kontrola aplikacji dostępu warunkowego Microsoft Defender dla Chmury Apps
W dzisiejszym miejscu pracy nie wystarczy wiedzieć, co się stało w środowisku chmury po fakcie. Należy również zatrzymać naruszenia i wycieki w czasie rzeczywistym oraz uniemożliwić pracownikom celowe lub przypadkowe narażanie danych i organizacji na ryzyko.
Chcesz wspierać użytkowników w organizacji, gdy korzystają z najlepszych dostępnych aplikacji w chmurze i udostępniają własne urządzenia do pracy. Jednak potrzebne są również narzędzia do ochrony organizacji przed wyciekami danych i kradzieżą w czasie rzeczywistym. Microsoft Defender dla Chmury Apps integruje się z dowolnym dostawcą tożsamości w celu zapewnienia tej ochrony przy użyciu zasad dostępu i sesji.
Na przykład:
Użyj zasad dostępu, aby:
- Blokuj dostęp do usługi Salesforce dla użytkowników pochodzących z urządzeń niezarządzanych
- Blokuj dostęp do usługi Dropbox dla klientów natywnych.
Użyj zasad sesji, aby:
- Blokuj pobieranie poufnych plików z usługi OneDrive do urządzeń niezarządzanych
- Blokuj przekazywanie plików złośliwego oprogramowania do usługi SharePoint Online
Użytkownicy przeglądarki Microsoft Edge korzystają z bezpośredniej ochrony w przeglądarce wskazanej przez ikonę blokady 
wyświetlaną na pasku adresu przeglądarki.
Użytkownicy innych przeglądarek są przekierowywani za pośrednictwem zwrotnego serwera proxy do Defender dla Chmury Apps i wyświetlają *.mcas.ms sufiks w adresie URL linku. Jeśli na przykład adres URL aplikacji jest myapp.com, adres URL aplikacji zostanie zaktualizowany do myapp.com.mcas.ms.
W tym artykule opisano kontrolę aplikacji dostępu warunkowego Defender dla Chmury Apps za pomocą zasad dostępu warunkowego firmy Microsoft Entra.
Użyteczność
Kontrola aplikacji dostępu warunkowego nie wymaga zainstalowania niczego na urządzeniu, co czyni go idealnym rozwiązaniem podczas monitorowania lub kontrolowania sesji z niezarządzanych urządzeń lub użytkowników partnerów.
Defender dla Chmury Apps używa najlepszych w klasie, patentowanych heurystyki do identyfikowania i kontrolowania działań wykonywanych przez użytkownika w aplikacji docelowej. Nasze heurystyki zostały zaprojektowane pod kątem optymalizacji i zrównoważenia bezpieczeństwa z użytecznością.
W niektórych rzadkich scenariuszach blokowanie działań po stronie serwera powoduje, że aplikacja jest bezużyteczna, zabezpieczamy te działania tylko po stronie klienta, co sprawia, że potencjalnie podatne na wykorzystywanie przez złośliwych testerów.
Wydajność systemu i magazyn danych
Defender dla Chmury Apps używa centrów danych platformy Azure na całym świecie do zapewnienia zoptymalizowanej wydajności za pośrednictwem geolokalizacji. Oznacza to, że sesja użytkownika może być hostowana poza określonym regionem, w zależności od wzorców ruchu i ich lokalizacji. Jednak w celu ochrony prywatności żadne dane sesji nie są przechowywane w tych centrach danych.
serwery proxy usługi Defender dla Chmury Apps nie przechowują danych magazynowanych. Podczas buforowania zawartości przestrzegamy wymagań określonych w dokumentach RFC 7234 (buforowanie HTTP) i buforujemy tylko zawartość publiczną.
Odwołanie do obsługiwanych działań
Kontrola dostępu warunkowego używa zasad dostępu i zasad sesji do monitorowania i kontrolowania dostępu aplikacji użytkownika oraz sesji w czasie rzeczywistym w całej organizacji.
Każda zasada ma warunki do zdefiniowania , kto (który użytkownik lub grupa użytkowników), co (które aplikacje w chmurze) i gdzie (lokalizacje i sieci) zasady są stosowane. Po określeniu warunków należy najpierw skierować użytkowników do usługi Defender dla Chmury Apps, gdzie można zastosować mechanizmy kontroli dostępu i sesji w celu ochrony danych.
Zasady dostępu i sesji obejmują następujące typy działań:
| Aktywność | opis |
|---|---|
| Zapobieganie eksfiltracji danych | Blokuj pobieranie, wycinanie, kopiowanie i drukowanie poufnych dokumentów na urządzeniach niezarządzanych. |
| Wymaganie kontekstu uwierzytelniania | Przeszacuj zasady dostępu warunkowego firmy Microsoft Entra, gdy w sesji wystąpi wrażliwa akcja, taka jak wymaganie uwierzytelniania wieloskładnikowego. |
| Ochrona podczas pobierania | Zamiast blokować pobieranie poufnych dokumentów, należy wymagać, aby dokumenty zostały oznaczone etykietą i zaszyfrowane podczas integracji z usługą Microsoft Purview Information Protection. Ta akcja gwarantuje, że dokument jest chroniony, a dostęp użytkowników jest ograniczony w potencjalnie ryzykownej sesji. |
| Zapobieganie przekazaniu plików bez etykiet | Upewnij się, że nieoznaczone pliki z zawartością wrażliwą nie będą przekazywane, dopóki użytkownik nie klasyfikuje zawartości. Zanim poufny plik zostanie przekazany, dystrybuowany i używany przez inne osoby, ważne jest, aby upewnić się, że poufny plik ma etykietę zdefiniowaną przez zasady organizacji. |
| Blokowanie potencjalnego złośliwego oprogramowania | Ochrona środowiska przed złośliwym oprogramowaniem przez blokowanie przekazywania potencjalnie złośliwych plików. Każdy plik przekazany lub pobrany może być skanowany pod kątem analizy zagrożeń firmy Microsoft i blokowany natychmiast. |
| Monitorowanie sesji użytkowników pod kątem zgodności | Zbadaj i przeanalizuj zachowanie użytkownika, aby zrozumieć, gdzie i w jakich warunkach zasady sesji powinny być stosowane w przyszłości. Ryzykowni użytkownicy są monitorowani po zalogowaniu się do aplikacji, a ich akcje są rejestrowane z poziomu sesji. |
| Blokuj dostęp | Szczegółowe blokowanie dostępu dla określonych aplikacji i użytkowników w zależności od kilku czynników ryzyka. Możesz na przykład zablokować je, jeśli używają certyfikatów klienta jako formy zarządzania urządzeniami. |
| Blokuj działania niestandardowe | Niektóre aplikacje mają unikatowe scenariusze, które niosą ze sobą ryzyko, na przykład wysyłanie wiadomości z poufnej zawartości w aplikacjach, takich jak Microsoft Teams lub Slack. W takich scenariuszach skanuj komunikaty pod kątem poufnej zawartości i blokuj je w czasie rzeczywistym. |
Aby uzyskać więcej informacji, zobacz:
- Tworzenie zasad dostępu do aplikacji Microsoft Defender dla Chmury
- Tworzenie zasad sesji usługi Microsoft Defender dla Chmury Apps
Obsługiwane aplikacje i klienci
Zastosuj sesję i dostęp do kontrolek do dowolnego interakcyjnego logowania jednokrotnego korzystającego z protokołu uwierzytelniania SAML 2.0. Mechanizmy kontroli dostępu są również obsługiwane w przypadku wbudowanych aplikacji klienckich mobilnych i klasycznych.
Ponadto, jeśli używasz aplikacji Microsoft Entra ID, zastosuj kontrolę sesji i dostępu do:
- Każde interakcyjne logowanie jednokrotne korzystające z protokołu uwierzytelniania Open ID Połączenie.
- Aplikacje hostowane lokalnie i skonfigurowane za pomocą serwera proxy aplikacji Microsoft Entra.
Defender dla Chmury Apps identyfikuje aplikacje korzystające z danych z katalogu aplikacji w chmurze. Jeśli dostosowano aplikacje z wtyczkami, wszystkie skojarzone domeny niestandardowe muszą zostać dodane do odpowiedniej aplikacji w wykazie. Aby uzyskać więcej informacji, zobacz Praca z oceną ryzyka.
Uwaga
Aplikacje z nieinterakcyjnymi przepływami logowania, takimi jak aplikacja Authenticator i inne wbudowane aplikacje, nie mogą być używane z kontrolą dostępu.
Aplikacje wstępnie dołączone
Każda aplikacja internetowa skonfigurowana przy użyciu wcześniej wymienionych protokołów uwierzytelniania może być dołączona do pracy z mechanizmami kontroli dostępu i sesji. Ponadto następujące aplikacje są już dołączone do kontrolek dostępu i sesji dla identyfikatora Entra firmy Microsoft.
Uwaga
Wymagane jest kierowanie żądanych aplikacji w celu uzyskania dostępu do kontrolek sesji i przeprowadzenia pierwszego logowania.
- AWS
- Box
- Concur
- CornerStone on Demand
- DocuSign
- Dropbox
- Egnyte
- GitHub
- Obszar roboczy Google
- HighQ
- JIRA/Confluence
- LinkedIn Learning
- Microsoft Azure DevOps (Visual Studio Team Services)
- Portal Microsoft Azure
- Microsoft Dynamics 365 CRM
- Microsoft Exchange Online
- Microsoft OneDrive dla biznesu
- Microsoft Power BI
- Microsoft SharePoint Online
- Microsoft Teams
- Microsoft Yammer
- Salesforce
- Slack
- Tableau
- Dzień roboczy
- Workiva
- Miejsce pracy z meta
Jeśli interesuje Cię wstępnie dołączona określona aplikacja, wyślij nam szczegółowe informacje o aplikacji. Pamiętaj, aby wysłać przypadek użycia, który cię interesuje, aby dołączyć go.
Obsługiwane przeglądarki
Chociaż kontrolki sesji są tworzone do pracy z dowolną przeglądarką na dowolnej głównej platformie w dowolnym systemie operacyjnym, obsługujemy następujące przeglądarki:
- Microsoft Edge (najnowsza wersja)
- Google Chrome (najnowsza wersja)
- Mozilla Firefox (najnowsza wersja)
- Apple Safari (najnowsza wersja)
Użytkownicy przeglądarki Microsoft Edge korzystają z ochrony w przeglądarce bez przekierowywania do zwrotnego serwera proxy. Aby uzyskać więcej informacji, zobacz Ochrona w przeglądarce za pomocą przeglądarki Microsoft Edge dla firm (wersja zapoznawcza).
Obsługa aplikacji dla protokołu TLS 1.2 lub nowszego
Defender dla Chmury Apps używa protokołów Transport Layer Security (TLS) 1.2+ w celu zapewnienia najlepszego w klasie szyfrowania oraz wbudowanych aplikacji klienckich i przeglądarek, które nie obsługują protokołu TLS 1.2 lub nowszego, nie są dostępne podczas konfigurowania za pomocą kontroli sesji.
Jednak aplikacje SaaS korzystające z protokołu TLS 1.1 lub starszego będą wyświetlane w przeglądarce jako korzystające z protokołu TLS 1.2 lub nowszego podczas konfigurowania z aplikacjami Defender dla Chmury.
Powiązana zawartość
Aby uzyskać więcej informacji, zobacz: