Partager via

FAQ sur l’attestation de l’éditeur

  • Forum aux questions

Entrez le lien vers le site web de votre entreprise.

Lien vers une page d’accueil de l’entreprise ou de l’application.

Entrez le lien vers les conditions d’utilisation de l’application.

Il s’agit de données préremplies à partir des informations de votre service d’application. Mettez-la à jour si nécessaire.

Décrivez les fonctionnalités de base de votre application en 500 caractères ou moins.

Il s’agit de données préremplies à partir des informations de votre service d’application. Mettez-la à jour si nécessaire.

Sélectionnez le pays ou la région où votre entreprise a son siège social.

Cela est nécessaire en ce qui concerne les pratiques et réglementations en matière de gestion des données pour différents pays/régions.

L’application a-t-elle une page d’informations ?

Les informations sur l’application donnent une vue d’ensemble de ce que l’application peut faire.

Entrez le lien vers la page d’informations de l’application.

Lien vers une page décrivant plus d’informations sur l’application où l’utilisateur peut-il en savoir plus sur l’application ? Si vous n’avez pas cette page, veuillez marquer Non.

Quel est l’environnement d’hébergement ou le modèle de service utilisé pour exécuter votre application ?

L’environnement d’hébergement des services principaux ou des référentiels de code sera dans l’étendue de la certification Microsoft 365. Identifiez le type d’hébergement ; IaaS = Infrastructure as a Service, PaaS/Serverless = Platform as a Service, ISV hosted = L’environnement d’hébergement est détenu et/ou géré par vous-même (par exemple, vos propres centres de données ou colocalisé dans un centre de données tiers), hybride = L’environnement peut être constitué de plusieurs types d’hébergement (par exemple, isV Hébergé et PaaS).

Quels fournisseurs de cloud d’hébergement l’application utilise-t-elle ?

Exemples : Microsoft Azure, Amazon AWS, Google... Cela peut également inclure des solutions uniques pour votre entreprise.

L’application ou l’infrastructure sous-jacente traite-t-elle des données relatives à un client Microsoft ou à son appareil ?

Si votre application traite ou stocke des données client Microsoft telles que des données consommées à partir de points de terminaison de ressources Microsoft tels que Microsoft Graph ou le locataire du client, sélectionnez Oui. Si ce n’est pas le cas, sélectionnez non.

Quelles données sont collectées ou traitées par votre application ?

Fournissez des types de données spécifiques qui sont traités par votre application, tels que les données de profil utilisateur, les données de messagerie utilisateur, etc.

L’application prend-elle en charge TLS 1.1 ou une version ultérieure ?

Tls (Transport Layer Security) 1.1 ou version ultérieure sont des protocoles de sécurité permettant d’établir des canaux de chiffrement sur des réseaux informatiques. L’utilisation de TLS permet d’empêcher les écoutes clandestines et les attaques de l’intercepteur. Pour fournir le meilleur chiffrement de classe à nos clients, votre application prend-elle en charge TLS 1.1 ou une version ultérieure ?

L’application ou l’infrastructure sous-jacente stocke-t-elle des données client Microsoft ?

L’application ou l’infrastructure sous-jacente stocke-t-elle des données client Microsoft ?|Si votre application traite ou stocke des données client Microsoft telles que des données consommées à partir de points de terminaison de ressources Microsoft tels que Microsoft Graph ou le locataire du client, sélectionnez Oui. Si ce n’est pas le cas, sélectionnez non.

Quelles données sont stockées dans vos bases de données ?

Fournissez des types de données spécifiques qui sont stockés dans votre base de données, tels que les données de profil utilisateur, les données de messagerie utilisateur, les informations de locataire telles que l’ID de locataire, l’ID de communication utilisateur, etc.

Si l’infrastructure sous-jacente traite ou stocke les données client Microsoft, où ces données sont-elles stockées géographiquement ?

Spécifiez la région où les données client Microsoft seront stockées. Exemple : Allemagne, Japon.

Avez-vous établi un processus de location et d’élimination des données ?

Lorsque des clients demandent à supprimer des données ou à se désabonner, votre organisation suit-elle des normes strictes en matière de stockage ou de suppression de données ?

Combien de temps conservez-vous les données utilisateur après l’arrêt du compte ?

Menction de la période de stockage des informations client une fois que le client a quitté votre service.

Avez-vous un processus établi pour gérer tous les accès aux données client, clés de chiffrement/secrets ?

Le chiffrement est un outil essentiel pour la sécurité, car il restreint l’accès. Key Vault permet aux applications et aux utilisateurs de stocker et d’utiliser plusieurs types de données secrètes/clés. Tous les accès aux données client, clés/secrets de chiffrement sont-ils traités, collectés, analysés et gérés ? Ces informations sont nécessaires en ce qui concerne la gestion des données et les pratiques de sécurité.

L’application transfère-t-elle des données client ou du contenu client Microsoft à des tiers ou à des sous-traitants ?

Les données client peuvent être le nom d’utilisateur ou l’ID de l’employé, l’emplacement, les informations d’une personne, l’adresse IP spécifique de l’utilisateur, etc. Si votre organisation Transfère des données client ou du contenu client Microsoft à des tiers ou à des sous-traitants, sélectionnez Oui. Si ce n’est pas le cas, sélectionnez non.

Avez-vous des contrats de partage de données avec un service tiers avec lequel vous partagez des données client Microsoft ?

Un service tiers peut être un centre d’appels, un BPO, une entrée de données, etc. Si vous avez un accord pour partager des données client Microsoft avec l’un de ces services tiers, sélectionnez Oui. Si ce n’est pas le cas, sélectionnez non.

Sécurité

Effectuez-vous des tests d’intrusion annuels sur l’application ?

Le test d’intrusion, également appelé test de stylet, consiste à tester un système informatique, un réseau ou une application web pour trouver les vulnérabilités de sécurité qu’un attaquant pourrait exploiter.

Le service dispose-t-il d’un plan de récupération d’urgence documenté, y compris une stratégie de sauvegarde et de restauration ?

Si votre organisation dispose d’un document formel d’un plan de récupération d’urgence contenant des instructions détaillées sur la façon de répondre aux incidents non planifiés tels que les catastrophes naturelles, les pannes de courant, les cyberattaques et tout autre événement perturbateur, sélectionnez Oui. Si ce n’est pas le cas, sélectionnez non.

Votre environnement utilise-t-il une protection anti-programme malveillant ou des contrôles d’application traditionnels ?

L’anti-programme malveillant offre une solution proactive contre les virus plus récents et plus innovants que les logiciels antivirus ne sont pas équipés pour gérer. Les contrôles d’application sont des contrôles sur les fonctions d’entrée, de traitement et de sortie. Sélectionnez l’option appropriée

Disposez-vous d’un processus établi pour identifier et classer les vulnérabilités de sécurité ?

Ces informations sont nécessaires en ce qui concerne les pratiques de sécurité.

Avez-vous une stratégie qui régit votre contrat de niveau de service (SLA) pour l’application de correctifs ?

Chaque fois que vous vous abonnez à un antivirus, à un pare-feu ou à une protection anti-espion, vous devez mettre à jour continuellement vos fichiers système afin d’identifier les modifications, les améliorations ou les nouveaux paramètres qui aident votre ordinateur à détecter et à éliminer ces virus. Il s’agit de correctifs de sécurité. Si vous disposez d’une stratégie qui régit votre contrat de niveau de service (SLA) pour l’application de correctifs, sélectionnez Oui. Si ce n’est pas le cas, sélectionnez non.

Le bot peut-il accéder aux informations d’identification personnelle (PII) ?

Les informations d’identification personnelle sont toutes les données qui peuvent être utilisées pour identifier une personne particulière. Exemple : Nom, adresse e-mail.

Ajoutez une justification pour accéder aux informations d’identification personnelle.

Vous trouverez des exemples dans notre page Microsoft Docs, cliquez sur une application, cliquez sur Gestion des données. Vous pouvez voir des exemples d’autres justifications dans l’accès aux données via des bots.

Quelles informations d’identification personnelle sont stockées ?

Les informations d’identification personnelles (PII) sont toutes les données qui peuvent être utilisées pour identifier une personne particulière. Exemple : Nom, adresse e-mail.

Ajoutez une justification pour le stockage des informations d’identification personnelle.

Pourquoi les informations d’identification personnelle doivent-elles être stockées ?

Répertoriez toutes les informations d’identification organisationnelles (OII) que l’application collecte par le biais de ces API.

OII est toute donnée qui peut être utilisée pour identifier une organisation ou un locataire. Exemple : ID de locataire ou adresse IP, données d’utilisation du locataire, nom de domaine du locataire dans l’adresse e-mail (joe@contoso.com).

Quels types d’OII le magasin d’applications va-t-il ?

Les informations d’identification organiaztional (OII) sont toutes les données qui peuvent être utilisées pour identifier une organisation/un locataire. Exemple : ID de locataire ou adresse IP, données d’utilisation du locataire, nom de domaine du locataire dans l’adresse e-mail (joe@contoso.com).

Ajoutez une justification pour le stockage d’OII.

Pourquoi les informations d’identification organisationnelles doivent-elles être stockées ?

Transférez-vous ou partagez-vous des informations d’identification de l’utilisateur final (EUII) ou des OII avec des services non-Microsoft ?

|EUII est toute donnée qui peut être utilisée pour identifier les données client. Exemple : Nom d’utilisateur ou ID de l’employé, informations d’emplacement d’une personne, adresse IP spécifique de l’utilisateur. |

Répertoriez tous les services non-Microsoft vers lesquels vous transférez OII.

Exemple : Google Cloud, AWS

Décrire comment les administrateurs de l’organisation peuvent contrôler leurs informations dans les systèmes partenaires ?

Exemple : Chiffrement, 2FA

Les utilisateurs peuvent-ils classifier des données au sein de l’application ?

Exemple : Restreint, Confidentiel, Interal, Public

Authentification multifacteur

Multi-Factor Authentication (MFA) est un système de sécurité qui vérifie l’identité d’un utilisateur en exigeant plusieurs informations d’identification. Au lieu de simplement demander un nom d’utilisateur et un mot de passe, l’authentification multifacteur nécessite d’autres informations d’identification, telles qu’un code du smartphone de l’utilisateur, la réponse à une question de sécurité, une empreinte digitale ou la reconnaissance faciale.

Restriction d’adresses IP spécifiques ?

Les paramètres de restriction IP sont utilisés pour limiter ou accorder l’accès aux adresses IP qui peuvent accéder à des ressources spécifiques au sein du service. Pour les applications qui prennent en charge la restriction IP, un administrateur d’organisation peut limiter les adresses IP que tout utilisateur de l’organisation peut utiliser pour accéder au système via l’interface utilisateur ou les API.

Pistes d’audit par compte d’utilisateur

Les pistes d’audit sont les enregistrements électroniques qui cataloguent chronologiquement les événements ou les procédures pour fournir un support, une documentation et un historique, qui sont utilisés pour authentifier les actions de sécurité et opérationnelles, ou atténuer les défis. La piste d’audit utilisateur inclut des informations sur les activités des utilisateurs, telles que les tentatives de connexion, l’accès aux fichiers, etc.

Pistes d’audit d’administration dans l’application

La piste d’audit de l’administrateur inclut les activités de l’administrateur telles que l’octroi de nouvelles autorisations, la modification des configurations, les appels d’API, etc.

Pistes d’audit des données dans l’application

La piste d’audit des données inclut dans les activités des modifications apportées aux bases de données, par exemple quand a été modifié pour la dernière fois un attribut, quelle était la valeur précédente de l’enregistrement et qui l’a modifié, etc.

Avez-vous des stratégies de mot de passe pour votre application ?

Exemple : longueur minimale du mot de passe, combinaison de caractères, interdiction de la réutilisation des anciens mots de passe, interdiction de l’utilisation de l’informateur personnel (par exemple, nom, e-mail, etc.), renouvellement du mot de passe enforace après une certaine période.

Prise en charge de la norme SAML (Security Assertion Markup Language) pour l’échange d’authentification ?

Security Assertion Markup Language ( SAML) est un standard ouvert pour l’échange de données d’authentification et d’autorisation entre des parties, en particulier entre un fournisseur d’identité et un fournisseur de services.

Effectuez-vous des tests d’intrusion pour détecter et évaluer les vulnérabilités réseau pour votre application et ses services associés ?

Le test d’intrusion, également appelé test de stylet, consiste à tester un système informatique, un réseau ou une application web pour trouver les vulnérabilités de sécurité qu’un attaquant pourrait exploiter.

Conformité

L’application est-elle conforme à la Loi sur la portabilité et la comptabilité de l’assurance maladie (HIPPA) ? HIPPA est la législation américaine qui établit des normes pour protéger la confidentialité et la sécurité des informations médicales identifiables individuellement.

Cela est obligatoire pour les entreprises américaines et non basées aux États-Unis qui ont des applications liées à des services de santé ou fournissent des services aux services helthcare.

L’application est-elle conforme à Health Information Trust Alliance, Common Security Framework (HITRUST CSF) ? HITRUST CSF est un ensemble de contrôles qui harmonisent les exigences des réglementations et normes de sécurité de l’information.

Cela est requis pour les applications qui se rapportent à des services de santé ou fournissent des services aux services helthcare.

L’application est-elle conforme aux contrôles d’organisation de service (SOC 1) ? Création de rapports sur les contrôles d’une organisation de service qui sont pertinents pour le contrôle interne des entités utilisateur sur les rapports financiers.

Cela est obligatoire pour les entreprises américaines et non basées aux États-Unis avec des applications liées aux services financiers ou qui fournissent des services aux institutions financières

L’application est-elle conforme aux contrôles d’organisation de service (SOC 2) ?

Rapports sur le traitement non financier en fonction d’un ou plusieurs critères du service de confiance en matière de sécurité, de confidentialité, d’accessibilité, de confidentialité et d’intégrité du traitement. Pour en savoir plus

Quelle certification SOC 2 avez-vous obtenu ?

Sélectionnez Type 1 ou Type 2, si vous avez obtenu les deux, puis sélectionnez Type 2

L’application est-elle conforme aux contrôles d’organisation de service (SOC 3) ?

Rapports basés sur les critères du service de confiance, qui peuvent être distribués librement et ne contiennent que l’affirmation de la direction qu’ils ont satisfait aux exigences des critères choisis ? En savoir plus

Effectuez-vous des évaluations PCI DSS annuelles sur cette application et son environnement de prise en charge ?

La PCI DSS (norme de sécurité des données de l’industrie des cartes de paiement) est une norme mondiale de sécurité des informations conçue pour empêcher la fraude via un contrôle accru des données de carte de crédit. La conformité à la norme PCI DSS est requise pour toute organisation qui stocke, traite ou transmet des données de paiement et de titulaire de carte. Pour en savoir plus

L’application est-elle certifiée ISO 27001 ?

ISO 27001 est un certificat donné aux entreprises qui respectent des directives et des principes généraux reconnus à l’échelle internationale pour lancer, mettre en œuvre et améliorer la gestion de la sécurité des informations au sein d’une organisation. Pour en savoir plus

L’application est-elle conforme à la norme ISO 27018 (Organisation internationale de normalisation) ?

ISO 27018 établit des contrôles couramment acceptés avec des directives pour le traitement et la protection des informations d’identification personnelle (PII) dans un environnement de cloud computing public ? Pour en savoir plus

L’application est-elle conforme à l’Organisation internationale de normalisation (ISO 27017) ?

ISO 27017 établit des contrôles et des recommandations couramment acceptés pour le traitement et la protection des informations utilisateur dans un environnement de cloud computing public. Pour en savoir plus

L’application est-elle conforme à la norme ISO 27002 ?

ISO 27002 établit des lignes directrices communes pour les normes de sécurité des informations organisationnelles et les pratiques de gestion de la sécurité des informations. Pour en savoir plus

L’application est-elle conforme au Programme fédéral de gestion des risques et des autorisations (FedRAMP) ?

FedRAMP est un programme us-government qui fournit une approche standardisée de l’évaluation de la sécurité, de l’autorisation et de la surveillance continue pour les produits et services cloud. Pour en savoir plus

Sélectionnez le niveau de conformité FedRAMP.

Les autorisations FedRAMP sont accordées à trois niveaux d’impact basés sur les recommandations du NIST : faible, moyen et élevé. Ces niveaux classent l’impact que la perte de confidentialité, d’intégrité ou de disponibilité peut avoir sur une organisation : faible (effet limité), moyen (effet négatif grave) et élevé (effet grave ou catastrophique).

L’application est-elle conforme à la Loi sur les droits éducatifs familiaux et la protection de la vie privée (FERPA) ?

LA FERPA est une loi fédérale qui protège la confidentialité des dossiers d’études des étudiants. Pour en savoir plus

L’application est-elle conforme à la loi COPPA (Children’s Online Privacy Protection Act) ? COPPA définit des exigences pour les opérateurs de site web et de services en ligne qui fournissent du contenu aux enfants de moins de 13 ans.

Cela est obligatoire pour les entreprises basées aux États-Unis et non américaines avec des applications qui peuvent également être utilisées par les enfants.

L’application est-elle conforme à Sarbanes-Oxley Act (SOX) ? SOX est une législation américaine visant à protéger les actionnaires et le grand public contre les erreurs comptables et les fraudes, ainsi qu’à améliorer l’exactitude des informations d’entreprise.|Cela est obligatoire pour les sociétés publiques américaines ou les sociétés publiques non basées aux États-Unis qui sont négociées sur l’un des marchés boursiers aux États-Unis.|

Les informations sur l’application donnent une vue d’ensemble de ce que l’application peut faire.

L’application est-elle conforme au NIST 800-171 ?

NIST SP 800-171 est une publication spéciale NIST qui fournit des exigences recommandées pour la protection de la confidentialité des informations non classifiées contrôlées (CUI). Le NIST (National Institute of Standards and Technology) des États-Unis promeut et maintient des normes et des lignes directrices de mesure pour aider à protéger les systèmes d’information et d’information des agences fédérales. Pour en savoir plus

L’application a-t-elle été certifiée Cloud Security Alliance (ASC Star) ?

CSA SSTAR se consacre à la définition des meilleures pratiques pour garantir un environnement cloud computing plus sécurisé et à aider les clients potentiels du cloud à prendre des décisions éclairées lors de la transition de leurs opérations informatiques vers le cloud. Pour en savoir plus

Sélectionnez le niveau de certification CSA STAR.

Il existe cinq niveaux de certification offerts par CSA STAR, surveillance continue, évaluation, auto-évaluation, attestation, certification. Sélectionnez celui que vous avez obtenu.

Avez-vous d’autres exigences ou obligations en matière de confidentialité ou de protection des données ?

Le Règlement général sur la protection des données (RGPD) introduit de nouvelles règles pour les organisations qui offrent des biens et services aux personnes de l’Union européenne (UE), ou qui collectent et analysent des données pour les résidents de l’UE, quel que soit l’endroit où vous ou votre entreprise se trouve. Pour en savoir plus

L’application dispose-t-elle d’un avis de confidentialité externe qui décrit la façon dont elle collecte, utilise, partage et stocke les données personnelles ?

La déclaration de confidentialité externe doit contenir les informations organisationnelles, les données que vous collectez, la façon dont les données sont collectées, la façon dont vous utilisez les données personnelles, la façon dont les données personnelles sont partagées, la sécurité des données, la conservation des données, les droits juridiques du client. Pour plus d’informations, consultez la page RGPD

L’application effectue-t-elle une prise de décision automatisée, y compris un profilage qui pourrait avoir un effet juridique ou un impact similaire ?

Alors que le profilage est le processus d’évaluation des aspects d’une personne, la prise de décision automatisée est le processus de prise de décisions concernant l’individu à l’aide de moyens technologiques et sans la participation d’un humain. RGPD : droits relatifs à la prise de décision et au profilage automatisés.

Les individus ont-ils la possibilité de s’opposer au traitement ?

RGPD - Droit d’opposition

L’application traite-t-elle les données personnelles à des fins secondaires non décrites dans l’avis de confidentialité (par exemple, marketing, analytique) ?

RGPD - Traitement des données

Traitez-vous des catégories spéciales de données sensibles (par exemple, l’origine raciale ou ethnique, l’opinion politique, les croyances religieuses ou philosophiques, les données génétiques ou biométriques, les données de santé) ou des catégories de données soumises aux lois de notification des violations ?

Si vous traitez des données relatives à l’origine raciale ou ethnique, aux opinions politiques, aux croyances religieuses ou philosophiques, aux données génétiques ou biométriques, aux données de santé, sélectionnez Oui. Si ce n’est pas le cas, sélectionnez non.

L’application collecte-t-elle ou traite-t-elle des données de mineurs (c’est-à-dire des personnes âgées de moins de 16 ans) ?

Le RGPD définit un âge général de consentement à 16 ans, ce qui signifie que vous ne pouvez pas traiter légalement les données d’une personne concernée âgée de 15 ans ou moins.

Le consentement est-il obtenu d’un parent ou d’un tuteur légal ?

Dans les cas où vous travaillez avec les données des enfants de moins de 16 ans, vous pouvez uniquement traiter les données avec l’autorisation de leur parent ou tuteur. Tout traitement sans le consentement d’un adulte ayant la responsabilité parentale est illégal en vertu du droit européen.

L’application dispose-t-elle de fonctionnalités permettant de supprimer les données personnelles d’un individu sur demande ?

RGPD - Le droit à l’effacement

L’application dispose-t-elle de fonctionnalités pour restreindre ou limiter le traitement des données personnelles d’un individu sur demande ?

RGPD - Le droit de restreindre le traitement

L’application permet-elle aux individus de corriger ou de mettre à jour leurs données personnelles ?

RGPD - Le droit à la rectification

Des examens réguliers de la sécurité et de la confidentialité des données sont-ils effectués pour identifier les risques liés au traitement des données personnelles pour l’application, tels que les évaluations d’impact sur la protection des données ou les évaluations des risques de confidentialité ?

Ces informations sont nécessaires en ce qui concerne les pratiques en matière de confidentialité et de sécurité.

Votre application s’intègre-t-elle à Microsoft Identity Platform (Azure AD) pour l’authentification unique et l’accès à l’API ?

En savoir plus sur la plateforme d’identités Microsoft. Pour en savoir plus

Votre application utilise-t-elle un ou plusieurs id(s) d’application Azure ?

Identificateur unique de l’application affectée à une application par Azure AD.En savoir plus

Id d’application Azure

Entrez l’ID d’application Azure Application. Pour en savoir plus

Quel est l’ID du locataire où l’appId d’application Azure ci-dessus est inscrit ?

Entrez l’ID du locataire qui s’affiche sous Azure Application appId dans la console Inscriptions d’applications.

Quel est l’ID du locataire où l’appId d’application Azure ci-dessus est inscrit ?

Entrez l’ID du locataire qui s’affiche sous Azure Application appId dans la console Inscriptions d’applications.

Cet ID est-il utilisé par plusieurs applications ?

Ces informations sont nécessaires en ce qui concerne les pratiques d’identité.

L’application utilise-t-elle des autorisations Microsoft Graph ?

Azure AD affecte une application ou un ID client unique à votre application. Le portail ouvre la page Vue d’ensemble de votre application. Pour ajouter des fonctionnalités à votre application, vous pouvez sélectionner d’autres options de configuration, notamment la personnalisation, les certificats et les secrets, les autorisations d’API, etc.

Autorisation Microsoft Graph

Voici la liste des autorisations acceptables. Référence des autorisations de Microsoft Graph

Quel est le type d’autorisation ?

Les autorisations déléguées sont utilisées par les applications qui ont un utilisateur connecté. Pour ces applications, l’utilisateur ou un administrateur consent aux autorisations demandées par l’application, et l’application peut agir en tant qu’utilisateur connecté lors des appels à Microsoft Graph. Certaines autorisations déléguées peuvent être consenties par des utilisateurs qui n’ont pas de privilèges d’administrateur, mais certaines autorisations avec privilèges plus élevés nécessitent le consentement de l’administrateur. Les autorisations d’application sont utilisées par les applications qui s’exécutent sans utilisateur connecté ; par exemple, les applications qui s’exécutent en tant que démons ou services d’arrière-plan. Les autorisations d’application peuvent uniquement être accordées par un administrateur. En savoir plus.

Quelle est la justification de l’utilisation de cette autorisation Graph ?

Pourquoi avez-vous choisi cette autorisation de graphe perticulaire ?

Votre application demande-t-elle des autorisations de privilège minimum pour votre scénario ?

Les autorisations avec privilège minimum sont l’ensemble minimal d’autorisations que votre application doit demander afin de fournir les fonctionnalités prévues pour les clients. Pour les applications appelant Microsoft Graph, la documentation de référence de l’Explorateur Graph et de l’API peut vous aider à déterminer les autorisations de privilège minimum pour votre scénario. Pour en savoir plus

Avez-vous examiné et respecté toutes les bonnes pratiques applicables décrites dans la liste de vérification de l’intégration de la plateforme d’identités Microsoft ?

En savoir plus sur la liste de contrôle d’intégration de la plateforme d’identités Microsoft sur notre page de documentation

Votre application utilise-t-elle la dernière version de MSAL (Microsoft Authentication Library) ou Microsoft Identity Web pour l’authentification ?

La bibliothèque d’authentification Microsoft (MSAL) permet aux développeurs d’acquérir des jetons à partir de la plateforme d’identités Microsoft afin d’authentifier les utilisateurs et d’accéder aux API web sécurisées. Pour en savoir plus

Votre application utilise-t-elle la dernière version de MSAL (Microsoft Authentication Library) ou Microsoft Identity Web pour l’authentification ?

La bibliothèque d’authentification Microsoft (MSAL) permet aux développeurs d’acquérir des jetons à partir de la plateforme d’identités Microsoft afin d’authentifier les utilisateurs et d’accéder aux API web sécurisées. Pour en savoir plus

Votre application prend-elle en charge les stratégies d’accès conditionnel ?

Les stratégies d’accès conditionnel les plus simples sont des instructions if-then. Si un utilisateur souhaite accéder à une ressource, il doit effectuer une action. Exemple : Un responsable de la paie souhaite accéder à l’application de paie et doit effectuer une authentification multifacteur pour y accéder. Pour en savoir plus

Répertorier les types de stratégies prises en charge.

Mentionnez tous les types de stratégies d’accès conditionnel que vous prenez en charge. Exemple : Bloquer l’accès par emplacement, Bloquer l’authentification héritée. Vous trouverez des exemples sur notre page de documentation

Votre application prend-elle en charge l’évaluation continue de l’accès (CAE)

(CAE) est une capacité permettant d’améliorer la résilience et de réduire les cogs pour les services/charges de travail qui s’appuient sur l’authentification Azure AD. Pour en savoir plus

Votre application stocke-t-elle des informations d’identification dans le code ?

Si votre app store des informations d’identification dans le code, sélectionnez Oui. Si ce n’est pas le cas, sélectionnez non.

Les applications et les compléments pour Microsoft 365 peuvent utiliser des API Microsoft supplémentaires en dehors de Graph. Votre application ou complément utilise-t-il des API Microsoft supplémentaires ?

Si votre application ou complément utilise des API Microsoft supplémentaires, sélectionnez Oui. Si ce n’est pas le cas, sélectionnez non.

|Quel est le nom de service de l’API ?

Exemple : MSAL