Control de aplicaciones de acceso condicional de Microsoft Defender for Cloud Apps

En el área de trabajo actual, a menudo no basta con saber lo que ocurre en su entorno en la nube a posteriori. También debe saber detener las filtraciones y fugas en tiempo real y evitar que los empleados pongan en riesgo los datos y la organización de forma intencionada o accidental.

Quiere dar apoyo a los usuarios de su organización a la vez que usan las mejores aplicaciones en la nube disponibles y aportan sus propios dispositivos para que funcionen. Sin embargo, también necesita herramientas para proteger a su organización de filtraciones y robos de datos en tiempo real. Microsoft Defender for Cloud Apps se integra en cualquier proveedor de identidades (IdP) para ofrecer esta protección con directivas de acceso y sesión.

Por ejemplo:

  • Use directivas de acceso para:

    • Bloquear el acceso a Salesforce de usuarios procedentes de dispositivos no administrados
    • Bloquear el acceso a Dropbox de clientes nativos.
  • Use directivas de sesión para:

    • Bloquear descargas de archivos confidenciales de OneDrive a dispositivos no administrados
    • Bloquear cargas de archivos de malware en SharePoint Online

Los usuarios de Microsoft Edge tienen acceso a la protección integrada del explorador, indicada por el icono de bloqueo que figura en la barra de direcciones del explorador.

A los usuarios de otros exploradores se les redirige a través de un proxy inverso a Defender for Cloud Apps y aparece el sufijo *.mcas.ms en la dirección URL del vínculo. Por ejemplo, si la dirección URL de la aplicación es myapp.com, la dirección URL de la aplicación se pasará a ser myapp.com.mcas.ms.

En este artículo se describe el control de aplicaciones de acceso condicional de Defender for Cloud Apps con directivas de acceso condicional de Microsoft Entra.

Facilidad de uso

Para el control de aplicaciones de acceso condicional no es necesario instalar nada en el dispositivo, lo que lo hace ideal para supervisar o controlar sesiones de dispositivos no administrados o usuarios asociados.

Defender for Cloud Apps usa la mejor heurística patentada de su clase para identificar y controlar las actividades realizadas por el usuario en la aplicación de destino. Nuestra heurística está diseñada para optimizar y equilibrar la seguridad con facilidad de uso.

En algunos escenarios poco frecuentes, cuando las actividades de bloqueo en el servidor representan la aplicación inutilizable, protegemos estas actividades solo en el lado cliente, lo que hace que sean potencialmente susceptibles de explotación por parte de usuarios internos malintencionados.

Rendimiento del sistema y almacenamiento de datos

Defender for Cloud Apps aprovecha los centros de datos de Azure en todo el mundo para proporcionar un rendimiento optimizado a través de la geolocalización. Esto significa que la sesión de un usuario se puede hospedar fuera de una región determinada, en función de los patrones de tráfico y su ubicación. Sin embargo, para proteger tu privacidad, no se almacenan datos de sesión en estos centros de datos.

Los servidores proxy de Defender for Cloud Apps no almacenan datos en reposo. Al almacenar en caché el contenido, seguimos los requisitos establecidos en RFC 7234 (almacenamiento en caché HTTP) y solo almacenamos en caché el contenido público.

Referencia de acciones admitidas

El control de aplicaciones de acceso condicional usa directivas de acceso y directivas de sesión para supervisar y controlar el acceso y las sesiones de las aplicaciones de los usuarios en tiempo real, en toda la organización.

Cada directiva tiene una serie de condiciones que definen a quién (qué usuario o un grupo de usuarios), a qué (qué aplicaciones en la nube) y adónde (qué ubicaciones y redes) se aplica una directiva de acceso condicional. Después de determinar las condiciones, redirija primero a los usuarios a Defender for Cloud Apps, donde puede aplicar los controles de acceso y de sesión para proteger los datos.

Las directivas de acceso y de sesión incluyen los siguientes tipos de acciones:

Actividad Descripción
Impedir la filtración de datos Bloquear la descarga, la acción de cortar y pegar o las impresiones de documentos confidenciales en, por ejemplo, dispositivos no administrados.
Pedir un contexto de autenticación Volver a evaluar las directivas de acceso condicional de Microsoft Entra cuando se produzca una acción confidencial en la sesión, como la petición de la autenticación multifactor.
Proteger en la descarga En lugar de bloquear la descarga de documentos confidenciales, se solicita que los documentos estén etiquetados y cifrados al integrarlos en Microsoft Purview Information Protection. Esta acción garantiza que el documento está protegido y el acceso del usuario se restringe en una sesión potencialmente arriesgada.
Impedir la carga de archivos sin etiqueta Garantizar que los archivos sin etiqueta con contenido confidencial se bloqueen para que no se carguen hasta que el usuario clasifique el contenido. Antes de que otros usuarios carguen, distribuyan y usen un archivo confidencial, es importante asegurarse de que el archivo confidencial tenga la etiqueta definida por la directiva de su organización.
Bloquear malware potencial Proteja su entorno de malware bloqueando la carga de archivos potencialmente maliciosos. Cualquier archivo que se cargue o descargue se puede examinar con inteligencia sobre amenazas de Microsoft y bloquearse instantáneamente.
Supervisar el cumplimiento de las sesiones de usuario Investigue y analice las acciones del usuario para saber dónde se deben aplicar las directivas de sesión en el futuro y en qué condiciones. los usuarios que entrañen riesgo se supervisan cuando inician sesión en aplicaciones y sus acciones se registran en la sesión.
Bloquear acceso Puede bloquear de forma granular el acceso para aplicaciones y usuarios específicos en función de varios factores de riesgo. Por ejemplo, puede bloquearlos si usan certificados de cliente como forma de administración de dispositivos.
Bloquear actividades personalizadas algunas aplicaciones tienen escenarios únicos que conllevan riesgo, por ejemplo, el envío de mensajes con contenido confidencial en aplicaciones como Microsoft Teams o Slack. En estos tipos de casos, examine los mensajes para detectar el contenido confidencial y bloquearlos en tiempo real.

Para más información, vea:

Aplicaciones y clientes compatibles

Aplique la sesión y el acceso a los controles en cualquier inicio de sesión único interactivo que use el protocolo de autenticación SAML 2.0. Los controles de acceso también se admiten en aplicaciones cliente móviles y de escritorio integradas.

Además, si usa aplicaciones de Microsoft Entra ID, puede aplicar controles de sesión y acceso a:

  • Cualquier inicio de sesión único interactivo que use el protocolo de autenticación Open ID Connect.
  • Aplicaciones hospedadas de forma local y configuradas con el proxy de aplicación de Microsoft Entra.

Defender for Cloud Apps identifica las aplicaciones que usan datos del catálogo de aplicaciones en la nube. Si ha personalizado aplicaciones con complementos, los dominios personalizados asociados se deben agregar a la aplicación correspondiente en el catálogo. Para obtener más información, vea Trabajo con la puntuación de riesgo.

Nota:

Las aplicaciones con flujos de inicio de sesión no interactivos , como la aplicación Authenticator y otras aplicaciones integradas, no se pueden usar con controles de acceso.

Aplicaciones previamente incorporadas

Cualquier aplicación web configurada mediante los protocolos de autenticación mencionados anteriormente se puede incorporar para trabajar con controles de acceso y sesión. Además, las siguientes aplicaciones ya están incorporadas con controles de acceso y sesión para Microsoft Entra ID.

Nota:

Es necesario enrutar las aplicaciones deseadas para acceder a los controles de sesión y realizar un primer inicio de sesión.

  • AWS
  • Box
  • Concur
  • CornerStone on Demand
  • DocuSign
  • Dropbox
  • Egnyte
  • GitHub
  • Google Workspace
  • HighQ
  • JIRA/Confluence
  • Aprendizaje de LinkedIn
  • Microsoft Azure DevOps (Visual Studio Team Services)
  • Portal de Microsoft Azure
  • Microsoft Dynamics 365 CRM
  • Microsoft Exchange Online
  • Microsoft OneDrive para la Empresa
  • Microsoft Power BI
  • Microsoft SharePoint Online
  • Microsoft Teams
  • Microsoft Yammer
  • Salesforce
  • Slack
  • Tableau
  • Workday
  • Workiva
  • Área de trabajo desde Meta

Si está interesado en la incorporación previa de una aplicación específica, envíenos detalles sobre la aplicación. No olvide enviar el caso de uso que le interesa para que podamos incorporarlo.

Exploradores compatibles

Aunque los controles de sesión se compilan para usarse en cualquier explorador y en cualquier plataforma principal de cualquier sistema operativo, se admiten los siguientes exploradores:

A los usuarios de Microsoft Edge se les aplica la protección integrada del explorador sin que se les redirija a un proxy inverso. Para obtener más información, consulte Protección integrada del explorador con Microsoft Edge para empresas (versión preliminar).

Compatibilidad de aplicaciones con TLS 1.2+

Defender for Cloud Apps usa protocolos de seguridad de la capa de transporte (TLS) 1.2+ para ofrecer el mejor cifrado y no se podrá acceder a las aplicaciones cliente integradas y los exploradores que no admitan TLS 1.2+ cuando se configuran con control de sesión.

Sin embargo, las aplicaciones SaaS que usan TLS 1.1 o versiones anteriores aparecerán en el explorador como mediante TLS 1.2+ cuando se configuran con Defender for Cloud Apps.

Para más información, vea: