kontrol aplikasi akses bersyar Microsoft Defender untuk Cloud Apps
Di tempat kerja saat ini, tidak cukup untuk mengetahui apa yang terjadi di lingkungan cloud Anda setelah fakta. Anda juga perlu menghentikan pelanggaran dan kebocoran secara real time, dan mencegah karyawan sengaja atau tidak sengaja membahayakan data dan organisasi Anda.
Anda ingin mendukung pengguna di organisasi Anda saat mereka menggunakan aplikasi cloud terbaik yang tersedia dan membuat perangkat mereka sendiri berfungsi. Namun, Anda juga memerlukan alat untuk melindungi organisasi Anda dari kebocoran data dan pencurian secara real time. Microsoft Defender untuk Cloud Apps terintegrasi dengan Penyedia Identitas (IdP) apa pun untuk memberikan perlindungan ini dengan kebijakan akses dan sesi.
Contohnya:
Gunakan kebijakan akses untuk:
- Memblokir akses ke Salesforce untuk pengguna yang berasal dari perangkat yang tidak dikelola
- Blokir akses ke Dropbox untuk klien asli.
Gunakan kebijakan sesi untuk:
- Memblokir unduhan file sensitif dari OneDrive ke perangkat yang tidak dikelola
- Memblokir unggahan file malware ke SharePoint Online
Pengguna Microsoft Edge mendapat manfaat dari perlindungan langsung di browser, yang ditunjukkan oleh ikon kunci 
yang ditampilkan di bilah alamat browser.
Pengguna browser lain dialihkan melalui proksi terbalik ke aplikasi Defender untuk Cloud, dan menampilkan *.mcas.ms akhiran di URL tautan. Misalnya, jika URL aplikasi myapp.com, URL aplikasi diperbarui ke myapp.com.mcas.ms.
Artikel ini menjelaskan Defender untuk Cloud kontrol aplikasi akses bersyar Aplikasi dengan kebijakan Akses Bersyar Microsoft Entra.
Kegunaan
Kontrol aplikasi akses bersyarat tidak mengharuskan Anda menginstal apa pun di perangkat, membuatnya ideal saat memantau atau mengontrol sesi dari perangkat yang tidak dikelola atau pengguna mitra.
Defender untuk Cloud Apps menggunakan heuristik terbaik di kelasnya untuk mengidentifikasi dan mengontrol aktivitas yang dilakukan oleh pengguna di aplikasi target. Heuristik kami dirancang untuk mengoptimalkan dan menyeimbangkan keamanan dengan kegunaan.
Dalam beberapa skenario langka, ketika memblokir aktivitas di sisi server membuat aplikasi tidak dapat digunakan, kami mengamankan aktivitas ini hanya di sisi klien, yang membuat mereka berpotensi rentan terhadap eksploitasi oleh orang dalam berbahaya.
Performa sistem dan penyimpanan data
Defender untuk Cloud Apps menggunakan Azure Data Center di seluruh dunia untuk memberikan performa yang dioptimalkan melalui geolokasi. Ini berarti bahwa sesi pengguna dapat dihosting di luar wilayah tertentu, tergantung pada pola lalu lintas dan lokasinya. Namun, untuk melindungi privasi Anda, tidak ada data sesi yang disimpan di pusat data ini.
Defender untuk Cloud Server proksi Aplikasi tidak menyimpan data tidak aktif. Saat membuat cache konten, kami mengikuti persyaratan yang ditata di RFC 7234 (penembolokan HTTP) dan hanya cache konten publik.
Referensi aktivitas yang didukung
Kontrol aplikasi akses bersyar menggunakan kebijakan akses dan kebijakan sesi untuk memantau dan mengontrol akses dan sesi aplikasi pengguna secara real time, di seluruh organisasi Anda.
Setiap kebijakan memiliki kondisi untuk menentukan siapa (pengguna atau grup pengguna mana), apa (aplikasi cloud mana), dan di mana (lokasi dan jaringan mana) kebijakan diterapkan. Setelah menentukan kondisi, rutekan pengguna Anda terlebih dahulu ke Defender untuk Cloud Apps, tempat Anda dapat menerapkan kontrol akses dan sesi untuk melindungi data Anda.
Kebijakan akses dan sesi mencakup jenis aktivitas berikut:
| Tinggi | Deskripsi |
|---|---|
| Mencegah penyelundupan data | Blokir unduhan, potong, salin, dan cetak dokumen sensitif, misalnya, perangkat yang tidak dikelola. |
| Memerlukan konteks autentikasi | Mengevaluasi ulang kebijakan Akses Bersyarat Microsoft Entra saat tindakan sensitif terjadi dalam sesi, seperti memerlukan autentikasi multifaktor. |
| Lindungi saat mengunduh | Alih-alih memblokir pengunduhan dokumen sensitif, wajibkan dokumen diberi label dan dienkripsi saat Anda berintegrasi dengan Perlindungan Informasi Microsoft Purview. Tindakan ini memastikan dokumen diproteksi dan akses pengguna dibatasi dalam sesi yang berpotensi berisiko. |
| Mencegah pengunggahan file yang tidak berlabel | Pastikan file tanpa label dengan konten sensitif diblokir agar tidak diunggah hingga pengguna mengklasifikasikan konten. Sebelum file sensitif diunggah, didistribusikan, dan digunakan oleh orang lain, penting untuk memastikan bahwa file sensitif memiliki label yang ditentukan oleh kebijakan organisasi Anda. |
| Memblokir potensi malware | Lindungi lingkungan Anda dari malware dengan memblokir pengunggahan file yang berpotensi berbahaya. File apa pun yang diunggah atau diunduh dapat dipindai terhadap inteligensi ancaman Microsoft dan diblokir secara instan. |
| Memantau sesi pengguna untuk kepatuhan | Selidiki dan analisis perilaku pengguna untuk memahami di mana, dan dalam kondisi apa, kebijakan sesi harus diterapkan di masa mendatang. Pengguna berisiko dipantau saat mereka masuk ke aplikasi dan tindakan mereka dicatat dari dalam sesi. |
| Memblokir akses | Memblokir akses secara terperinci untuk aplikasi dan pengguna tertentu tergantung pada beberapa faktor risiko. Misalnya, Anda dapat memblokirnya jika menggunakan sertifikat klien sebagai bentuk manajemen perangkat. |
| Memblokir aktivitas kustom | Beberapa aplikasi memiliki skenario unik yang berisiko, misalnya, mengirim pesan dengan konten sensitif di aplikasi seperti Microsoft Teams atau Slack. Dalam skenario semacam ini, pindai pesan untuk konten sensitif dan blokir secara real time. |
Untuk informasi selengkapnya, lihat:
- Membuat kebijakan akses Microsoft Defender untuk Cloud Apps
- Membuat kebijakan sesi Microsoft Defender untuk Cloud Apps
Aplikasi dan klien yang didukung
Terapkan sesi dan akses ke kontrol ke akses menyeluruh interaktif apa pun yang menggunakan protokol autentikasi SAML 2.0. Kontrol akses juga didukung untuk aplikasi klien seluler dan desktop bawaan.
Selain itu, jika Anda menggunakan aplikasi ID Microsoft Entra, terapkan kontrol sesi dan akses ke:
- Setiap akses menyeluruh interaktif yang menggunakan protokol autentikasi open ID Koneksi.
- Aplikasi yang dihosting secara lokal dan dikonfigurasi dengan proksi aplikasi Microsoft Entra.
Defender untuk Cloud Apps mengidentifikasi aplikasi menggunakan data dari katalog aplikasi cloud. Jika Anda telah menyesuaikan aplikasi dengan plugin, domain kustom terkait harus ditambahkan ke aplikasi yang relevan di katalog. Untuk informasi selengkapnya, lihat Bekerja dengan skor risiko.
Catatan
Aplikasi dengan alur masuk non-interaktif , seperti aplikasi Authenticator dan aplikasi bawaan lainnya, tidak dapat digunakan dengan kontrol akses.
Aplikasi yang telah di-onboarding sebelumnya
Aplikasi web apa pun yang dikonfigurasi menggunakan protokol autentikasi yang disebutkan sebelumnya dapat di-onboarding untuk bekerja dengan kontrol akses dan sesi. Selain itu, aplikasi berikut sudah di-onboarding dengan kontrol akses dan sesi untuk ID Microsoft Entra.
Catatan
Diperlukan untuk merutekan aplikasi yang Anda inginkan untuk mengakses dan kontrol sesi, dan untuk melakukan login pertama.
- AWS
- Box
- Setuju
- CornerStone sesuai Permintaan
- Docusign
- Dropbox
- Egnyte
- GitHub
- Ruang Kerja Google
- HighQ
- JIRA/Confluence
- LinkedIn Learning
- Microsoft Azure DevOps (Visual Studio Team Services)
- Portal Microsoft Azure
- Microsoft Dynamics 365 CRM
- Microsoft Exchange Online
- Microsoft OneDrive for Business
- Microsoft Power BI
- Microsoft SharePoint Online
- Microsoft Teams
- Microsoft Yammer
- Salesforce
- Slack
- Tableau
- Workday
- Workiva
- Tempat kerja dari Meta
Jika Anda tertarik dengan aplikasi tertentu yang telah di-onboarding sebelumnya, kirimi kami detail tentang aplikasi tersebut. Pastikan untuk mengirim kasus penggunaan yang Anda minati untuk onboarding.
Browser yang didukung
Meskipun kontrol sesi dibuat untuk bekerja dengan browser apa pun di platform utama apa pun pada sistem operasi apa pun, kami mendukung browser berikut:
- Microsoft Edge (terbaru)
- Google Chrome (terbaru)
- Mozilla Firefox (terbaru)
- Apple Safari (terbaru)
Pengguna Microsoft Edge mendapat manfaat dari perlindungan di browser, tanpa mengalihkan ke proksi terbalik. Untuk informasi selengkapnya, lihat Perlindungan dalam browser dengan Microsoft Edge for Business (Pratinjau).
Dukungan aplikasi untuk TLS 1.2+
Defender untuk Cloud Apps menggunakan protokol Keamanan Lapisan Transportasi (TLS) 1.2+ untuk menyediakan enkripsi terbaik di kelasnya, dan aplikasi klien bawaan dan browser yang tidak mendukung TLS 1.2+ tidak dapat diakses saat dikonfigurasi dengan kontrol sesi.
Namun, aplikasi SaaS yang menggunakan TLS 1.1 atau yang lebih rendah akan muncul di browser seperti menggunakan TLS 1.2+ saat dikonfigurasi dengan aplikasi Defender untuk Cloud.
Konten terkait
Untuk informasi selengkapnya, lihat: