適用於雲端的 Defender Apps 的數據安全性和隱私權做法

注意

本文提供瞭如何從裝置或服務中刪除個人資料的步驟,並可以用來支援您在 GDPR 下的義務。 如果您正在尋找有關 GDPR 的一般資訊,請參閱服務信任入口網站的 GDPR 區段

Microsoft Defender for Cloud Apps 是 Microsoft Cloud Security 堆疊的重要元件。 它是全方位的解決方案,可協助組織充分利用雲端應用程式的承諾。 適用於雲端的 Defender Apps 可讓您透過對敏感數據的完整可見度、稽核和細微控制來控制。

適用於雲端的 Defender Apps 有工具可協助您找出影子 IT 並評估風險,同時讓您強制執行原則並調查活動。 它可協助您即時控制存取並阻止威脅,讓您的組織能更安全地移至雲端。

適用於雲端的 Defender Apps 合規性

在每天發生數據外泄和攻擊的世界中,組織必須選擇雲端存取安全性代理程式 (CASB) 來盡一切努力保護其數據。 適用於雲端的 Defender Apps,就像所有 Microsoft 雲端產品和服務一樣,都是為了解決客戶嚴格的安全性和隱私權需求而建置的。

為了協助組織遵守規範個人數據的收集和使用的國家/地區和產業特定需求,適用於雲端的 Defender Apps 提供一組完整的合規性供應專案。 合規性供應項目包括認證和證明。

合規性架構和供應項目

適用於雲端的 Defender Apps 符合許多國際和業界特定的合規性標準,包括但不限於:

Organization 標題 描述
logo csa attestation. CSA STAR 證明 根據獨立稽核,Azure 和 Intune 榮獲雲端安全性聯盟 (Cloud Security Alliance) 的 STAR 證明。
logo csa certification. CSA STAR Certification Azure、Intune 和 Power BI 榮獲雲端安全性聯盟 (Cloud Security Alliance) STAR 認證的金級。
logo EU model clauses. 歐盟示範條款 Microsoft 提供歐盟標準合約條款,針對個人資料的傳輸提供保證。
logo HIPAA. HIPAA/HITECH Microsoft 提供健康保險流通與責任法案業務聯盟合約 (BAA)。
logo iso 9001. ISO 9001 Microsoft 針對這些品質管理標準的實作已通過認證。
logo iso 27001. ISO/IEC 27001 Microsoft 針對這些資訊安全性管理標準的實作已通過認證。
logo iso 27018. ISO/IEC 27018 Microsoft 是第一個遵守此雲端隱私權實務準則的雲端提供者。
logo PCI. PCI DSS Azure 符合支付卡產業資料安全標準層級 1 的 3.1 版。
logo SOC. SOC 1 和 SOC 2 類型 2 報告 Microsoft 雲端服務符合運作安全性的服務組織控制 (Service Organization Controls) 標準。
logo SOC. SOC 3 Microsoft 雲端服務符合運作安全性的服務組織控制 (Service Organization Controls) 標準。
logo g-cloud. 英國 G-Cloud 皇冠商業服務 (Crown Commercial Service) 已將 Microsoft 雲端服務分類更新為 Government Cloud v6。

如需詳細資訊,請移至 Microsoft 合規性供應專案

隱私權

您是資料的擁有者

  • 在 適用於雲端的 Defender Apps 中,您的系統管理員可以使用搜尋列,從入口網站檢視儲存在服務中的可識別個人資料。

  • 管理員 可以搜尋特定使用者的元數據或用戶活動。 選取實體會開啟 [ 使用者] 頁面。 [ 使用者] 頁面提供從連線雲端應用程式提取之實體的完整詳細數據。 它也為使用者提供與使用者相關的活動歷程記錄和安全性警示。

  • 您的資料都屬於您,且您可隨時取消訂用帳戶,以及要求刪除自己的資料。 如果您未續約訂閱,您的數據將會在在線服務條款中指定的時程表內刪除。

  • 如果您選擇終止服務,您還是可將資料帶走。

適用於雲端的 Defender Apps 是您數據的處理器

  • 適用於雲端的 Defender Apps 只會針對與提供您訂閱之服務一致的用途使用您的數據。

  • 如果政府與 Microsoft 接洽要求存取您的資料,Microsoft 會盡可能地將查詢轉送給您 (客戶)。 Microsoft 已對無效的法律要求提出質疑,這些要求已禁止公開政府對客戶資料提出的要求。 深入了解誰可以存取您的資料,以及條件為何 \(英文\)。

隱私權控制

  • 隱私權控制可協助您設定組織中可存取服務的人員,以及可存取的項目。

更新個人資料

使用者相關個人資料是衍生自所使用 SaaS 應用程式中的使用者的物件。 因此,對這些應用程式中使用者配置檔所做的任何變更,都反映在 適用於雲端的 Defender Apps 中。

資料位置

適用於雲端的 Defender 應用程式目前在歐盟、英國和 美國 的數據中心運作(每個「地區」)。

適用於雲端的 Defender Apps 使用世界各地的 Azure 資料中心,透過地理位置提供優化的效能。 這表示用戶會話可能會裝載在特定區域之外,視流量模式及其位置而定。 不過,為了保護您的隱私權,這些數據中心不會儲存任何會話數據。

如需詳細資訊,請參閱 Microsoft 信任中心

適用於雲端的 Defender Apps 資料儲存位置

服務收集的客戶數據會以待用方式儲存,如下所示:

客戶布建位置 數據儲存位置
在歐盟或英國布建其租用戶的客戶 歐盟或英國
所有其他客戶 最接近客戶 Microsoft Entra 租使用者布建位置的地理位置

如果 適用於雲端的 Defender Apps 使用其他 Microsoft 在線服務,例如 Microsoft Entra ID 或 Azure CDN 來處理這類數據,則數據地理位置是由該其他在線服務的數據儲存規則所定義。

應用程式控管資料儲存位置

服務收集的客戶數據會以待用方式儲存,如下所示:

客戶布建位置 數據儲存位置
在 美國 中布建租用戶的客戶 美國
在歐盟或英國布建其租用戶的客戶 歐盟或英國
在亞太地區布建租用戶的客戶 亞太地區或 美國
在加拿大布建租用戶的客戶 加拿大或 美國
在印度布建租用戶的客戶 印度或 美國
在任何其他區域中布建租用戶的客戶 地理位置中最接近客戶 Microsoft Entra 租使用者布建位置的 美國 或數據中心

如果應用程式控管使用其他 Microsoft 在線服務,例如 Microsoft Entra ID 或 Azure CDN 來處理這類數據,則數據地理位置是由該其他在線服務的數據儲存規則所定義。

應用程式控管現在是 適用於雲端的 Microsoft Defender 應用程式的一部分。 對於現有的客戶,到 2024 年 6 月,我們將移動您的數據,以符合您的 適用於雲端的 Microsoft Defender Apps 數據落地。 您的端不需要任何工作,而且不會有任何服務中斷。 如需詳細資訊,請參閱 適用於雲端的 Defender Apps 資料儲存位置

透明

Microsoft 針對其實務提供了透明度:

  • 與您共用您資料儲存的位置。
  • 保證資料僅會用於傳遞雙方同意的服務。
  • 明確說明 Microsoft 工程師和核准的次承攬人使用此資料提供服務的方式。

Microsoft 會使用嚴格的控制來管理客戶數據的存取權,並授與完成關鍵工作所需的最低存取層級,並在不再需要時撤銷存取權。

資料保護

適用於雲端的 Defender 應用程式會在內容檢查期間強制執行資料保護。 檔案內容不會儲存在 適用於雲端的 Defender Apps 資料中心。 只有檔案記錄的中繼資料和任何已識別的相符項目會進行儲存。

資料保留

適用於雲端的 Defender Apps 會保留數據,如下所示:

  • 活動記錄:180 天
  • 探索資料:90 天
  • 警示︰180 天
  • 治理記錄:120 天

若要深入了解 Microsoft 的資料處理實務,請閱讀線上服務條款 \(英文\)。

深入了解透明度

資料共用

適用於雲端的 Defender Apps 共享數據,包括客戶數據在內的下列 Microsoft 產品中也由客戶授權:

  • 適用於雲端的 Microsoft Defender

  • Microsoft Sentinel

  • 適用於端點的 Microsoft Defender

  • Microsoft Defender 曝光管理 (公開預覽)

  • Microsoft Purview

  • Microsoft Purview

刪除個人資料中

從連線的雲端應用程式刪除使用者帳戶之後,適用於雲端的 Defender 應用程式會自動刪除兩年內的數據複本。

匯出個人資料中

適用於雲端的 Defender Apps 可讓您匯出至 CSV 的所有用戶活動和安全性警示資訊。

資料流程

適用於雲端的 Defender Apps 可讓您方便使用某些數據,例如警示和活動,而不會中斷您通常的安全性工作流程。 例如,SecOps 可能偏好在其慣用 SIEM 產品中檢視警示,例如 Microsoft Sentinel。 若要啟用這類工作流程,在與 Microsoft 或第三方產品整合時,適用於雲端的 Defender Apps 會透過它們公開某些數據。

下表顯示每個產品整合所呈現的數據:

Microsoft 產品

Products 公開的數據 組態
Microsoft Defender XDR 警示和用戶活動 在上線時自動在 Microsoft Defender 全面偵測回應 上啟用
Microsoft Sentinel 警示和探索數據 在 適用於雲端的 Defender Apps 中啟用,並在 Microsoft Sentinel 中設定
Microsoft Purview 合規性入口網站 Microsoft 365 的警示 自動串流至 Microsoft Purview 合規性入口網站
適用於雲端的 Microsoft Defender Azure 的警示 默認在 適用於雲端的 Defender Apps 中啟用;可以在 適用於雲端的 Microsoft Defender 中停用
Microsoft Graph 安全性 API。 警示 可透過 Microsoft Graph 安全性 API 取得
Microsoft Power Automate 傳送來觸發自動化流程的警示 在 適用於雲端的 Defender Apps 中設定
Microsoft 威脅專家 警示 自動串流至 Microsoft 威脅專家
Microsoft Entra ID Protection 警示 自動串流至 Microsoft Entra ID Protection
Microsoft Entra ID Protection 身分識別風險模型的警示子集 在上線時自動在 Microsoft Entra ID Protection 上啟用

第三方產品

整合類型 公開的數據 組態
使用 SIEM 代理程式 警示和事件 在 適用於雲端的 Defender Apps 中啟用和設定
使用 適用於雲端的 Defender Apps REST API 警示和事件 在 適用於雲端的 Defender Apps 中啟用和設定
ICAP 連接器 DLP 掃描的檔案 在 適用於雲端的 Defender Apps 中啟用和設定

注意

其他產品可能不會強制執行 適用於雲端的 Defender 應用程式角色型安全性許可權,以控制誰可以存取哪些數據。 因此,在與其他產品整合之前,請確定您瞭解要將哪些數據傳送至您想要使用的產品,以及誰可以存取它。

安全性

加密

Microsoft 會使用加密技術來保護數據,同時在 Microsoft 資料庫中待用,以及在使用者裝置與 適用於雲端的 Defender Apps 數據中心之間移動時。 此外,適用於雲端的 Defender Apps 與已連線應用程式之間的所有通訊都會使用 HTTPS 加密。

注意

適用於雲端的 Defender 應用程式利用傳輸層安全性 (TLS) 通訊協定 1.2+ 提供最佳類別加密。 使用工作階段控制項設定時,將無法存取不支援 TLS 1.2+ 的原生用戶端應用程式和瀏覽器。 不過,使用TLS 1.1 或更低版本的 SaaS 應用程式會在瀏覽器中顯示為使用 TLS 1.2+ 設定 適用於雲端的 Defender 應用程式。

身分識別和存取管理

適用於雲端的 Defender Apps 可讓您使用 Microsoft Entra ID,根據地理位置限制系統管理員存取入口網站。 您可能需要多重要素驗證,才能使用 Microsoft Entra ID 存取 適用於雲端的 Defender Apps 入口網站。

權限

適用於雲端的 Defender Apps 支援角色型訪問控制。 Microsoft 365 和 Microsoft Entra 全域管理員和安全性系統管理員角色具有 適用於雲端的 Defender 應用程式的完整存取權,而安全性讀取者具有讀取許可權。 詳細資訊

組織合規性的客戶控制

限域部署

適用於雲端的 Defender Apps 可讓您設定部署的範圍。 範圍可讓您只使用 適用於雲端的 Defender Apps 來管理特定群組,或從 適用於雲端的 Defender Apps 治理中排除特定群組。 如需詳細資訊,請參閱限定範圍的部署

匿名

您可以選擇讓 Cloud Discovery 的報告維持匿名。 將記錄檔上傳至 適用於雲端的 Microsoft Defender Apps 之後,所有使用者名稱資訊都會取代為加密的用戶名稱。 若要進行特定的安全性調查,您可以解析為真正的使用者名稱。 搭配使用 AES-128 與每個租用戶的專用金鑰,來加密私人資料。 詳細資訊

適用於雲端的 Defender 應用程式美國政府 GCC High 客戶的安全性與隱私權

如需 適用於雲端的 Defender Apps 合規性標準和美國政府 GCC High 客戶數據位置的相關信息,請參閱美國政府服務的企業行動力 + 安全性描述

下一步

取得 適用於雲端的 Defender Apps 的免費試用版,並瞭解其如何符合您的商務挑戰。