Comment les organisations utilisent GraphWarden
Des scénarios concrets où GraphWarden transforme la sécurité de Microsoft Graph API - des applications RH surprivilégiées aux scripts héritage avec des secrets codés en dur. Chaque organisation utilisant Microsoft 365 fait face à ces défis.
Applications RH
Limitez User.Read.All aux seules personnes et propriétés dont votre outil RH a réellement besoin.
Le problème : Votre application RH nécessite User.Read.All pour fonctionner. Microsoft accorde cette permission à l'échelle du locataire - ce qui signifie que l'application peut lire chaque objet utilisateur de votre répertoire, y compris les dirigeants, les contractuels et les comptes de service. Elle retourne également 40+ propriétés par utilisateur, dont beaucoup contiennent des données sensibles comme mobilePhone, passwordProfile et onPremisesExtensionAttributes.
La solution
GraphWarden restreint l'application RH aux seuls membres d'un groupe Azure AD spécifique et réduit la réponse aux cinq propriétés que l'application utilise réellement.
L'application RH voit les 5 000 utilisateurs avec 40+ propriétés incluant mobilePhone, passwordProfile et les adresses personnelles.
L'application RH ne voit que 47 membres du département RH avec 5 propriétés : nom, courriel, département, titre de poste et ID. Aucune modification de code requise.
L'application RH voit 47 employés du département RH avec 5 propriétés chacun - au lieu de 5 000 utilisateurs avec 40+ propriétés. Aucune modification de code requise dans l'application.
Scripts PowerShell héritage
Éliminez les secrets codés en dur des scripts qui fonctionnent depuis des années - en moins de 5 minutes.
Le problème : Un script PowerShell synchronise les données de boîtes aux lettres chaque nuit depuis 2019. Il contient un ClientId et un ClientSecret en texte clair. Trois personnes savent qu'il existe. Personne ne veut y toucher. Le secret expire dans 90 jours, et le renouveler signifie trouver chaque script qui partage ces identifiants.
La solution
Pointez le script vers GraphWarden au lieu de Microsoft Graph. Remplacez les vrais identifiants par des identifiants proxy révocables. La migration complète se fait en 2–3 lignes de code.
Changez 2 lignes dans votre script. Les vrais identifiants migrent vers Azure Key Vault. Si l'identifiant proxy est compromis, révoquez-le instantanément depuis le tableau de bord - sans toucher à aucun script.
Le script change 2 lignes. Les vrais identifiants Graph migrent vers Azure Key Vault. Si l'identifiant proxy est compromis, révoquez-le instantanément depuis le tableau de bord - sans toucher à aucun script.
ISV et applications tierces
Bloquez les opérations d'écriture des fournisseurs qui n'ont besoin que d'un accès en lecture - même quand ils demandent des permissions ReadWrite.
Le problème : Votre partenaire ISV nécessite User.ReadWrite.All pour que son application fonctionne. Sa documentation indique qu'il ne lit que des données, mais vous n'avez aucun moyen de le vérifier. Le modèle de permissions de Microsoft est binaire - vous accordez la permission complète ou vous la refusez entièrement.
La solution
GraphWarden applique un contrôle d'accès au niveau des méthodes. Bloquez toutes les opérations d'écriture tout en autorisant les lectures, quelle que soit la permission Graph sous-jacente.
Toute tentative d'écriture (PATCH, PUT, POST, DELETE) de l'ISV retourne 403 Forbidden, journalisée avec le contexte complet pour votre équipe de sécurité.
Les opérations de lecture continuent normalement avec les propriétés sensibles supprimées. Vous avez la preuve de l'application des règles pour votre équipe de sécurité.
Toute tentative d'écriture de l'ISV retourne un 403 Forbidden, journalisée avec le contexte complet. Les opérations de lecture se poursuivent normalement avec les propriétés sensibles supprimées. Vous avez la preuve de l'application des règles pour votre équipe de sécurité.
Rotation des secrets à grande échelle
Renouvelez vos secrets Graph API sans toucher à une seule application.
Le problème : Un secret client Graph expire dans 24 heures. Huit applications différentes l'utilisent - trois scripts PowerShell, deux applications web, un pipeline CI/CD, un connecteur SaaS App et un outil de surveillance. Renouveler le secret signifie coordonner les changements entre les équipes, tester chaque intégration et prier pour que rien ne casse à 2 h du matin.
La solution
Avec GraphWarden, les applications ne détiennent jamais les vrais identifiants Graph. La rotation se fait en un seul endroit.
Créer un nouveau secret
Générez un nouveau secret client dans Entra ID (Azure AD).
Mettre à jour Key Vault
Mettez à jour la référence du secret dans Azure Key Vault via le tableau de bord GraphWarden.
Invalider le cache
GraphWarden vide son cache de jetons. Le prochain appel API déclenche une nouvelle acquisition de jeton avec le secret mis à jour.
Révoquer l'ancien secret
Supprimez le secret expiré d'Entra ID. Les 8 applications continuent de fonctionner sans aucune modification.
Zéro modification d'application. Zéro temps d'arrêt. Zéro coordination entre les équipes. Une fenêtre de rotation de 4 heures devient une opération de 5 minutes.
Intégration SaaS App
Limitez l'accès Graph de toute intégration SaaS aux seuls contacts nécessaires, avec uniquement les propriétés utilisées, et un cache améliorant les performances.
Le problème : SaaS App synchronise les données utilisateur depuis Microsoft Graph pour remplir les fiches de contact. L'intégration dispose de User.Read.All, lui donnant accès à chaque utilisateur de votre locataire - dirigeants, personnel RH, administrateurs IT et comptes de service. SaaS App n'a besoin que des informations de contact basiques pour les contacts externes de l'équipe commerciale.
La solution
GraphWarden restreint l'application SaaS à un groupe Azure AD spécifique contenant les contacts autorisés, ne retourne que les 6 propriétés nécessaires et ajoute un cache de 10 minutes pour réduire la charge Graph API.
L'application SaaS voit les 5 000 utilisateurs du locataire avec toutes les propriétés - dirigeants, personnel RH, administrateurs IT et comptes de service inclus.
L'application SaaS ne voit que 320 contacts autorisés avec 6 propriétés : nom, courriel, téléphone, titre de poste, entreprise et ID. Le cache de 10 minutes réduit la charge API de 80 %.
L'application SaaS voit 320 contacts autorisés au lieu de 5 000 utilisateurs du locataire. Seulement 6 propriétés sont retournées. Le cache de 10 minutes réduit les appels Graph API de 80 % pendant les fenêtres de synchronisation. Aucune modification de configuration requise côté SaaS.
Conformité et pistes d'audit
Fournissez aux auditeurs un enregistrement complet et immuable de chaque interaction Graph API à travers votre organisation.
Le problème : Votre auditeur SOC2 demande : « Quelles applications accèdent aux données utilisateur Microsoft 365, quelles données lisent-elles, et à quelle fréquence ? » Microsoft Graph ne fournit pas de réponse granulaire. Les journaux de connexion Azure AD montrent les événements d'authentification mais pas l'accès aux données au niveau API. Vous ne pouvez pas prouver quelles propriétés ont été consultées, par qui, ni si des données sensibles ont été exposées.
La solution
GraphWarden journalise chaque appel API avec le contexte complet, créant une piste d'audit immuable qui satisfait les exigences HIPAA, SOC2, RGPD et Loi 25.
Chaque entrée de journal capture :
Documentation complète de l'accès aux données au niveau applicatif. Export JSON pour les rapports d'audit. Tableaux de bord en temps réel pour la surveillance continue de la conformité. Chaque appel comptabilisé.
Anonymisation des données et conformité RGPD
Masquez, hachez et supprimez les attributs sensibles en transit - avant que les données n'atteignent vos applications.
Le problème : Votre plateforme d'analyse a besoin de données utilisateur pour générer des rapports, mais le RGPD et la Loi 25 exigent de minimiser l'exposition des données personnelles. La plateforme n'a pas besoin de vrais numéros de téléphone, d'adresses courriel réelles ou de noms complets - elle a besoin de patterns et d'agrégats. Mais Microsoft Graph retourne tout, et votre application n'a pas de couche d'anonymisation intégrée.
La solution
Les 9 types de transformations de GraphWarden modifient les données sensibles avant qu'elles ne quittent le proxy. L'application reçoit des données utilisables avec les identifiants personnels protégés.
La plateforme d'analyse reçoit les données personnelles complètes : adresses courriel réelles, numéros de téléphone et noms complets pour chaque utilisateur du locataire.
Les courriels sont hachés, les numéros de téléphone sont masqués (+1-555-***-****) et les noms sont réduits aux initiales (J.D.). Le département et le titre de poste passent pour les rapports.
Les types de transformations disponibles incluent mask, redact, hash, initials, truncate, noise, regex_replace, domain_only et constant. Chacune est appliquée dans la couche proxy avant que les données n'atteignent votre application.
La plateforme d'analyse reçoit les données de département et de titre de poste pour des rapports précis, tandis que les identifiants personnels sont hachés cryptographiquement, masqués ou réduits aux initiales. Les exigences de minimisation des données du RGPD sont satisfaites au niveau de l'infrastructure.
Gouvernance multi-cloud et multi-locataires
Gérez les politiques de sécurité Graph API à travers des dizaines de locataires Azure depuis un seul tableau de bord.
Le problème : Votre organisation gère 12 locataires Azure - certains pour des unités d'affaires, certains pour des entreprises acquises, certains pour la conformité régionale. Chaque locataire a son propre ensemble d'applications appelant Microsoft Graph, ses propres secrets à renouveler et ses propres exigences de conformité. Il n'y a pas de vue unifiée de qui accède à quoi à travers l'ensemble de l'entreprise.
La solution
L'architecture hybride de GraphWarden déploie un agent proxy léger dans chaque locataire tout en centralisant la gestion des politiques et la surveillance sur un seul tableau de bord SaaS.
- Bibliothèque centrale de politiques : Définissez les modèles de règles une fois, déployez-les à travers les locataires avec des substitutions spécifiques par locataire
- Vue d'audit unifiée : Visualisez toute l'activité Graph API des 12 locataires dans un seul tableau de bord
- Isolation au niveau du locataire : Chaque agent proxy s'exécute dans son locataire - les données ne traversent jamais les frontières
- Rotation groupée des secrets : Renouvelez les secrets à travers les locataires depuis une seule interface
- Alertes inter-locataires : Détectez les patterns anormaux qui couvrent plusieurs locataires
- Rapports de conformité : Générez des rapports consolidés pour les auditeurs couvrant tous les locataires
Un seul tableau de bord. Douze locataires. Des politiques de sécurité cohérentes. Une visibilité complète. Les données de chaque locataire restent dans son propre environnement tandis que le plan de contrôle fournit une gouvernance à l'échelle de l'entreprise.
Trouvez votre cas d'utilisation
Chaque organisation utilisant Microsoft Graph fait face à au moins un de ces défis. Laissez-nous vous montrer comment GraphWarden répond au vôtre - avec une démo en direct utilisant vos propres scénarios.
Bêta · Partenaires acceptésOu consultez la documentation pour explorer le moteur de règles complet.