce guide : Confiance nulle configurations d’accès aux identités et aux appareils.
Dans la phase 1, commencez par implémenter le niveau de point de départ. Ces stratégies ne nécessitent pas l’inscription d’appareils dans la gestion.
Accédez à la protection des identités et des accès aux appareils de type Confiance nulle pour obtenir des conseils prescriptifs détaillés. Cette série d’articles décrit un ensemble de configurations préalables pour l’identité et l’accès aux appareils, ainsi qu'un ensemble de stratégies Microsoft Entra Conditional Access, Microsoft Intune et d'autres politiques visant à sécuriser l’accès à Microsoft 365 pour les applications et services cloud d'entreprise, à d’autres services SaaS et aux applications locales publiées avec le proxy d’application Microsoft Entra.
| Comprend | Conditions préalables | N’inclut pas |
|---|---|---|
Stratégies d’identité et d’accès aux appareils recommandées pour trois niveaux de protection :
Recommandations supplémentaires pour :
|
Microsoft E3 ou E5 Microsoft Entra ID dans l’un des modes suivants :
|
Enrôlement des appareils pour les stratégies qui nécessitent des appareils gérés. Consultez Gérer des appareils avec Intune pour inscrire des appareils. |
Phase 2 : inscrire des appareils dans la gestion avec Intune
Ensuite, inscrivez vos appareils dans la gestion et commencez à les protéger avec des contrôles plus sophistiqués.
Consultez Gérer des appareils avec Intune pour obtenir des instructions normatives détaillées sur l’inscription des appareils dans la gestion.
| Comprend | Conditions préalables | N’inclut pas |
|---|---|---|
Inscrire des appareils avec Intune :
Configurer des stratégies :
|
Inscrire des points de terminaison avec Microsoft Entra ID | Configuration des fonctionnalités de protection des informations, notamment :
Pour ces fonctionnalités, consultez Swim lane 3 - Identifier et protéger les données métier sensibles (plus loin dans cet article). |
Pour plus d’informations, consultez Confiance nulle pour Microsoft Intune.
Phase 3 — Ajouter une protection Confiance nulle de l'identité et de l'accès aux appareils : stratégies d'entreprise
Avec les appareils inscrits dans la gestion, vous pouvez désormais implémenter l’ensemble complet de stratégies d’identité et d’accès aux appareils recommandées Confiance nulle, nécessitant des appareils conformes.
Revenez à Stratégies d’identité et d’accès aux appareils courantes et ajoutez les stratégies au niveau Entreprise.
En savoir plus sur la sécurisation du travail distant et hybride dans le framework d’adoption Confiance nulle — Travail distant et hybride sécurisé.
Ligne de défense 2 : empêcher ou réduire les dommages subis par l'entreprise en cas de violation de données.
Microsoft Defender XDR est une solution de détection et de réponse étendue (XDR) qui collecte, met en corrélation et analyse automatiquement les données de signal, de menace et d’alerte dans votre environnement de Microsoft 365, y compris le point de terminaison, l’e-mail, les applications et les identités. En outre, Microsoft Defender for Cloud Apps aide les organisations à identifier et à gérer l’accès aux applications SaaS, y compris les applications GenAI.
Réduisez ou empêchez les dommages commerciaux d'une faille en pilotant et en déployant Microsoft Defender XDR.
Accédez à Pilot et déployez Microsoft Defender XDR pour obtenir un guide méthode pour piloter et déployer des composants Microsoft Defender XDR.
| Comprend | Conditions préalables | N’inclut pas |
|---|---|---|
Configurez l’environnement d’évaluation et pilote pour tous les composants :
Protéger contre les menaces Examiner les menaces et y répondre |
Consultez les instructions pour en savoir plus sur les exigences d’architecture pour chaque composant de Microsoft Defender XDR. | Protection Microsoft Entra ID n'est pas inclus dans ce guide de solution. Il est inclus dans swim lane 1 - Travail à distance et hybride sécurisé. |
Apprenez-en davantage sur la façon d’empêcher ou de réduire les dommages aux entreprises d’une violation dans le cadre d’adoption Confiance nulle — Prevent ou réduisez les dommages causés par une violation.
Couloir de nage 3 : identifier et protéger les données métier sensibles
Implémentez Microsoft Purview Information Protection pour vous aider à découvrir, classifier et protéger des informations sensibles où qu’elles se trouvent ou voyagent.
Microsoft Purview Information Protection fonctionnalités sont incluses dans Microsoft Purview et vous donnent les outils permettant de connaître vos données, de protéger vos données et d’éviter toute perte de données. Vous pouvez commencer ce travail à tout moment.
Microsoft Purview Information Protection fournit une infrastructure, un processus et des fonctionnalités que vous pouvez utiliser pour atteindre vos objectifs métier spécifiques.
Pour plus d’informations sur la planification et le déploiement de information protection, consultez Deploy a Microsoft Purview Information Protection solution.
Découvrez comment identifier et protéger les données métier sensibles dans le cadre d’adoption Confiance nulle — Identifier et protéger les données métier sensibles.
Couloir de natation 4 : sécuriser les applications et les données d’IA
Microsoft 365 inclut des fonctionnalités permettant aux organisations de sécuriser rapidement les applications IA et les données utilisées.
Commencez par utiliser Purview Gestion de la posture de sécurité des données (DSPM) pour l’IA. Cet outil se concentre sur la façon dont l’IA est utilisée dans vos organization, en particulier vos données sensibles qui interagissent avec les outils IA. DSPM pour l’IA fournit des insights plus approfondis pour Microsoft Copilots et les applications SaaS tierces comme ChatGPT Enterprise et Google Gemini.
Le diagramme suivant montre l’une des vues agrégées sur l’impact de l’utilisation de l’IA sur vos données : Interactions sensibles par application d’IA générative.
Diagramme montrant les interactions sensibles par application IA générative.
Utilisez DSPM pour l’IA pour :
- Bénéficiez d’une visibilité sur l’utilisation de l’IA, y compris les données sensibles.
- Passez en revue les évaluations des données pour en savoir plus sur les lacunes en matière de partage excessif qui peuvent être atténuées avec les contrôles de partage excessif de SharePoint.
- Recherchez les lacunes dans la couverture de votre stratégie pour les étiquettes de confidentialité et les stratégies de protection contre la perte de données (DLP).
Defender for Cloud Apps est un autre outil puissant pour découvrir et régir l’utilisation des applications GenAI SaaS. Defender for Cloud Apps inclut plus d’un millier d’applications liées à l’IA générative dans le catalogue, ce qui offre une visibilité sur la façon dont les applications d’IA génératives sont utilisées dans votre organization et vous aide à les gérer en toute sécurité.
En plus de ces outils, Microsoft 365 fournit un ensemble complet de fonctionnalités pour la sécurisation et la gouvernance de l’IA. Consultez Découvrir, protéger et gouverner les données et les applications IA pour savoir comment commencer à utiliser ces fonctionnalités.
Le tableau suivant répertorie les fonctionnalités de Microsoft 365 avec des liens vers des informations supplémentaires dans la bibliothèque Security for AI.
| Capacité | Plus d’informations |
|---|---|
| SharePoint contrôles de partage excessif, y compris SharePoint Advanced Management | Appliquer les contrôles de surpartage SharePoint |
| DSPM pour l’IA | Obtenez une visibilité sur l'utilisation de l'IA avec DSPM pour l'IA Protéger les données via DSPM pour l’IA |
| Étiquettes de confidentialité et stratégies DLP | Continuer à identifier les lacunes dans les étiquettes de confidentialité et les stratégies DLP |
| Gestion des risques internes (IRM) : modèle de stratégie d’utilisation de l’IA risquée | Appliquer le modèle d’IA à risque |
| Protection adaptative | Configurer la protection adaptative pour la gestion des risques internes |
| Defender pour les applications Cloud | Découvrir, approuver et bloquer les applications IA Trier et protéger l’utilisation des applications IA Gérer les applications IA en fonction du risque de conformité |
| Gestionnaire de conformité Purview | Créer et gérer des évaluations pour les réglementations liées à l’IA |
| Conformité des communications Purview | Analyser les invites et les réponses entrées dans les applications d’IA génératives pour détecter les interactions inappropriées ou risquées ou le partage d’informations confidentielles |
| Gestion du cycle de vie des données Purview | Supprimer de manière proactive le contenu que vous n’avez plus besoin de conserver pour réduire le risque de surexposition des données dans les outils d’IA |
| découverte électronique | Rechercher des mots clés dans les sollicitations et les réponses, gérer les résultats au sein des cas de découverte électronique |
| Journaux d’audit pour les activités Copilot et IA | identifier comment, quand et où Copilot interactions se sont produites et quels éléments ont été accessibles, y compris les étiquettes de confidentialité sur ces éléments |
| Évaluations de confidentialité Priva | Lancer des évaluations d’impact sur la confidentialité pour les applications IA que vous créez |
Couloir de nage 5 : respecter les exigences réglementaires et de conformité
Indépendamment de la complexité de l’environnement informatique de votre organization ou de la taille de votre organization, les nouvelles exigences réglementaires susceptibles d’affecter votre entreprise s’additionnent continuellement. Une approche Confiance nulle dépasse souvent certains types d’exigences imposées par les réglementations de conformité, par exemple celles qui contrôlent l’accès aux données personnelles. Les organisations qui ont implémenté une approche Confiance nulle peuvent trouver qu’elles répondent déjà à certaines conditions nouvelles ou peuvent facilement s’appuyer sur leur architecture Confiance nulle pour être conforme.
Microsoft 365 inclut des fonctionnalités permettant d’aider à la conformité réglementaire, notamment :
- Responsable conformité
- Explorateur de contenu
- Stratégies de rétention, étiquettes de confidentialité et stratégies DLP
- Conformité des communications
- Gestion du cycle de vie des données
- Priva Gestion des Risques de Confidentialité
Utilisez les ressources suivantes pour répondre aux exigences réglementaires et de conformité.
| Ressource | Plus d’informations |
|---|---|
| Framework d’adoption Confiance nulle — Exigences réglementaires et de conformité | Décrit une approche méthodique que votre organization peut suivre, notamment la définition de la stratégie, la planification, l’adoption et la gouvernance. |
| Gouverner les applications et les données IA pour la conformité réglementaire | Traite de la conformité réglementaire pour les nouvelles réglementations liées à l’IA, y compris des fonctionnalités spécifiques qui aident. |
| Confidentialité des données et protection des données avec Microsoft Priva et Microsoft Purview | Évaluez les risques et prenez les mesures appropriées pour protéger les données personnelles dans l'environnement de votre organisation à l'aide de Microsoft Priva et de Microsoft Purview. |
Étapes suivantes
En savoir plus sur Confiance nulle en visitant le centre d’aide Confiance nulle.