Microsoft Graph sous votre politique.

GraphWarden est la couche de sécurité que Microsoft Graph n'inclut pas. Filtrage granulaire des API, secrets zero-knowledge et piste d'audit complète - déployé en moins de 60 minutes sans modifier le code de vos applications.

11
Types de conditions
9
Types de transformations
<60 min
Pour déployer
0
Secrets exposés
Prêt pour SOC 2
Conforme au RGPD
Compatible HIPAA
Loi 25 (Québec)
Architecture zero-knowledge
Azure Key Vault intégré

Le problème que tout le monde ignore

Microsoft Graph est puissant. Trop puissant.

Permissions horizontales

Accorder User.Read.All à une application lui donne accès à chaque utilisateur du locataire. Aucune exception. Aucun filtre. Microsoft n'offre aucun moyen natif de restreindre la portée.

Secrets dans le code

Vos scripts PowerShell, pipelines CI/CD et applications héritées - combien ont un ClientSecret codé en dur quelque part ? Et combien de personnes savent où ?

Rotation impossible

Un secret Graph expire ou est compromis. Maintenant, vous devez trouver et mettre à jour chaque script, chaque application, chaque pipeline qui l'utilise. Manuellement.

Aucune visibilité

Quelle application appelle Graph ? Quelles données lit-elle ? À quelle fréquence ? Microsoft Graph ne fournit aucune réponse granulaire. Vous naviguez à l'aveugle.

Conformité et données sensibles

mobilePhone, passwordProfile, onPremisesExtensionAttributes - des propriétés sensibles retournées automatiquement même quand l'application n'en a pas besoin. Le RGPD, SOC2, HIPAA et la Loi 25 ont tous un avis là-dessus.

Le problème des systèmes hérités

Des scripts PowerShell qui tournent depuis 2018 avec des identifiants que personne n'ose toucher. Ils fonctionnent. Personne ne sait comment. Renouveler leurs secrets casserait tout.

GraphWarden s'interpose. Intelligemment.

Un proxy léger déployé dans votre environnement. Vos applications ne changent presque rien.

BEFORE HR App Legacy Script SaaS App Microsoft Graph (entire tenant) AFTER HR App Legacy Script SaaS App Graph Warden filter + audit Microsoft Graph proxy credentials real credentials Secrets Management Your apps authenticate with GraphWarden using revocable proxy credentials. Real Graph secrets live in Azure Key Vault. Apps never see them. Rule Engine A YAML file defines granular rules: allowed methods, returned properties, object scope by AAD group. First-match evaluation across 11 condition types. Complete Audit Every call is logged: which app, which endpoint, which rule was triggered, how many objects were returned vs filtered. Immutable logs for compliance.

Gestion des secrets

Vos applications s'authentifient avec GraphWarden en utilisant des identifiants proxy révocables. Les vrais secrets Graph vivent dans Azure Key Vault - jamais exposés, jamais codés en dur.

Moteur de règles

Un seul fichier YAML définit des politiques granulaires : méthodes autorisées, propriétés retournées, portée par groupe AAD. 11 types de conditions avec évaluation premier-correspondant.

Audit complet

Chaque appel journalisé : quelle application, quel endpoint, quelle règle déclenchée, combien d'objets retournés vs filtrés. Piste d'audit immuable pour le RGPD, SOC2 et HIPAA.

Ce que GraphWarden n'est pas

GraphWarden n'est pas une passerelle API, un catalogue de gouvernance de données ni un tableau de bord SSPM. C'est un proxy d'exécution pour Microsoft Graph qui minimise les réponses par propriété et par objet, tout en gardant les identifiants du locataire en mode zero-knowledge. Aucune autre solution sur le marché ne fait cela à l'exécution pour Graph.

Sécurité de niveau entreprise pour Graph API

Des fonctionnalités sur mesure qui comblent le vide de gouvernance que Microsoft ne couvre pas. Chaque entreprise avec Microsoft 365 est un bénéficiaire potentiel.

Simulateur What-If

Testez les règles contre des données Graph réelles avant le déploiement en production. Voyez exactement ce qui serait filtré.

Explorateur Graph

Navigateur API interactif pour explorer les endpoints, visualiser l'impact des règles et déboguer les problèmes d'accès.

Tableaux de bord en temps réel

Surveillez toute l'activité Graph API de votre locataire depuis un seul panneau. Volumes de requêtes, déclenchements de règles, appels bloqués et temps de réponse - mis à jour en temps réel.

Alertes intelligentes

Six types d'alertes prêts à l'emploi : détection de force brute, identités orphelines, secrets expirants, délais de synchronisation, pics de blocage et modèles d'accès anormaux.

Transformations de données

Masquage, suppression, hachage, initiales, troncature, bruit, regex_replace, domain_only, constante.

Multi-locataire

Gérez des centaines d'organisations depuis un seul tableau de bord SaaS. L'agent proxy tourne dans chaque locataire ; le plan de contrôle centralise les politiques et la surveillance.

Scénarios concrets

Des applications RH aux scripts hérités en passant par les intégrations tierces - GraphWarden résout des problèmes que vous rencontrez aujourd'hui.

Application RH

Problème : L'application a User.Read.All et peut voir les 5 000 employés avec toutes leurs propriétés.

Avec GraphWarden :

! Without GraphWarden

The HR app sees all 5,000 users with 40+ properties including mobilePhone, passwordProfile, and home addresses.

With GraphWarden

The HR app sees only 47 HR department members with 5 properties: name, email, department, job title, and ID.

L'application ne voit que les 47 membres du groupe RH, avec 5 propriétés au lieu de 40+.

Script hérité

Problème : Un script qui tourne depuis 5 ans a un ClientSecret en clair.

Avec GraphWarden :

Before graph.microsoft.com
After your-server:5000

Change 2 lines in your script. Real credentials move to Azure Key Vault. If the proxy credential is compromised, revoke it instantly from the dashboard.

Le script ne change que 2 lignes. Les vrais identifiants sont dans Key Vault.

Bloquer les écritures

Problème : Une application ISV a User.ReadWrite.All mais ne devrait que lire.

Avec GraphWarden :

! Write Attempts

Any write attempt (PATCH, PUT, POST, DELETE) from the ISV returns 403 Forbidden, logged with full context for your security team.

Read Operations

Read operations continue normally with sensitive properties stripped. The ISV gets the data it needs - nothing more.

Toute tentative d'écriture retourne 403, journalisée avec l'identité de l'application. Les lectures continuent normalement.

Rotation des secrets

Problème : Le secret Graph expire dans 24 heures. 8 applications l'utilisent.

Avec GraphWarden :

  1. L'administrateur ouvre le tableau de bord GraphWarden
  2. Crée un nouveau secret dans Entra ID
  3. Met à jour le secret dans Key Vault via le tableau de bord
  4. GraphWarden invalide le cache de jetons
  5. Prochain appel API : nouveau jeton acquis automatiquement

Les 8 applications n'ont rien changé. Zéro temps d'arrêt. Zéro modification de code.

Apps SaaS → Graph

Problème : Vos applications SaaS synchronisent les données via Graph - et ont accès à tout le tenant.

Avec GraphWarden :

! Without GraphWarden

SaaS App sees all 5,000 tenant users with every property - executives, HR staff, IT admins, and service accounts included.

With GraphWarden

SaaS App sees only 320 authorized contacts with 6 properties: name, email, phone, job title, company, and ID. 10-minute cache reduces API load by 80%.

Les apps SaaS ne voient que les contacts autorisés, 6 propriétés, cache de 10 minutes. Aucun changement de configuration côté SaaS.

Conformité et audit

Problème : L'auditeur demande qui accède à quelles données M365 et comment.

Avec GraphWarden :

Every API call is logged with:

Which application made the request
The exact endpoint accessed
Which policy rule was triggered
Objects returned vs. filtered
Properties stripped from responses
Precise timestamp and response time

Documentation complète de l'accès aux données au niveau applicatif pour HIPAA, SOC2, RGPD et Loi 25.

Opérationnel en moins de 60 minutes

De l'inscription à votre premier appel Graph API sécurisé. Cloud ou on-premise - même processus, même résultat.

1

Ouvrez votre compte

Inscrivez-vous sur app.graphwarden.com. Votre tableau de bord organisation est prêt instantanément - aucune attente de provisionnement, aucun appel commercial requis pendant la bêta.

2

Connectez votre tenant Microsoft 365

Autorisez GraphWarden à accéder à votre tenant via Entra ID. Nous vous guidons étape par étape pour l'enregistrement d'application et la configuration Key Vault.

3

Choisissez votre déploiement

Les deux options sont incluses dans votre licence. Utilisez l'une ou les deux selon votre architecture.

Cloud hébergé

Nous opérons le proxy pour vous sur Azure (Canada, États-Unis ou Europe). Aucune infrastructure à gérer. Prêt en quelques minutes.

On-Premise

Installez un seul exécutable sur votre serveur Windows. Vos données ne quittent jamais votre réseau.

4

Définissez vos règles de sécurité

Configurez quelles applications peuvent accéder à quels endpoints, quelles propriétés retourner, et lesquelles supprimer ou transformer. Géré via le tableau de bord ou un fichier de configuration versionné.

5

Redirigez vos applications

Mettez à jour l'URL de base dans vos applications de graph.microsoft.com vers votre proxy GraphWarden. Pour la plupart des scripts, c'est un changement d'une seule ligne.

Vous êtes maintenant verrouillé

Chaque appel Graph API est désormais filtré, audité et contrôlé. Les propriétés sensibles sont supprimées. Les secrets sont dans Key Vault. Votre équipe conformité peut dormir tranquille.

Questions fréquentes

Non. GraphWarden est un proxy passif - les données passent à travers mais rien n'est stocké. Le cache optionnel est en mémoire uniquement et n'est jamais persisté sur disque.

Oui. L'agent proxy est un exécutable autonome qui tourne dans votre environnement. En mode on-premise, il n'y a aucune communication avec notre infrastructure. Vos données ne quittent jamais votre locataire.

Les applications ne peuvent plus atteindre Graph via le proxy. C'est un point unique de défaillance à considérer. Le mode actif-passif est disponible pour les déploiements haute disponibilité.

20-50ms de surcharge sur le réseau local. Moins de 5ms en servant depuis le cache. Intégration Redis optionnelle pour les charges de travail à haute fréquence.

Seulement l'URL de base et l'authentification. Pour les scripts PowerShell, c'est 2-3 lignes de changement. Pas de changement de SDK, pas de mise à jour de bibliothèque, pas de refonte architecturale.

Oui. Il opère sur les primitives OData communes. Une seule règle ciblant /users* couvre tous les sous-endpoints. Fonctionne avec les endpoints v1.0 et beta.

Les jetons n'existent que dans la mémoire du processus GraphWarden. Ils ne sont jamais retournés aux applications clientes, jamais écrits dans les journaux et jamais persistés sur disque.

Dev Proxy est un outil de développement pour les tests locaux. GraphWarden est un proxy de production 24/7 avec application de politiques, gestion des secrets, mise en cache et une piste d'audit complète.

Les deux. Le tableau de bord de gestion fonctionne sur app.graphwarden.com (SaaS). L'agent proxy tourne dans votre environnement - vos données ne transitent jamais par une infrastructure externe. Ce modèle hybride vous offre une gestion centralisée avec la souveraineté des données.

GraphWarden est actuellement en bêta. Nous travaillons avec un groupe restreint de partenaires de conception. Demandez une démo pour discuter de votre cas d'utilisation et obtenir un accès anticipé.

Conçu face aux cadres sur lesquels vous êtes audité

GraphWarden s'aligne sur sept cadres de conformité que les acheteurs d'entreprise et les auditeurs reconnaissent : Loi 25 (Québec), LPRPDE (Canada), RGPD (UE), HIPAA (États-Unis), SOC 2, ISO 27001 et OWASP API Security Top 10. Les identifiants Graph demeurent dans votre Azure Key Vault — le proxy émet des jetons mais ne les stocke jamais. La résidence des données est configurable selon votre déploiement.

Exécutez Microsoft Graph sous votre politique

Parcourez un jeu de règles avec nous, ou postulez au pilote partenaires de conception.