Datasäkerhet och sekretesspraxis för Defender för molnet-appar
Kommentar
Den här artikeln tillhandahåller anvisningar om hur du tar bort personliga data från enheten eller tjänsten och den kan vara ett stöd för dina skyldigheter enligt GDPR. Om du letar efter allmän information om GDPR hittar du det i GDPR-avsnittet på Service Trust Portal.
Microsoft Defender för molnet Apps är en viktig komponent i Microsoft Cloud Security-stacken. Det är en omfattande lösning som hjälper din organisation att dra full nytta av löftet om molnprogram. Defender för molnet Apps ger dig kontroll genom omfattande synlighet, granskning och detaljerade kontroller över dina känsliga data.
Defender för molnet Apps har verktyg som hjälper dig att upptäcka skugg-IT och bedöma risker samtidigt som du kan tillämpa principer och undersöka aktiviteter. Det hjälper dig att kontrollera åtkomsten i realtid och stoppa hot så att din organisation kan flytta till molnet på ett säkrare sätt.
Defender för molnet Apps-efterlevnad
I en värld där dataintrång och attacker sker dagligen är det viktigt för organisationer att välja en Cloud Access Security Broker (CASB) som gör allt de kan för att skydda sina data. Defender för molnet Apps, liksom alla Microsofts molnprodukter och -tjänster, är byggda för att hantera våra kunders rigorösa krav på säkerhet och sekretess.
För att hjälpa organisationer att uppfylla nationella/regionala och branschspecifika krav som styr insamling och användning av enskildas data tillhandahåller Defender för molnet Apps en omfattande uppsättning efterlevnadserbjudanden. Efterlevnadserbjudandena omfattar certifieringar och intyg.
Efterlevnadsramverk och erbjudanden
Defender för molnet Apps uppfyller många internationella och branschspecifika efterlevnadsstandarder, inklusive, men inte begränsat till:
| Organisation | Title | Description |
|---|---|---|
 |
CSA STAR Attestation | Azure och Intune tilldelades Cloud Security Alliance STAR-attestering baserat på en oberoende granskning. |
|
CSA STAR-certifiering | Azure, Intune och Power BI tilldelades Cloud Security Alliance STAR-certifiering på guldnivå. |
 |
EU-modellklausuler | Microsoft erbjuder EU:s standardavtalsklausuler, garantier för överföring av personuppgifter. |
 |
HIPAA/HITECH | Microsoft erbjuder Health Insurance Portability & Accountability Act Business Associate Agreements (BAAs). |
 |
ISO 9001 | Microsoft är certifierat för implementeringen av dessa kvalitetshanteringsstandarder. |
 |
ISO/IEC 27001 | Microsoft är certifierat för implementeringen av dessa standarder för informationssäkerhetshantering. |
 |
ISO/IEC 27018 | Microsoft var den första molnleverantören som följde den här uppförandekoden för molnsekretess. |
 |
PCI DSS | Azure följer Payment Card Industry Data Security Standards Level 1 version 3.1. |
 |
SOC 1- och SOC 2 Typ 2-rapporter | Microsofts molntjänster följer serviceorganisationens kontrollstandarder för driftsäkerhet. |
|
SOC 3 | Microsofts molntjänster följer serviceorganisationens kontrollstandarder för driftsäkerhet. |
 |
UK G-Cloud | Crown Commercial Service förnyade Microsofts klassificering av molntjänster till Government Cloud v6. |
Mer information finns i Microsofts efterlevnadserbjudanden.
Sekretess
Du äger dina data
I Defender för molnet Appar kan dina administratörer visa identifierbara personuppgifter som lagras i tjänsten från portalen med hjälp av sökfältet.
Administratörer kan söka efter en specifik användares metadata eller användarens aktivitet. Om du väljer en entitet öppnas sidan Användare. Sidan Användare innehåller omfattande information om entiteten som hämtas från anslutna molnprogram. Den innehåller också användarens aktivitetshistorik och säkerhetsaviseringar som är relaterade till användaren.
Du äger dina data och kan avbryta prenumerationer och begära borttagning av dina data när som helst. Om du inte förnyar din prenumeration tas dina data bort inom den tidslinje som anges i villkoren för onlinetjänster.
Om du väljer att avsluta tjänsten kan du ta med dig dina data.
Defender för molnet Apps är processorn för dina data
Defender för molnet Apps använder endast dina data för ändamål som är konsekventa med att tillhandahålla de tjänster som du prenumererar på.
Om en myndighet närmar sig Microsoft för åtkomst till dina data omdirigerar Microsoft förfrågan till dig, kunden, när det är möjligt. Microsoft har ifrågasatt juridiska krav som inte var giltiga, vilket förbjöd avslöjande av en myndighetsbegäran om kunddata. Läs mer om vem som kan komma åt dina data och vilka villkor.
Sekretesskontroller
- Sekretesskontroller hjälper dig att konfigurera vem i din organisation som har åtkomst till tjänsten och vad de kan komma åt.
Uppdatera personliga data
Personuppgifter om användare härleds från användarens objekt i de SaaS-program som används. På grund av detta återspeglas alla ändringar som görs i användarprofilen i dessa program i Defender för molnet-appar.
Dataplats
Defender för molnet Apps fungerar för närvarande i datacenter i Europeiska unionen, Storbritannien och USA (var och en ett "Geo").
Defender för molnet Apps använder Azure Data Centers runt om i världen för att ge optimerad prestanda via geoplats. Det innebär att en användares session kan finnas utanför en viss region, beroende på trafikmönster och deras plats. Men för att skydda din integritet lagras inga sessionsdata i dessa datacenter.
För mer information, se Microsoft Trust Center.
Defender för molnet Apps-datalagringsplatser
Kunddata som samlas in av tjänsten lagras i vila enligt följande:
| Plats för kundetablering | Datalagringsplats |
|---|---|
| Kunder vars hyresgäster etableras i Europeiska unionen eller Storbritannien | Antingen Europeiska unionen eller Förenade kungariket |
| Alla andra kunder | Den geo som ligger närmast platsen där kundens Microsoft Entra-klientorganisation har etablerats |
Om Defender för molnet Apps använder en annan Microsoft-onlinetjänst, till exempel Microsoft Entra-ID eller Azure CDN för att bearbeta sådana data, definieras datageoplatsen av datalagringsreglerna för den andra onlinetjänsten.
Lagringsplatser för appstyrningsdata
Kunddata som samlas in av tjänsten lagras i vila enligt följande:
| Plats för kundetablering | Datalagringsplats |
|---|---|
| Kunder vars klienter etableras i USA | USA |
| Kunder vars hyresgäster etableras i Europeiska unionen eller Storbritannien | Antingen Europeiska unionen eller Förenade kungariket |
| Kunder vars klienter etableras i Asien och Stillahavsområdet | Antingen Asien och Stillahavsområdet eller USA |
| Kunder vars klienter etableras i Kanada | Kanada eller USA |
| Kunder vars klienter etableras i Indien | Antingen Indien eller USA |
| Kunder vars klienter etableras i någon annan region | USA eller ett datacenter i Geo som ligger närmast platsen där kundens Microsoft Entra-klient har etablerats |
Om Appstyrning använder en annan Microsoft-onlinetjänst, till exempel Microsoft Entra-ID eller Azure CDN för att bearbeta sådana data, definieras datageoplatsen av datalagringsreglerna för den andra onlinetjänsten.
Appstyrning är nu en del av Microsoft Defender för molnet Apps. För befintliga kunder kommer vi senast i juni 2024 att flytta dina data så att de matchar din Microsoft Defender för molnet Apps-datahemvist. Det krävs inget arbete på din sida och det kommer inte att uppstå några avbrott i tjänsten. Mer information finns i Defender för molnet Appars datalagringsplatser.
Transparency
Microsoft tillhandahåller transparens om sina metoder:
- Dela med dig där dina data lagras.
- Bekräftar att dina data endast används för att leverera avtalade tjänster.
- Ange hur Microsofts tekniker och godkända underleverantörer använder dessa data för att tillhandahålla tjänster.
Microsoft använder strikta kontroller för att styra åtkomsten till kunddata, ge den lägsta åtkomstnivå som krävs för att slutföra viktiga uppgifter och återkalla åtkomst när den inte längre behövs.
Dataskydd
Defender för molnet Apps framtvingar dataskydd under innehållsgranskning. Filinnehåll lagras inte i Defender för molnet Apps-datacentret. Endast metadata för filposterna och eventuella matchningar som har identifierats lagras.
Datakvarhållning
Defender för molnet Apps behåller data på följande sätt:
- Aktivitetsloggen: 180 dagar
- Identifieringsdata: 90 dagar
- Aviseringar: 180 dagar
- Styrningslogg: 120 dagar
Du kan lära dig mer om Microsofts datametoder genom att läsa villkoren för onlinetjänsten.
Dela data
Defender för molnet Apps delar data, inklusive kunddata, bland följande Microsoft-produkter som också licensieras av kunden:
Microsoft Defender for Cloud
Microsoft Sentinel
Microsoft Defender för slutpunkter
Microsoft Security Exposure Management (offentlig förhandsversion)
Microsoft Purview
Microsoft Purview
Ta bort personlig information
När en användares konto har tagits bort från ett anslutet molnprogram tar Defender för molnet Apps automatiskt bort kopian av data inom två år.
Exportera personuppgifter
Defender för molnet Apps ger dig möjlighet att exportera all användaraktivitet och säkerhetsaviseringsinformation till CSV.
Dataflöde
Defender för molnet Apps ger dig bekvämligheten att arbeta med vissa data, till exempel aviseringar och aktiviteter, utan att störa ditt vanliga säkerhetsarbetsflöde. Till exempel kanske SecOps föredrar att visa aviseringar i sin önskade SIEM-produkt, till exempel Microsoft Sentinel. Om du vill aktivera sådana arbetsflöden, när du integrerar med Microsoft eller produkter från tredje part, exponerar Defender för molnet Apps vissa data via dem.
I följande tabell visas vilka data som visas för varje produktintegrering:
Microsoft-produkter
| Produkt | Exponerade data | Konfiguration |
|---|---|---|
| Microsoft Defender XDR | Aviseringar och användaraktiviteter | Aktiverad automatiskt på Microsoft Defender XDR vid registrering |
| Microsoft Sentinel | Aviseringar och identifieringsdata | Aktiverad i Defender för molnet-appar och konfigurerad i Microsoft Sentinel |
| Efterlevnadsportal i Microsoft Purview | Aviseringar för Microsoft 365 | Strömmas automatiskt till efterlevnadsportal i Microsoft Purview |
| Microsoft Defender for Cloud | Aviseringar för Azure | Aktiverad som standard i Defender för molnet Apps. kan inaktiveras i Microsoft Defender för molnet |
| Microsoft Graph Security API | Aviseringar | Tillgänglig via Microsoft Graph API för säkerhet |
| Microsoft Power Automate | Aviseringar som skickas för att utlösa ett automatiserat flöde | Konfigurerad i Defender för molnet-appar |
| Microsoft Hotexperter | Aviseringar | Strömmas automatiskt till Microsoft Hotexperter |
| Microsoft Entra ID Protection | Aviseringar | Strömmas automatiskt till Microsoft Entra ID Protection |
| Microsoft Entra ID Protection | Delmängd av aviseringar för identitetsriskmodell | Aktiverad automatiskt på Microsoft Entra ID Protection vid registrering |
Produkter från tredje part
| Integrationstyp | Exponerade data | Konfiguration |
|---|---|---|
| Använda en SIEM-agent | Aviseringar och händelser | Aktiverad och konfigurerad i Defender för molnet-appar |
| Använda rest-API:et för Defender för molnet-appar | Aviseringar och händelser | Aktiverad och konfigurerad i Defender för molnet-appar |
| ICAP-anslutningsapp | Fil för DLP-genomsökning | Aktiverad och konfigurerad i Defender för molnet-appar |
Kommentar
Andra produkter kanske inte framtvingar rollbaserade säkerhetsbehörigheter för Defender för molnet Appar för att styra vem som har åtkomst till vilka data. Innan du integrerar med andra produkter bör du därför se till att du förstår vilka data som skickas till den produkt som du vill använda och vem som har åtkomst till den.
Säkerhet
Kryptering
Microsoft använder krypteringsteknik för att skydda dina data i vila i en Microsoft-databas och när de färdas mellan användarenheter och Defender för molnet Apps-datacenter. Dessutom krypteras all kommunikation mellan Defender för molnet-appar och anslutna appar med HTTPS.
Kommentar
Defender för molnet Apps använder TLS-protokoll (Transport Layer Security) 1.2+ för att tillhandahålla förstklassig kryptering. Interna klientprogram och webbläsare som inte stöder TLS 1.2+, kommer inte att vara tillgängliga när de konfigureras med sessionskontroll. SaaS-appar som använder TLS 1.1 eller lägre visas dock i webbläsaren som att använda TLS 1.2+ när de konfigureras med Defender för molnet Apps.
Identitets- och åtkomsthantering
Defender för molnet Apps kan du begränsa åtkomsten för administratörer till portalen baserat på geoplats med hjälp av Microsoft Entra-ID. Det går att kräva multifaktorautentisering för att få åtkomst till portalen Defender för molnet Apps med hjälp av Microsoft Entra-ID.
Behörigheter
Defender för molnet Apps stöder rollbaserad åtkomstkontroll. Microsoft 365- och Microsoft Entra Global admin- och säkerhetsadministratörsroller har fullständig åtkomst till Defender för molnet-appar och säkerhetsläsare har läsåtkomst. För mer information.
Kundkontroller för organisationsefterlevnad
Omfångsdistribution
Defender för molnet Apps kan du omfångsbegränsa distributionen. Med omfång kan du endast styra specifika grupper med hjälp av Defender för molnet-appar, eller att exkludera specifika grupper från Defender för molnet Apps-styrning. Mer information finns i Begränsad distribution.
Maskering
Du kan välja att hålla Cloud Discovery-rapporter anonyma. När loggfilerna har laddats upp till Microsoft Defender för molnet Appar ersätts all användarnamnsinformation med krypterade användarnamn. För specifika säkerhetsundersökningar kan du lösa det verkliga användarnamnet. Privata data krypteras med AES-128 med en dedicerad nyckel per klient. För mer information.
Säkerhet och sekretess för Defender för molnet Apps US Government GCC High-kunder
Information om Defender för molnet Appars efterlevnadsstandarder och platsen för data för GCC High-kunder för amerikanska myndigheter finns i Beskrivning av tjänsten Enterprise Mobility + Security för US Government.
Nästa steg
- översikt över Defender för molnet Apps
- dokumentation om Defender för molnet-appar
- Registrera dig för Defender för molnet-appar
Få en kostnadsfri utvärderingsversion av Defender för molnet Apps och se hur den uppfyller dina affärsutmaningar.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för