Permissions horizontales
Accorder User.Read.All à une application lui donne accès à chaque utilisateur du locataire. Aucune exception. Aucun filtre. Microsoft n'offre aucun moyen natif de restreindre la portée.
GraphWarden est la couche de sécurité que Microsoft Graph n'inclut pas. Filtrage granulaire des API, secrets zero-knowledge et piste d'audit complète - déployé en moins de 60 minutes sans modifier le code de vos applications.
Microsoft Graph est puissant. Trop puissant.
Accorder User.Read.All à une application lui donne accès à chaque utilisateur du locataire. Aucune exception. Aucun filtre. Microsoft n'offre aucun moyen natif de restreindre la portée.
Vos scripts PowerShell, pipelines CI/CD et applications héritées - combien ont un ClientSecret codé en dur quelque part ? Et combien de personnes savent où ?
Un secret Graph expire ou est compromis. Maintenant, vous devez trouver et mettre à jour chaque script, chaque application, chaque pipeline qui l'utilise. Manuellement.
Quelle application appelle Graph ? Quelles données lit-elle ? À quelle fréquence ? Microsoft Graph ne fournit aucune réponse granulaire. Vous naviguez à l'aveugle.
mobilePhone, passwordProfile, onPremisesExtensionAttributes - des propriétés sensibles retournées automatiquement même quand l'application n'en a pas besoin. Le RGPD, SOC2, HIPAA et la Loi 25 ont tous un avis là-dessus.
Des scripts PowerShell qui tournent depuis 2018 avec des identifiants que personne n'ose toucher. Ils fonctionnent. Personne ne sait comment. Renouveler leurs secrets casserait tout.
Un proxy léger déployé dans votre environnement. Vos applications ne changent presque rien.
Vos applications s'authentifient avec GraphWarden en utilisant des identifiants proxy révocables. Les vrais secrets Graph vivent dans Azure Key Vault - jamais exposés, jamais codés en dur.
Un seul fichier YAML définit des politiques granulaires : méthodes autorisées, propriétés retournées, portée par groupe AAD. 11 types de conditions avec évaluation premier-correspondant.
Chaque appel journalisé : quelle application, quel endpoint, quelle règle déclenchée, combien d'objets retournés vs filtrés. Piste d'audit immuable pour le RGPD, SOC2 et HIPAA.
GraphWarden n'est pas une passerelle API, un catalogue de gouvernance de données ni un tableau de bord SSPM. C'est un proxy d'exécution pour Microsoft Graph qui minimise les réponses par propriété et par objet, tout en gardant les identifiants du locataire en mode zero-knowledge. Aucune autre solution sur le marché ne fait cela à l'exécution pour Graph.
Des fonctionnalités sur mesure qui comblent le vide de gouvernance que Microsoft ne couvre pas. Chaque entreprise avec Microsoft 365 est un bénéficiaire potentiel.
Testez les règles contre des données Graph réelles avant le déploiement en production. Voyez exactement ce qui serait filtré.
Navigateur API interactif pour explorer les endpoints, visualiser l'impact des règles et déboguer les problèmes d'accès.
Surveillez toute l'activité Graph API de votre locataire depuis un seul panneau. Volumes de requêtes, déclenchements de règles, appels bloqués et temps de réponse - mis à jour en temps réel.
Six types d'alertes prêts à l'emploi : détection de force brute, identités orphelines, secrets expirants, délais de synchronisation, pics de blocage et modèles d'accès anormaux.
Masquage, suppression, hachage, initiales, troncature, bruit, regex_replace, domain_only, constante.
Gérez des centaines d'organisations depuis un seul tableau de bord SaaS. L'agent proxy tourne dans chaque locataire ; le plan de contrôle centralise les politiques et la surveillance.
Des applications RH aux scripts hérités en passant par les intégrations tierces - GraphWarden résout des problèmes que vous rencontrez aujourd'hui.
Problème : L'application a User.Read.All et peut voir les 5 000 employés avec toutes leurs propriétés.
Avec GraphWarden :
The HR app sees all 5,000 users with 40+ properties including mobilePhone, passwordProfile, and home addresses.
The HR app sees only 47 HR department members with 5 properties: name, email, department, job title, and ID.
L'application ne voit que les 47 membres du groupe RH, avec 5 propriétés au lieu de 40+.
Problème : Un script qui tourne depuis 5 ans a un ClientSecret en clair.
Avec GraphWarden :
Change 2 lines in your script. Real credentials move to Azure Key Vault. If the proxy credential is compromised, revoke it instantly from the dashboard.
Le script ne change que 2 lignes. Les vrais identifiants sont dans Key Vault.
Problème : Une application ISV a User.ReadWrite.All mais ne devrait que lire.
Avec GraphWarden :
Any write attempt (PATCH, PUT, POST, DELETE) from the ISV returns 403 Forbidden, logged with full context for your security team.
Read operations continue normally with sensitive properties stripped. The ISV gets the data it needs - nothing more.
Toute tentative d'écriture retourne 403, journalisée avec l'identité de l'application. Les lectures continuent normalement.
Problème : Le secret Graph expire dans 24 heures. 8 applications l'utilisent.
Avec GraphWarden :
Les 8 applications n'ont rien changé. Zéro temps d'arrêt. Zéro modification de code.
Problème : Vos applications SaaS synchronisent les données via Graph - et ont accès à tout le tenant.
Avec GraphWarden :
SaaS App sees all 5,000 tenant users with every property - executives, HR staff, IT admins, and service accounts included.
SaaS App sees only 320 authorized contacts with 6 properties: name, email, phone, job title, company, and ID. 10-minute cache reduces API load by 80%.
Les apps SaaS ne voient que les contacts autorisés, 6 propriétés, cache de 10 minutes. Aucun changement de configuration côté SaaS.
Problème : L'auditeur demande qui accède à quelles données M365 et comment.
Avec GraphWarden :
Every API call is logged with:
Documentation complète de l'accès aux données au niveau applicatif pour HIPAA, SOC2, RGPD et Loi 25.
De l'inscription à votre premier appel Graph API sécurisé. Cloud ou on-premise - même processus, même résultat.
Inscrivez-vous sur app.graphwarden.com. Votre tableau de bord organisation est prêt instantanément - aucune attente de provisionnement, aucun appel commercial requis pendant la bêta.
Autorisez GraphWarden à accéder à votre tenant via Entra ID. Nous vous guidons étape par étape pour l'enregistrement d'application et la configuration Key Vault.
Les deux options sont incluses dans votre licence. Utilisez l'une ou les deux selon votre architecture.
Nous opérons le proxy pour vous sur Azure (Canada, États-Unis ou Europe). Aucune infrastructure à gérer. Prêt en quelques minutes.
Installez un seul exécutable sur votre serveur Windows. Vos données ne quittent jamais votre réseau.
Configurez quelles applications peuvent accéder à quels endpoints, quelles propriétés retourner, et lesquelles supprimer ou transformer. Géré via le tableau de bord ou un fichier de configuration versionné.
Mettez à jour l'URL de base dans vos applications de graph.microsoft.com vers votre proxy GraphWarden. Pour la plupart des scripts, c'est un changement d'une seule ligne.
Chaque appel Graph API est désormais filtré, audité et contrôlé. Les propriétés sensibles sont supprimées. Les secrets sont dans Key Vault. Votre équipe conformité peut dormir tranquille.
Nous décortiquons les permissions applicatives Graph qui offrent le plus grand rayon d'impact une fois compromises — et ce qu'une politique d'exécution change pour chacune.
Une seule enregistrement d'application peut envoyer au nom de tous les utilisateurs du locataire. Aucune portée par expéditeur, aucun filtre par destinataire, aucun audit natif de l'usurpation.
Files.ReadWrite.AllLire et réécrire n'importe quel fichier dans n'importe quel site ou OneDrive — y compris les bibliothèques direction, RH et juridique — sans frontière par site ni alerte au niveau du contenu.
Sites.FullControl.AllContrôle total de chaque site SharePoint : permissions, partages, paramètres. La permission la plus souvent utilisée pour passer d'une application compromise à la prise du locataire.
Application.ReadWrite.AllTout détenteur peut s'accorder n'importe quelle autre permission applicative — y compris des rôles au niveau de l'annuaire. Un pas direct de l'application au Global Admin.
Cinq articles, environ trente minutes en tout. Aucune inscription requise.
Non. GraphWarden est un proxy passif - les données passent à travers mais rien n'est stocké. Le cache optionnel est en mémoire uniquement et n'est jamais persisté sur disque.
Oui. L'agent proxy est un exécutable autonome qui tourne dans votre environnement. En mode on-premise, il n'y a aucune communication avec notre infrastructure. Vos données ne quittent jamais votre locataire.
Les applications ne peuvent plus atteindre Graph via le proxy. C'est un point unique de défaillance à considérer. Le mode actif-passif est disponible pour les déploiements haute disponibilité.
20-50ms de surcharge sur le réseau local. Moins de 5ms en servant depuis le cache. Intégration Redis optionnelle pour les charges de travail à haute fréquence.
Seulement l'URL de base et l'authentification. Pour les scripts PowerShell, c'est 2-3 lignes de changement. Pas de changement de SDK, pas de mise à jour de bibliothèque, pas de refonte architecturale.
Oui. Il opère sur les primitives OData communes. Une seule règle ciblant /users* couvre tous les sous-endpoints. Fonctionne avec les endpoints v1.0 et beta.
Les jetons n'existent que dans la mémoire du processus GraphWarden. Ils ne sont jamais retournés aux applications clientes, jamais écrits dans les journaux et jamais persistés sur disque.
Dev Proxy est un outil de développement pour les tests locaux. GraphWarden est un proxy de production 24/7 avec application de politiques, gestion des secrets, mise en cache et une piste d'audit complète.
Les deux. Le tableau de bord de gestion fonctionne sur app.graphwarden.com (SaaS). L'agent proxy tourne dans votre environnement - vos données ne transitent jamais par une infrastructure externe. Ce modèle hybride vous offre une gestion centralisée avec la souveraineté des données.
GraphWarden est actuellement en bêta. Nous travaillons avec un groupe restreint de partenaires de conception. Demandez une démo pour discuter de votre cas d'utilisation et obtenir un accès anticipé.
GraphWarden s'aligne sur sept cadres de conformité que les acheteurs d'entreprise et les auditeurs reconnaissent : Loi 25 (Québec), LPRPDE (Canada), RGPD (UE), HIPAA (États-Unis), SOC 2, ISO 27001 et OWASP API Security Top 10. Les identifiants Graph demeurent dans votre Azure Key Vault — le proxy émet des jetons mais ne les stocke jamais. La résidence des données est configurable selon votre déploiement.
Parcourez un jeu de règles avec nous, ou postulez au pilote partenaires de conception.