Intercepter
Chaque requête Graph API passe par le proxy. Les règles sont évaluées en temps réel avec un surcoût inférieur à 50 ms. Aucun appel API n'atteint Microsoft sans application des politiques.
Une plateforme zero-trust complète qui s'interpose entre vos applications et Microsoft Graph - appliquant des politiques granulaires, filtrant les données sensibles, gérant les secrets et auditant chaque appel. Aucune modification du code applicatif requise.
Un proxy transparent qui se place entre vos applications et Microsoft Graph. Vos applications pointent vers GraphWarden au lieu de graph.microsoft.com - le reste ne change pas.
Chaque requête Graph API passe par le proxy. Les règles sont évaluées en temps réel avec un surcoût inférieur à 50 ms. Aucun appel API n'atteint Microsoft sans application des politiques.
11 types de conditions déterminent quelles données sont visibles. Les réponses sont filtrées par objet, les propriétés sensibles supprimées ou transformées, et les méthodes non autorisées bloquées directement.
Chaque requête est journalisée avec le contexte complet : identité de l'appelant, endpoint, règle correspondante, objets retournés vs filtrés et temps de réponse. Des enregistrements immuables pour la conformité.
Définissez exactement qui peut voir quoi, jusqu'au niveau de l'objet et de la propriété individuels. Les règles sont des fichiers YAML - lisibles, versionnables et auditables.
Chaque règle peut combiner plusieurs types de conditions pour une précision chirurgicale. L'appartenance au groupe restreint l'accès aux groupes de sécurité AAD. L'attribut d'objet filtre sur n'importe quelle valeur de propriété. Le domaine de courriel restreint par domaine. Les attributs personnalisés vérifient les attributs d'extension 1–15. L'unité administrative applique les limites d'UO. L'affectation de licence filtre par SKU assigné. L'identité de l'appelant lie les règles à des applications spécifiques. La fenêtre horaire limite l'accès aux heures ouvrables. La limite de débit freine les patterns abusifs. Le nombre d'objets plafonne les tailles de réponse. La plage IP restreint par origine réseau.
Les règles sont évaluées de haut en bas. La première règle qui correspond à une requête détermine le résultat - filter, block ou allow. Ce modèle déterministe élimine l'ambiguïté. Vous savez toujours quelle règle se déclenchera, et dans quel ordre. Pas de résolution de conflits, pas de poids de priorité, pas de surprises. Placez vos règles les plus restrictives en haut et votre règle par défaut en bas.
Toute votre politique de sécurité vit dans un seul fichier YAML. Enregistrez-le dans Git. Révisez les changements dans les pull requests. Annulez avec git revert. Pas de console propriétaire, pas de blobs JSON opaques, pas de migrations de base de données. Les équipes de sécurité peuvent lire et réviser les règles sans apprendre un nouvel outil. L'infrastructure-as-code pour la gouvernance Graph API.
C'est ce qui rend GraphWarden fondamentalement différent. Les conditions sont évaluées contre chaque objet individuel dans la réponse Graph API - pas seulement au niveau de la requête. Si une application appelle /users et que la règle restreint l'accès à un groupe AAD spécifique, seuls les membres du groupe apparaissent dans la réponse. Le reste est silencieusement supprimé. Microsoft Graph retourne 5 000 utilisateurs ; GraphWarden livre les 47 qui comptent.
Neuf types de transformations vous permettent de protéger les données sensibles en transit sans les supprimer entièrement. Liste blanche ou liste noire de propriétés, puis appliquez des transformations sur ce qui reste.
Masquez partiellement les valeurs tout en conservant suffisamment de contexte pour être utile. Un numéro de téléphone devient 555-***-****. Un courriel devient j***@contoso.com. L'application peut encore afficher des données significatives ; elle ne peut simplement pas reconstruire l'original.
Remplacez la valeur entière par [REDACTED]. La clé de propriété est toujours présente dans la réponse - l'application sait que le champ existe - mais la valeur a disparu. Propre et sans ambiguïté pour les audits de conformité.
Hachage unidirectionnel déterministe. La même entrée produit toujours le même hash, ce qui vous permet de corréler des enregistrements entre jeux de données sans exposer la valeur brute. Idéal pour les pipelines d'analyse qui doivent joindre sur l'identité sans accéder aux données personnelles.
john.smith@contoso.com devient contoso.com. Supprime la partie locale de l'adresse courriel. Utile quand les applications ont besoin de connaître l'organisation mais pas l'individu. Parfait pour les rapports multi-locataires.
John Smith devient J.S.. Préserve juste assez d'identité pour l'affichage - tableaux de bord, rapports et éléments d'interface qui ont besoin d'un libellé mais pas d'un nom complet. Pseudonymisation compatible RGPD.
Trois transformations supplémentaires pour des scénarios spécialisés. Truncate coupe une valeur à une longueur configurable. Noise ajoute une randomisation contrôlée aux valeurs numériques. Regex replace vous permet de définir des patterns personnalisés pour des modifications chirurgicales de n'importe quelle valeur de chaîne.
Le mode liste blanche ne retourne que les propriétés que vous listez explicitement. Tout le reste est automatiquement supprimé de la réponse.
Nommez seulement les 5 propriétés dont vous avez besoin - par exemple : nom, courriel, département, titre de poste et ID. Les 35+ autres propriétés de l'objet utilisateur Graph n'atteignent jamais l'application.
Idéal quand votre application a besoin d'un petit ensemble connu de propriétés. Sécurité maximale - les propriétés inconnues ne peuvent pas fuiter.
Le mode liste noire supprime des propriétés spécifiques et retourne tout le reste. Plus rapide à configurer quand vous n'avez que quelques champs à masquer.
Nommez les 4 propriétés sensibles à masquer - par exemple : mobilePhone, passwordProfile, attributs d'extension et ID employé. Tout le reste passe sans modification.
Idéal quand votre application a besoin de la plupart des propriétés mais que quelques-unes sont sensibles. Rapide à configurer - nommez simplement ce qu'il faut supprimer.
Vos applications ne voient jamais les vrais identifiants Graph. Les vrais secrets résident dans Azure Key Vault, accessibles uniquement par GraphWarden via Managed Identity. Les applications s'authentifient avec des identifiants proxy révocables.
Les applications s'authentifient auprès de GraphWarden en utilisant des identifiants proxy - un ID client et un secret synthétiques que GraphWarden émet et contrôle. Les vrais identifiants de l'application Entra ID ne sont jamais exposés à aucune application consommatrice, script ou pipeline.
Quand un secret Graph expire ou est compromis, mettez-le à jour dans Key Vault via le tableau de bord. GraphWarden invalide son cache de jetons et acquiert un nouveau jeton à la prochaine requête. Toutes les applications consommatrices continuent de fonctionner sans aucune modification. Zéro temps d'arrêt, zéro modification de code.
Les vrais secrets client et certificats Graph sont stockés dans Azure Key Vault. GraphWarden y accède via Managed Identity - aucun identifiant stocké sur disque, aucun secret dans les fichiers de configuration. L'accès au Key Vault lui-même est authentifié par la plateforme d'identité Azure.
Si un identifiant proxy est compromis, révoquez-le depuis le tableau de bord en un clic. L'application affectée perd immédiatement l'accès. Pas besoin de renouveler le vrai secret Graph. Pas besoin de mettre à jour les autres applications. Le rayon d'impact est limité au seul identifiant proxy.
Dans les déploiements hébergés sur Azure, GraphWarden s'authentifie auprès de Key Vault en utilisant Azure Managed Identity. Aucun identifiant stocké nulle part - ni dans les fichiers, ni dans les variables d'environnement, ni dans le code. Toute la chaîne d'identifiants est gérée par l'infrastructure d'identité Azure.
Les vrais jetons Graph n'existent que dans la mémoire du processus GraphWarden. Ils ne sont jamais retournés aux applications clientes, jamais écrits dans les journaux et jamais persistés sur disque. Si le processus s'arrête, les jetons disparaissent. Un modèle de sécurité propre, sans persistance.
Un tableau de bord spécialisé qui offre aux équipes de sécurité, aux administrateurs IT et aux responsables de la conformité une vue unifiée de toute l'activité Graph API à travers le locataire.
Une vue en direct de l'état de sécurité de votre Graph API. Requêtes totales, appels bloqués, objets filtrés, règles actives et santé des agents - le tout d'un coup d'oeil. Les graphiques chronologiques montrent les tendances sur des heures, des jours et des semaines. Identifiez les anomalies avant qu'elles ne deviennent des incidents.
Brute Force - tentatives d'authentification répétées échouées depuis un seul appelant. Identité orpheline - une inscription d'application sans propriétaire effectuant des appels Graph. Secret expirant - identifiants approchant de leur date d'expiration. Secret renouvelé - notification quand les secrets Key Vault sont mis à jour. Délai de synchronisation - l'agent proxy perd la connexion au tableau de bord. Pic de blocage - augmentation soudaine des requêtes bloquées suggérant une mauvaise configuration ou une attaque.
Volume de requêtes, latence de réponse, fréquence de déclenchement des règles et taux de blocage - représentés sur des fenêtres temporelles configurables. Explorez par application, endpoint ou règle. Identifiez quelles applications génèrent le plus de trafic, quelles règles se déclenchent le plus souvent et où émergent les goulets d'étranglement.
L'agent proxy rapporte son état au tableau de bord SaaS à intervalles réguliers. CPU, mémoire, disponibilité, dernière synchronisation et expiration du certificat - le tout visible depuis une console centrale. Quand un agent devient silencieux, vous le savez immédiatement. Les déploiements multi-locataires affichent tous les agents sur une seule carte.
Au-delà du proxy et du moteur de règles de base, GraphWarden est livré avec un ensemble complet d'outils pour tester, explorer, gérer et sécuriser votre environnement Graph API.
Testez vos règles contre des données Graph réelles avant de les déployer. Sélectionnez une identité d'application, un endpoint et un jeu de règles - puis voyez exactement quels objets seraient retournés, filtrés ou bloqués. Détectez les erreurs de configuration avant qu'elles n'atteignent la production.
Un navigateur API interactif intégré au tableau de bord. Parcourez les endpoints, exécutez des requêtes et visualisez l'impact des règles en temps réel. Comprenez exactement ce que chaque application peut accéder via le proxy sans quitter la console.
Gérez des centaines d'organisations depuis un seul tableau de bord SaaS. L'agent proxy s'exécute dans chaque locataire ; le plan de contrôle centralise la gestion des politiques, la surveillance et les alertes. Conçu pour les FSG, les ISV et les entreprises avec plusieurs locataires M365.
Quatre rôles intégrés régissent qui peut faire quoi dans le tableau de bord. Admin a le contrôle total. Éditeur gère les règles et les identifiants proxy. Lecteur peut voir les tableaux de bord et les journaux. Auditeur a un accès en lecture seule aux rapports de conformité et aux pistes d'audit.
La communication entre l'agent proxy et le tableau de bord SaaS est authentifiée par des signatures HMAC. Chaque requête est signée avec un secret partagé. Les messages altérés ou rejoués sont rejetés. Pas de jetons bearer à voler, pas de cookies de session à détourner.
Contrôlez la durée de validité des jetons proxy. Des TTL courts réduisent la fenêtre d'exposition si un identifiant est compromis. Des TTL plus longs réduisent la surcharge d'authentification pour les charges de travail à haute fréquence. Configurez par application ou globalement - le bon équilibre pour chaque cas d'utilisation.
Chaque entreprise utilisant Microsoft 365 fait face à ces défis. La plupart ne savent tout simplement pas qu'une solution existe. Laissez-nous vous montrer à quoi ressemble la sécurité zero-trust Graph API en pratique.
Bêta · Partenaires acceptésOu consultez la documentation pour explorer les détails techniques.