Řízení podmíněného přístupu k aplikacím v programu Microsoft Defender for Cloud Apps
Na dnešním pracovišti nestačí vědět, co se stalo ve vašem cloudovém prostředí po faktu. Musíte také zastavit porušení a úniky v reálném čase a zabránit zaměstnancům úmyslně nebo neúmyslně riskovat data a organizaci.
Chcete podporovat uživatele ve vaší organizaci, zatímco používají nejlepší cloudové aplikace, které jsou k dispozici, a přineste si vlastní zařízení. Potřebujete ale také nástroje pro ochranu vaší organizace před únikem dat a krádeží v reálném čase. Microsoft Defender for Cloud Apps se integruje s libovolným zprostředkovatelem identity (IDP) a zajišťuje tuto ochranu pomocí zásad přístupu a relací .
Příklad:
Pomocí zásad přístupu můžete:
- Blokování přístupu k Salesforce pro uživatele přicházející z nespravovaných zařízení
- Blokování přístupu k Dropboxu pro nativní klienty
Zásady relací použijte k:
- Blokování stahování citlivých souborů z OneDrivu na nespravovaná zařízení
- Blokování nahrávání souborů malwaru do SharePointu Online
Uživatelé Microsoft Edge využívají přímou ochranu v prohlížeči označenou ikonou zámku 
zobrazenou na adresním řádku prohlížeče.
Uživatelé jiných prohlížečů se přesměrují přes reverzní proxy server do Defenderu for Cloud Apps a v adrese URL odkazu se zobrazí *.mcas.ms přípona. Pokud je například adresa URL aplikace myapp.com, adresa URL aplikace se aktualizuje na myapp.com.mcas.ms.
Tento článek popisuje řízení aplikací podmíněného přístupu v programu Defender for Cloud Apps pomocí zásad podmíněného přístupu Microsoft Entra.
Použitelnost
Řízení podmíněného přístupu k aplikacím nevyžaduje, abyste na zařízení nainstalovali nic, takže je ideální při monitorování nebo řízení relací z nespravovaných zařízení nebo partnerských uživatelů.
Defender for Cloud Apps používá k identifikaci a řízení aktivit provedených uživatelem v cílové aplikaci nejlepší heuristiku ve třídě. Naše heuristika je navržená tak, aby optimalizovala a vyvážit zabezpečení s použitelností.
V některých výjimečných situacích, kdy blokování aktivit na straně serveru vykreslí aplikaci nepoužitelnou, zabezpečujeme tyto aktivity pouze na straně klienta, což je potenciálně náchylné ke zneužití škodlivými účastníky programu Insider.
Výkon systému a úložiště dat
Defender for Cloud Apps používá datacentra Azure po celém světě k zajištění optimalizovaného výkonu prostřednictvím geografické polohy. To znamená, že relace uživatele může být hostována mimo konkrétní oblast v závislosti na vzorech provozu a jejich umístění. Kvůli ochraně osobních údajů se ale v těchto datových centrech neukládají žádná data relací.
Proxy servery Defender for Cloud Apps neukládají neaktivní uložená data. Při ukládání obsahu do mezipaměti dodržujeme požadavky stanovené v DOKUMENTU RFC 7234 (ukládání do mezipaměti HTTP) a pouze veřejný obsah mezipaměti.
Referenční informace o podporovaných aktivitách
Řízení podmíněného přístupu k aplikacím používá zásady přístupu a zásady relací k monitorování a řízení přístupu k uživatelským aplikacím a relacím v reálném čase v celé organizaci.
Každá zásada má podmínky pro definování , na koho (uživatele nebo skupinu uživatelů), co (které cloudové aplikace) a kde se zásady použijí (na která umístění a sítě). Po určení podmínek nasměrujte uživatele nejprve do Defenderu for Cloud Apps, kde můžete použít řízení přístupu a relací k ochraně dat.
Zásady přístupu a relací zahrnují následující typy aktivit:
| Aktivita | Popis |
|---|---|
| Prevence exfiltrace dat | Zablokujte stahování, vyjmutí, kopírování a tisk citlivých dokumentů na nespravovaných zařízeních. |
| Vyžadovat kontext ověřování | Znovu vyhodnocujte zásady podmíněného přístupu Microsoft Entra, pokud v relaci dojde k citlivé akci, například vyžadování vícefaktorového ověřování. |
| Ochrana při stahování | Místo blokování stahování citlivých dokumentů vyžadují, aby se dokumenty při integraci se službou Microsoft Purview Information Protection označily a zašifrovaly. Tato akce zajistí, že je dokument chráněný a přístup uživatelů je omezen v potenciálně rizikové relaci. |
| Zabránit nahrání neoznačené soubory | Zajistěte, aby se neoznačené soubory s citlivým obsahem neodesílaly, dokud uživatel obsah klasifikuje. Než se citlivý soubor nahraje, distribuuje a používá ostatní, je důležité se ujistit, že má citlivý soubor popisek definovaný zásadami vaší organizace. |
| Blokování potenciálního malwaru | Chraňte své prostředí před malwarem tím, že zablokuje nahrávání potenciálně škodlivých souborů. Jakýkoli soubor, který se nahraje nebo stáhne, se dá naskenovat na základě analýzy hrozeb Microsoftu a okamžitě zablokovat. |
| Monitorování uživatelských relací kvůli dodržování předpisů | Prozkoumejte a analyzujte chování uživatelů, abyste pochopili, kde a za jakých podmínek by se zásady relací měly v budoucnu použít. Rizikoví uživatelé se monitorují, když se přihlásí k aplikacím a jejich akce se zaprotokolují v rámci relace. |
| Blokování přístupu | Podrobné blokování přístupu pro konkrétní aplikace a uživatele v závislosti na několika rizikových faktorech Můžete je například zablokovat, pokud používají klientské certifikáty jako formu správy zařízení. |
| Blokování vlastních aktivit | Některé aplikace mají jedinečné scénáře, které riskují, například odesílání zpráv s citlivým obsahem v aplikacích, jako je Microsoft Teams nebo Slack. V těchto scénářích vyhledejte citlivé obsahy a zablokujte je v reálném čase. |
Další informace naleznete v tématu:
- Vytvoření zásad přístupu k Microsoft Defenderu pro Cloud Apps
- Vytvoření zásad relací v programu Microsoft Defender for Cloud Apps
Podporované aplikace a klienti
Použijte relaci a přístup k ovládacím prvkům na libovolné interaktivní jednotné přihlašování, které používá ověřovací protokol SAML 2.0. Ovládací prvky přístupu jsou podporovány také pro integrované mobilní a desktopové klientské aplikace.
Pokud navíc používáte aplikace Microsoft Entra ID, použijte řízení relací a přístupu na:
- Jakékoli interaktivní jednotné přihlašování, které používá ověřovací protokol Open ID Připojení.
- Aplikace hostované místně a nakonfigurované pomocí proxy aplikací Microsoft Entra.
Defender for Cloud Apps identifikuje aplikace využívající data z katalogu cloudových aplikací. Pokud jste přizpůsobili aplikace s moduly plug-in, musí se do příslušné aplikace v katalogu přidat všechny přidružené vlastní domény. Další informace najdete v tématu Práce s rizikovým skóre.
Poznámka:
Aplikace s neinteraktivními toky přihlašování, jako je aplikace Authenticator a další integrované aplikace, se nedají používat s ovládacími prvky přístupu.
Předem nasazené aplikace
Všechny webové aplikace nakonfigurované pomocí dříve zmíněných ověřovacích protokolů je možné připojit, aby fungovaly s řízením přístupu a relací. Kromě toho jsou už následující aplikace nasazené s ovládacími prvky přístupu i relací pro Microsoft Entra ID.
Poznámka:
Je potřeba směrovat požadované aplikace do řízení přístupu a relací a k provedení prvního přihlášení.
- AWS
- Box
- Concur
- CornerStone na vyžádání
- DocuSign
- DropBox
- Egnyte
- GitHubu
- Google Workspace
- HighQ
- JIRA/Confluence
- LinkedIn Learning
- Microsoft Azure DevOps (Visual Studio Team Services)
- Portál Microsoft Azure
- Microsoft Dynamics 365 CRM
- Microsoft Exchange Online
- Microsoft OneDrive pro firmy
- Microsoft Power BI
- Microsoft SharePoint Online
- Microsoft Teams
- Microsoft Yammer
- Salesforce
- Slack
- Tableau
- Workday
- Workiva
- Pracoviště z meta
Pokud máte zájem o předem nasazenou konkrétní aplikaci, pošlete nám podrobnosti o aplikaci. Nezapomeňte odeslat případ použití, který vás zajímá o jeho onboarding.
Podporované prohlížeče
I když jsou ovládací prvky relací vytvořené tak, aby fungovaly s libovolným prohlížečem na jakékoli hlavní platformě v jakémkoli operačním systému, podporujeme následující prohlížeče:
- Microsoft Edge (nejnovější)
- Google Chrome (nejnovější verze)
- Mozilla Firefox (nejnovější)
- Apple Safari (nejnovější)
Uživatelé Microsoft Edge využívají ochranu v prohlížeči bez přesměrování na reverzní proxy server. Další informace najdete v tématu Ochrana v prohlížeči pomocí Microsoft Edge pro firmy (Preview).<
Podpora aplikací pro protokol TLS 1.2 nebo novější
Defender for Cloud Apps používá protokoly TLS (Transport Layer Security) 1.2+ k zajištění nejlepšího šifrování ve třídě a integrovaných klientských aplikací a prohlížečů, které nepodporují protokol TLS 1.2 nebo novější, nejsou při konfiguraci řízení relace přístupné.
Aplikace SaaS, které používají protokol TLS 1.1 nebo nižší, se ale v prohlížeči zobrazí jako protokol TLS 1.2 nebo novější, když jsou nakonfigurované pro Defender for Cloud Apps.
Související obsah
Další informace naleznete v tématu: