Microsoft Defender för molnet Apps-appkontroll för villkorsstyrd åtkomst
På dagens arbetsplats räcker det inte att veta vad som har hänt i din molnmiljö i efterhand. Du måste också stoppa överträdelser och läckor i realtid och förhindra att anställda avsiktligt eller oavsiktligt utsätter dina data och din organisation för risker.
Du vill stödja användare i din organisation medan de använder de bästa tillgängliga molnapparna och ta med sina egna enheter till jobbet. Men du behöver också verktyg för att skydda din organisation mot dataläckor och stöld i realtid. Microsoft Defender för molnet Apps integreras med alla identitetsprovider (IdP) för att leverera det här skyddet med åtkomst- och sessionsprinciper.
Till exempel:
Använd åtkomstprinciper för att:
- Blockera åtkomst till Salesforce för användare som kommer från ohanterade enheter
- Blockera åtkomst till Dropbox för interna klienter.
Använd sessionsprinciper för att:
- Blockera nedladdningar av känsliga filer från OneDrive till ohanterade enheter
- Blockera uppladdningar av filer med skadlig kod till SharePoint Online
Microsoft Edge-användare drar nytta av direkt skydd i webbläsaren, vilket anges av låsikonen 
som visas i webbläsarens adressfält.
Användare av andra webbläsare omdirigeras via en omvänd proxy till Defender för molnet Appar och visar ett *.mcas.ms suffix i länkens URL. Om app-URL:en till exempel är myapp.com uppdateras appens URL till myapp.com.mcas.ms.
I den här artikeln beskrivs Defender för molnet Apps appkontroll för villkorlig åtkomst med Microsoft Entra-principer för villkorsstyrd åtkomst.
Användbarhet
Appkontroll för villkorsstyrd åtkomst kräver inte att du installerar något på enheten, vilket gör det idealiskt när du övervakar eller kontrollerar sessioner från ohanterade enheter eller partneranvändare.
Defender för molnet Apps använder förstklassig, patenterad heuristik för att identifiera och kontrollera aktiviteter som utförs av användaren i målappen. Våra heuristiker är utformade för att optimera och balansera säkerhet med användbarhet.
I vissa sällsynta scenarier, när blockeringsaktiviteter på serversidan gör appen oanvändbar, skyddar vi endast dessa aktiviteter på klientsidan, vilket gör dem potentiellt mottagliga för utnyttjande av skadliga insiders.
Systemprestanda och datalagring
Defender för molnet Apps använder Azure Data Centers runt om i världen för att ge optimerad prestanda via geoplats. Det innebär att en användares session kan finnas utanför en viss region, beroende på trafikmönster och deras plats. Men för att skydda din integritet lagras inga sessionsdata i dessa datacenter.
Defender för molnet Apps-proxyservrar lagrar inte vilande data. När vi cachelagrar innehåll följer vi kraven i RFC 7234 (HTTP-cachelagring) och cachelagrar endast offentligt innehåll.
Referens för aktiviteter som stöds
Appkontroll för villkorlig åtkomst använder åtkomstprinciper och sessionsprinciper för att övervaka och kontrollera åtkomst och sessioner för användarappar i realtid i hela organisationen.
Varje princip har villkor för att definiera vem (vilken användare eller grupp av användare), vad (vilka molnappar) och var (vilka platser och nätverk) principen tillämpas på. När du har fastställt villkoren dirigerar du användarna först till Defender för molnet Appar, där du kan använda åtkomst- och sessionskontrollerna för att skydda dina data.
Åtkomst- och sessionsprinciper omfattar följande typer av aktiviteter:
| Aktivitet | beskrivning |
|---|---|
| Förhindra dataexfiltrering | Blockera nedladdning, klipp ut, kopiera och skriv ut känsliga dokument på till exempel ohanterade enheter. |
| Kräv autentiseringskontext | Omvärdera principer för villkorsstyrd åtkomst i Microsoft Entra när en känslig åtgärd inträffar i sessionen, till exempel att kräva multifaktorautentisering. |
| Skydda vid nedladdning | I stället för att blockera nedladdningen av känsliga dokument kräver du att dokument etiketteras och krypteras när du integrerar med Microsoft Purview Information Protection. Den här åtgärden säkerställer att dokumentet skyddas och att användaråtkomsten begränsas i en potentiellt riskfylld session. |
| Förhindra uppladdning av omärkta filer | Se till att omärkta filer med känsligt innehåll blockeras från att laddas upp tills användaren klassificerar innehållet. Innan en känslig fil laddas upp, distribueras och används av andra är det viktigt att se till att den känsliga filen har den etikett som definieras av organisationens princip. |
| Blockera potentiell skadlig kod | Skydda din miljö mot skadlig kod genom att blockera uppladdningen av potentiellt skadliga filer. Alla filer som laddas upp eller laddas ned kan genomsökas mot Microsofts hotinformation och blockeras omedelbart. |
| Övervaka användarsessioner för efterlevnad | Undersök och analysera användarbeteende för att förstå var och under vilka villkor sessionsprinciper ska tillämpas i framtiden. Riskfyllda användare övervakas när de loggar in på appar och deras åtgärder loggas inifrån sessionen. |
| Blockera åtkomst | Blockera detaljerad åtkomst för specifika appar och användare beroende på flera riskfaktorer. Du kan till exempel blockera dem om de använder klientcertifikat som en form av enhetshantering. |
| Blockera anpassade aktiviteter | Vissa appar har unika scenarier som medför risker, till exempel att skicka meddelanden med känsligt innehåll i appar som Microsoft Teams eller Slack. I den här typen av scenarier genomsöker du meddelanden efter känsligt innehåll och blockerar dem i realtid. |
Mer information finns i:
- Skapa åtkomstprinciper för Microsoft Defender för molnet-appar
- Skapa sessionsprinciper för Microsoft Defender för molnet-appar
Appar och klienter som stöds
Använd session och åtkomst till kontroller för interaktiv enkel inloggning som använder SAML 2.0-autentiseringsprotokollet. Åtkomstkontroller stöds också för inbyggda mobilappar och skrivbordsklientappar.
Om du använder Microsoft Entra-ID-appar använder du dessutom sessions- och åtkomstkontroller för att:
- Alla interaktiva enkel inloggningar som använder öppna ID Anslut autentiseringsprotokoll.
- Appar som finns lokalt och konfigureras med Microsoft Entra-programproxyn.
Defender för molnet Apps identifierar appar som använder data från molnappkatalogen. Om du har anpassat appar med plugin-program måste alla associerade anpassade domäner läggas till i relevant app i katalogen. Mer information finns i Arbeta med riskpoängen.
Kommentar
Appar med icke-interaktiva inloggningsflöden, till exempel Authenticator-appen och andra inbyggda appar, kan inte användas med åtkomstkontroller.
Förregistrerade appar
Alla webbappar som konfigurerats med de tidigare nämnda autentiseringsprotokollen kan registreras för att fungera med åtkomst- och sessionskontroller. Dessutom har följande appar redan registrerats med både åtkomst- och sessionskontroller för Microsoft Entra-ID.
Kommentar
Du måste dirigera dina önskade program till åtkomst- och sessionskontroller och utföra en första inloggning.
- AWS
- Box
- Concur
- CornerStone på begäran
- DocuSign
- Dropbox
- Egnyte
- GitHub
- Google-arbetsyta
- HögQ
- JIRA/Confluence
- LinkedIn Learning
- Microsoft Azure DevOps (Visual Studio Team Services)
- Microsoft Azure-portal
- Microsoft Dynamics 365 CRM
- Microsoft Exchange Online
- Microsoft OneDrive för företag
- Microsoft Power BI
- Microsoft SharePoint Online
- Microsoft Teams
- Microsoft Yammer
- Salesforce
- Slack
- Tableau
- Arbetsdag
- Workiva
- Arbetsplats från meta
Om du är intresserad av att en specifik app registreras i förväg kan du skicka information om appen till oss. Se till att skicka det användningsfall som du är intresserad av för att registrera det.
Webbläsare som stöds
Sessionskontroller är byggda för att fungera med alla webbläsare på valfri större plattform på alla operativsystem, men vi stöder följande webbläsare:
- Microsoft Edge (senaste)
- Google Chrome (senaste)
- Mozilla Firefox (senaste)
- Apple Safari (senaste)
Microsoft Edge-användare drar nytta av webbläsarskydd utan att omdirigera till en omvänd proxy. Mer information finns i Webbläsarskydd med Microsoft Edge för företag (förhandsversion).
Appstöd för TLS 1.2+
Defender för molnet Apps använder TLS-protokoll (Transport Layer Security) 1.2+ för att tillhandahålla förstklassig kryptering och inbyggda klientappar och webbläsare som inte stöder TLS 1.2+ är inte tillgängliga när de konfigureras med sessionskontroll.
SaaS-appar som använder TLS 1.1 eller lägre visas dock i webbläsaren som att använda TLS 1.2+ när de konfigureras med Defender för molnet Apps.
Relaterat innehåll
Mer information finns i: