Microsoft Power Platform propose une organisation des environnements par groupe, ce qui simplifie leur gestion et permet de déployer rapidement des mesures de sécurité.

Lorsqu'un groupe est créé et que les environnements y sont assignés, il devient possible de mettre en place des configurations qui s'appliqueront à l'ensemble des environnements membres. Parmi ces différentes règles, certaines sont particulièrement importantes pour la sécurité :

1. Accès aux transcriptions des conversations dans les assistants Copilot Studio

Lorsque le paramètre est activé, chaque fois qu’un utilisateur interagit avec un assistant Copilot, sa conversation est enregistrée dans le Dataverse de l’environnement. Ces conversations peuvent contenir des données sensibles et sont accessibles et téléchargeables par un administrateur.

Pour éviter toute mauvaise manipulation ou utilisation inappropriée, il est recommandé de désactiver cette fonctionnalité afin de préserver la confidentialité des échanges.

Configuration

1.      Accéder à un groupe d’environnement en allant dans la section « Gérer » puis « Groupes d’environnements » dans le bandeau latéral de gauche.

2.      Sélectionner l’environnement, puis cliquer sur « Règles »

3.      Sélectionner la règle « Accès aux transcriptions des conversations dans les assistants Copilot Studio ».

4.      Décocher les cases « Autorisez les propriétaires et les éditeurs d’assistant à consulter les transcriptions de session des interactions de conversation dans leurs assistants » et « Autorisez l’enregistrement des transcriptions de conversation et de leurs métadonnées associées dans Dataverse (requis pour améliorer les rapports) ».

2. Mise en application du vérificateur de solution

Lors de l’importation de solutions dans un environnement, un audit est effectué en amont selon un standard de bonnes pratiques. Cet audit permet de vérifier que la solution ne présente pas de problèmes de sécurité.

Pour cette règle, l’option "Avertir" est un bon choix car elle permet d’obtenir un résultat d’audit sans bloquer la mise en production. Cela signifie que vous serez informé des éventuels problèmes de sécurité sans que cela n'empêche l'importation de la solution.

Pour aller plus loin et à utiliser avec précaution, il est possible de passer l’état en « Bloquer » afin d’interdire l’importation de solutions jugées faillibles selon les standards de Microsoft.

Configuration

1.      Accéder à un groupe d’environnement en allant dans la section « Gérer » puis « Groupes d’environnements » dans le bandeau latéral de gauche.

2.      Sélectionner l’environnement, puis cliquer sur « Règles »

3.      Sélectionner la règle « Mise en application du vérificateur de solution ». 

4.      Définir la stratégie pour le vérificateur, les notifications et les exclusions.

3. Liaison de cookie basée sur l’adresse IP

L'activation de la liaison des cookies permet de s'assurer que l'adresse IP présente dans le cookie de session correspond à celle du matériel utilisé par l'utilisateur. Si l'utilisateur change de réseau, il sera invité à s'authentifier de nouveau.

Exemples de messages affichés à l’utilisateur :

Configuration

1.      Accéder à un groupe d’environnement en allant dans la section « Gérer » puis « Groupes d’environnements » dans le bandeau latéral de gauche.

2.      Sélectionner l’environnement, puis cliquer sur « Règles ».

3.      Sélectionner la règle « Activer la liaison de cookies IP ».

4.      Cocher le paramètre « Activer la liaison de cookies basée sur l’adresse IP ».

4. Paramètre de pare-feu IP

Pour garantir que les utilisateurs accèdent aux environnements uniquement depuis un réseau autorisé, il est recommandé d’activer le pare-feu basé sur l’adresse IP. Cette mesure bloque tous les réseaux non spécifiés dans les paramètres, assurant ainsi une connexion sécurisée à l’ensemble des environnements du groupe.

Cette configuration peut également être appliquée individuellement à chaque environnement, sans passer par une règle de groupe d’environnements.

Configuration

1.      Accéder à un groupe d’environnement en allant dans la section « Gérer » puis « Groupes d’environnements » dans le bandeau latéral de gauche.

2.      Sélectionner l’environnement, puis cliquer sur « Règles ».

3.      Sélectionner la règle « Paramètre de pare-feu IP ».

4.  Activer le paramètre « Pare-feu de l’adresse IP » puis renseigner les informations concernant le ou les réseaux qui seront autorisés à se connecter aux environnements du groupe d’environnement.

5. Partage des contrôles pour les applications canevas en cours

Cette fonctionnalité permet de réduire le risque d’accès non autorisé aux applications canevas. Il est recommandé de bloquer et de restreindre le partage à un nombre défini d’utilisateurs.

Configuration

1.      Accéder à un groupe d’environnement en allant dans la section « Gérer » puis « Groupes d’environnements » dans le bandeau latéral de gauche.

2.      Sélectionner l’environnement, puis cliquer sur « Règles ».

3.      Sélectionner la règle « Partage des contrôles pour les applications canevas en cours ».

4.      Sélectionner « Exclure le partage avec des groupes de sécurité » puis cocher la case ci-dessous en définissant le nombre de la limitation de partage. Le nombre ne peut pas être inférieur à « 1 ».

6. Partage des contrôles pour les flux de cloud

Cette fonctionnalité permet de réduire le risque d’accès non autorisé aux flux de cloud. Il est recommandé de bloquer le partage des flux pour garantir une sécurité optimale.

Configuration

1.      Accéder à un groupe d’environnement en allant dans la section « Gérer » puis « Groupes d’environnements » dans le bandeau latéral de gauche.

2.      Sélectionner l’environnement, puis cliquer sur « Règles ».

3.      Sélectionner la règle « Partage des contrôles pour les flux de cloud adaptés aux solutions en cours ».

4.      Décocher la case « Laisser les utilisateurs partager des flux de cloud prenant en charge la solution ».

7. Partager les assistants avec des autorisations Utilisateur

Cette fonctionnalité permet de restreindre le partage des assistants au sein d’un environnement, empêchant ainsi d'autres utilisateurs de les exploiter. Si Copilot Studio n'est pas utilisé, il est recommandé de bloquer ce type de partage pour éviter toute mauvaise manipulation ou utilisation inappropriée.

Configuration

1.      Accéder à un groupe d’environnement en allant dans la section « Gérer » puis « Groupes d’environnements » dans le bandeau latéral de gauche.

2.      Sélectionner l’environnement, puis cliquer sur « Règles ».

3.      Sélectionner la règle « Partager les assistants avec des autorisations Utilisateur ».

4.      Décocher la case « Permettre aux personnes d’octroyer des autorisations Utilisateur quand des assistants sont partagés ».

8. Partager les assistants avec des autorisations Éditeur

Cette fonctionnalité permet de restreindre le partage des assistants au sein d’un environnement, empêchant ainsi d'autres utilisateurs de les exploiter et/ou de les modifier.

Si Copilot Studio n'est pas utilisé, il est recommandé de bloquer ce type de partage pour éviter toute mauvaise manipulation ou utilisation inappropriée.

Configuration

1.      Accéder à un groupe d’environnement en allant dans la section « Gérer » puis « Groupes d’environnements » dans le bandeau latéral de gauche.

2.      Sélectionner l’environnement, puis cliquer sur « Règles ». 

3.      Sélectionner la règle « Partager les assistants avec des autorisations Éditeur ».

4.      Décocher la case « Permettre aux personnes d’octroyer des autorisations Éditeur quand des assistants sont partagés ».

9. Personnalisations non gérées

Cette fonctionnalité vérifie le contenu d’un environnement pour s’assurer que seules les solutions gérées sont exécutées. Elle garantit que le déploiement d’une solution passe par un processus automatisé et contrôlé, assurant ainsi que seules les solutions souhaitées et approuvées sont mises en place.

Configuration

1.      Accéder à un groupe d’environnement en allant dans la section « Gérer » puis « Groupes d’environnements » dans le bandeau latéral de gauche.

2.      Sélectionner l’environnement, puis cliquer sur « Règles ».

3.      Sélectionner la règle « Personnalisations non gérées ».

4.      Cocher la case ci-dessous.

10. Power Apps component framework pour les applications de canevas

Cette fonctionnalité permet de réduire le risque qu’un développeur ajoute du code provenant d’une source non fiable et potentiellement dangereuse. Selon la documentation de Microsoft, si une vulnérabilité est présente dans le code, elle ne serait pas détectée à 100% par le vérificateur.

Configuration

1.      Accéder à un groupe d’environnement en allant dans la section « Gérer » puis « Groupes d’environnements » dans le bandeau latéral de gauche.

2.      Sélectionner l’environnement, puis cliquer sur « Règles ».

3.      Sélectionner la règle « Power Apps component framework pour les applications de canevas ».

4.      Décocher la case ci-dessous.

11. Rétention de la sauvegarde

Cette fonctionnalité permet de définir une politique de sauvegarde adaptée aux environnements sans applications Dynamics 365, afin de garantir la disponibilité des infrastructures et des données.

La politique de sauvegarde dépend de la gouvernance appliquée aux groupes d’environnements et de la stratégie de sauvegarde mise en place.

Configuration

1.      Accéder à un groupe d’environnement en allant dans la section « Gérer » puis « Groupes d’environnements » dans le bandeau latéral de gauche.

2.      Sélectionner l’environnement, puis cliquer sur « Règles ».

3.      Sélectionner la règle « Rétention de la sauvegarde ».

4.      Définir votre politique de sauvegarde.

12. Stratégies de connecteur avancées

Cette fonctionnalité permet de définir une liste de connecteurs autorisés pour l’ensemble des environnements appartenant à un groupe d’environnements.

En complément, il est possible d’affiner les autorisations en contrôlant les actions spécifiques associées à chaque connecteur. Par exemple, vous pouvez autoriser uniquement les opérations de lecture, tout en bloquant les actions d’écriture ou de suppression.

Configuration

1.      Accéder à un groupe d’environnement en allant dans la section « Gérer » puis « Groupes d’environnements » dans le bandeau latéral de gauche.

2.      Sélectionner l’environnement, puis cliquer sur « Règles ».

3.      Sélectionner la règle « Stratégies de connecteur avancées ».

4.      Ajouter, modifier ou supprimer des connecteurs dans la liste des connecteurs autorisés.

5.      Pour modifier les permissions d’un connecteur, sélectionner un connecteur puis cliquer sur « Modifier les actions ».

13. Authentification pour les agents

Cette fonctionnalité permet de contrôler qui peut interagir avec un agent créé via Copilot Studio.

Deux modes sont disponibles :

• Accès sécurisé : L’utilisateur doit s’authentifier avant d’utiliser l’assistant (par exemple, en se connectant avec un compte Microsoft professionnel ou via une méthode d’identification personnalisée).

• Accès libre (sans authentification) : L’assistant est accessible à tous, sans connexion préalable. Ce mode est pratique pour des usages publics mais il présente des risques si l’assistant donne accès à des informations sensibles.

Configuration

1.      Accéder à un groupe d’environnement en allant dans la section « Gérer » puis « Groupes d’environnements » dans le bandeau latéral de gauche.

2.      Sélectionner l’environnement, puis cliquer sur « Règles ».

3.      Sélectionner la règle « Authentification pour les agents (version préliminaire) ».

4.      Sélectionner « S’authentifier avec Microsoft ou s’authentifier manuellement (recommandé) ».