App-Steuerung für bedingten Zugriff für Microsoft Defender for Cloud Apps

Heutzutage reicht es häufig nicht aus, wenn Sie erst im Nachhinein von Vorgängen in Ihrer Cloudumgebung erfahren. Sie müssen außerdem Verstöße und Datenlecks in Echtzeit stoppen und verhindern, dass Mitarbeiter Ihre Daten und Ihre Organisation absichtlich oder versehentlich gefährden.

Sie möchten Benutzer in Ihrer Organisation unterstützen, während sie die besten verfügbaren Cloud-Apps nutzen und ihre eigenen Geräte zur Arbeit mitbringen. Sie benötigen jedoch auch Tools, um Ihre Organisation in Echtzeit vor Datenlecks und Diebstahl zu schützen. Microsoft Defender for Cloud Apps lässt sich in jeden Identitätsanbieter (IdP) integrieren, um diesen Schutz mit Zugriffs- und Sitzungsrichtlinien bereitzustellen.

Zum Beispiel:

  • Verwenden von Zugriffsrichtlinien für:

    • Blockieren des Zugriffs auf Salesforce für Benutzer, die von nicht verwalteten Geräten stammen
    • Blockieren des Zugriffs auf Dropbox für native Clients
  • Verwenden von Sitzungsrichtlinien für folgende Zwecke:

    • Blockieren von Downloads vertraulicher Dateien von OneDrive auf nicht verwaltete Geräte
    • Blockieren von Uploads von Schadsoftwaredateien in SharePoint Online

Microsoft Edge-Benutzer profitieren von direktem, browserinternen Schutz, der durch das -Sperrsymbol in der Adressleiste des Browsers angezeigt wird.

Benutzer anderer Browser werden über einen Reverseproxy zu Defender for Cloud Apps umgeleitet. Hier wird ein *.mcas.ms-Suffix in der URL des Links angezeigt. Wenn die App-URL beispielsweise myapp.com ist, wird die App-URL auf myapp.com.mcas.ms aktualisiert.

In diesem Artikel wird die App-Steuerung für bedingten Zugriff von Defender for Cloud Apps mit den Richtlinien für Bedingter Microsoft Entra-Zugriff beschrieben.

Benutzerfreundlichkeit

Für die App-Steuerung mit bedingtem Zugriff müssen Sie nichts auf dem Gerät installieren. Damit eignet sie sich optimal zur Überwachung oder Steuerung von Sitzungen von nicht verwalteten Geräten oder Partnerbenutzern.

Defender for Cloud Apps verwendet erstklassige, patentierte Heuristiken, um Aktivitäten zu identifizieren und zu steuern, die vom Benutzer in der Ziel-App ausgeführt werden. Unsere Heuristiken sind darauf ausgelegt, die Sicherheit mit Benutzerfreundlichkeit zu optimieren und zu ausgleichen.

In einigen seltenen Szenarien wird beim Blockieren von Aktivitäten auf serverseitiger Seite die App unbrauchbar, diese Aktivitäten nur auf clientseitiger Seite gesichert, wodurch sie potenziell anfällig für die Ausbeutung durch böswillige Insider sind.

Systemleistung und Datenspeicherung

Defender for Cloud Apps verwendet Azure Data Centers auf der ganzen Welt, um durch Geolocation eine optimierte Leistung zu bieten. Dies bedeutet, dass die Sitzung eines Benutzers je nach Datenverkehrsmustern und seinem Standort außerhalb einer bestimmten Region gehostet werden kann. Um Ihre Privatsphäre zu schützen, werden jedoch keine Sitzungsdaten in diesen Rechenzentren gespeichert.

Defender for Cloud Apps-Proxyserver speichern keine ruhenden Daten. Beim Zwischenspeichern von Inhalten befolgen wir die Anforderungen gemäß RFC 7234 (HTTP-Zwischenspeicherung) und speichern nur öffentliche Inhalte zwischen.

Referenz der unterstützten Aktivitäten

Bei der App-Steuerung für bedingten Zugriff werden Zugriffsrichtlinien und Sitzungsrichtlinien verwendet, um den Zugriff und die Sitzungen von Benutzer-Apps in Echtzeit in Ihrer Organisation zu überwachen und zu steuern.

Jede Richtlinie hat Bedingungen, um zu definieren, wer (welcher Benutzer oder welche Gruppe von Benutzern) und was (welche Cloud-Apps) eine Richtlinie zum bedingten Zugriff anwendet bzw. wo (welche Standorte und Netzwerke) die Richtlinie angewendet wird. Nachdem Sie die Bedingungen ermittelt haben, leiten Sie Ihre Benutzer zuerst an Defender for Cloud Apps weiter, wo Sie die Zugriffs- und Sitzungssteuerungen anwenden können, um Ihre Daten zu schützen.

Zugriffs- und Sitzungsrichtlinien umfassen die folgenden Arten von Aktivitäten:

Aktivität Beschreibung
Datenexfiltration verhindert Blockieren Sie das Herunterladen, Ausschneiden, Kopieren und Drucken vertraulicher Dokumente, z. B. auf nicht verwalteten Geräten.
Authentifizierungskontext erforderlich Bewerten Sie die Richtlinien für den bedingten Zugriff von Microsoft Entra neu, wenn in der Sitzung eine vertrauliche Aktion auftritt, z. B. die Erfordernis einer mehrstufigen Authentifizierung.
Beim Herunterladen schützt Anstatt den Download vertraulicher Dokumente zu blockieren, verlangen Sie bei der Integration mit Microsoft Purview Information Protection, dass Dokumente gekennzeichnet und verschlüsselt werden. Diese Aktion stellt sicher, dass Dokumente in potenziell riskanten Sitzungen geschützt sind und der Benutzerzugriff eingeschränkt wird.
Das Hochladen von Dateien ohne Bezeichnung verhindert Stellen Sie sicher, dass nicht gekennzeichnete Dateien mit vertraulichen Inhalten erst hochgeladen werden können, wenn der Benutzer den Inhalt klassifiziert hat. Bevor eine vertrauliche Datei hochgeladen, verteilt und von anderen verwendet wird, ist es wichtig, sicherzustellen, dass die vertrauliche Datei die in den Richtlinien Ihrer Organisation definierte Bezeichnung trägt.
Blockieren potenzieller Schadsoftware Schützen Sie Ihre Umgebung vor Schadsoftware, indem Sie das Hochladen potenziell schädlicher Dateien blockieren. Jede Datei, die hochgeladen oder heruntergeladen wird, kann sofort mit Microsoft Threat Intelligence gescannt und blockiert werden.
Benutzersitzungen auf Compliance überwacht Untersuchen und analysieren Sie das Benutzerverhalten, um zu verstehen, wo und unter welchen Bedingungen Sitzungsrichtlinien in Zukunft angewendet werden sollten. Riskante Benutzer werden überwacht, wenn sie sich bei Apps anmelden, und ihre Aktionen innerhalb der Sitzung werden protokolliert.
Zugriff blockieren Blockieren Sie den Zugriff für bestimmte Apps und Benutzer differenziert, abhängig von mehreren Risikofaktoren. Sie können sie z. B. blockieren, wenn sie Clientzertifikate als eine Form der Geräteverwaltung verwenden.
Benutzerdefinierte Aktivitäten blockiert Einige Apps werden in eindeutigen Szenarien verwendet, die Risiken bergen, wie z. B. das Senden von Nachrichten mit vertraulichen Inhalten in Apps wie Microsoft Teams oder Slack. Überprüfen Sie in diesen Szenarien Nachrichten auf vertrauliche Inhalte und blockieren Sie sie in Echtzeit.

Weitere Informationen finden Sie unter:

Unterstützte Apps und Clients

Wenden Sie Sitzungs- und Zugriffssteuerungen auf jedes interaktive einmalige Anmelden an, das das SAML 2.0-Authentifizierungsprotokoll verwendet. Zugriffssteuerungen werden auch für integrierte mobile und Desktop-Client-Apps unterstützt.

Wenn Sie Microsoft Entra ID-Apps verwenden, wenden Sie außerdem Sitzungs- und Zugriffssteuerungen auf Folgendes an:

  • Jedes interaktive einmalige Anmelden, das das Open ID Connect-Authentifizierungsprotokoll verwendet.
  • Apps, die lokal gehostet und mit dem Microsoft Entra-Anwendungsproxy konfiguriert wurden.

Defender for Cloud Apps identifiziert Apps mithilfe von Daten aus dem Cloud-App-Katalog. Wenn Sie Apps mit Plug-Ins angepasst haben, müssen alle zugehörigen benutzerdefinierten Domänen der entsprechenden App im Katalog hinzugefügt werden. Weitere Informationen finden Sie unter Working with the risk score (Arbeiten mit der Risikobewertung).

Hinweis

Apps mit nicht interaktiven Anmeldeflows, z. B. der Authenticator-App und anderen integrierten Apps, können nicht mit Zugriffssteuerungen verwendet werden.

Vorinstallierte Apps

Jede Web-App, die mit den zuvor genannten Authentication-Protokollen konfiguriert wurde, kann integriert werden, um mit Zugriffs- und Sitzungssteuerelementen zu arbeiten. Darüber hinaus sind die folgenden Apps bereits mit Zugriffs- und Sitzungssteuerelementen für Microsoft Entra ID integriert.

Hinweis

Ihre gewünschten Anwendungen müssen an Zugriffs- und Sitzungssteuerelemente weitergeleitet und eine erste Anmeldung durchgeführt werden.

  • AWS
  • Box
  • Concur
  • CornerStone OnDemand
  • DocuSign
  • Dropbox
  • Egnyte
  • GitHub
  • Google Workspace
  • HighQ
  • JIRA/Confluence
  • LinkedIn Learning
  • Microsoft Azure DevOps (Visual Studio Team Services)
  • Microsoft Azure-Portal
  • Microsoft Dynamics 365 CRM
  • Microsoft Exchange Online
  • Microsoft OneDrive for Business
  • Microsoft Power BI
  • Microsoft SharePoint Online
  • Microsoft Teams
  • Microsoft Yammer
  • Salesforce
  • Slack
  • Tableau
  • Workday
  • Workiva
  • Workplace von Meta

Wenn Sie an einer bestimmten App interessiert sind, die vorab integriert ist, senden Sie uns Details zur App. Erläutern Sie uns den Anwendungsfall, an dessen Onboarding Sie interessiert sind.

Unterstützte Browser

Während Sitzungssteuerungen so konzipiert sind, dass sie mit jedem Browser auf jeder wichtigen Plattform und jedem Betriebssystem funktionieren, unterstützen wir die folgenden Browser:

Microsoft Edge-Benutzer profitieren vom browserinternen Schutz, ohne zu einem Reverseproxy umzuleiten. Weitere Informationen finden Sie unter Browserinterner Schutz mit Microsoft Edge for Business (Vorschauversion).

App-Unterstützung für TLS 1.2+

Defender for Cloud Apps verwendet TLS-Protokolle (Transport Layer Security) 1.2+, um eine erstklassige Verschlüsselung bereitzustellen. Integrierte Client-Apps und Browser, die TLS 1.2+ nicht unterstützen, sind nicht zugänglich, wenn sie mit Sitzungssteuerung konfiguriert sind.

SaaS-Apps, die TLS 1.1 oder niedriger verwenden, werden jedoch im Browser als TLS 1.2+ angezeigt, wenn sie mit Defender for Cloud Apps konfiguriert sind.

Weitere Informationen finden Sie unter: