Řízení aplikací podmíněného přístupu v Programu Microsoft Defender for Cloud Apps
Na dnešním pracovišti nestačí vědět, co se stalo ve vašem cloudovém prostředí po faktu. V reálném čase je potřeba zastavit porušení a úniky. Musíte také zaměstnancům zabránit úmyslně nebo neúmyslně riskovat data a organizaci.
Chcete podporovat uživatele ve vaší organizaci, zatímco používají nejlepší cloudové aplikace, které jsou k dispozici, a přineste si vlastní zařízení. Potřebujete ale také nástroje pro ochranu vaší organizace před únikem dat a krádeží v reálném čase. Microsoft Defender for Cloud Apps se integruje s libovolným zprostředkovatelem identity (IDP) a zajišťuje tuto ochranu pomocí zásad přístupu a relací .
Příklad:
Pomocí zásad přístupu můžete:
- Zablokujte přístup k Salesforce pro uživatele nespravovaných zařízení.
- Blokování přístupu k Dropboxu pro nativní klienty
Zásady relací použijte k:
- Blokování stahování citlivých souborů z OneDrivu na nespravovaná zařízení
- Blokování nahrávání souborů malwaru do SharePointu Online
Uživatelé Microsoft Edge můžou využívat přímou ochranu v prohlížeči. Tato ochrana označuje ikonu zámku 
na panelu Adresa prohlížeče.
Uživatelé jiných prohlížečů se přesměrují přes reverzní proxy na Defender for Cloud Apps. Tyto prohlížeče zobrazují *.mcas.ms příponu v adrese URL odkazu. Pokud je myapp.comadresa URL aplikace například , adresa URL aplikace se aktualizuje na myapp.com.mcas.ms.
Tento článek popisuje řízení aplikací podmíněného přístupu v programu Defender for Cloud Apps prostřednictvím zásad podmíněného přístupu Microsoft Entra.
Aktivity v řízení aplikace podmíněného přístupu
Řízení podmíněného přístupu používá zásady přístupu a zásady relací k monitorování a řízení přístupu k uživatelským aplikacím a relacím v reálném čase v celé organizaci.
Každá zásada má podmínky pro definování , na koho (uživatele nebo skupinu uživatelů), co (které cloudové aplikace) a kde se zásady použijí (na která umístění a sítě). Jakmile určíte podmínky, nejprve směrujte uživatele do Defenderu for Cloud Apps. Tam můžete použít řízení přístupu a relací, které vám pomůžou chránit vaše data.
Zásady přístupu a relací zahrnují následující typy aktivit:
| Aktivita | Popis |
|---|---|
| Prevence exfiltrace dat | Zablokujte stahování, vyjmutí, kopírování a tisk citlivých dokumentů na nespravovaných zařízeních (například). |
| Vyžadovat kontext ověřování | Znovu vyhodnocujte zásady podmíněného přístupu Microsoft Entra, pokud v relaci dojde k citlivé akci, například vyžadování vícefaktorového ověřování. |
| Ochrana při stahování | Místo blokování stahování citlivých dokumentů vyžadují, aby se dokumenty při integraci se službou Microsoft Purview Information Protection označily a zašifrovaly. Tato akce pomáhá chránit dokument a omezit přístup uživatelů v potenciálně rizikové relaci. |
| Zabránit nahrání neoznačené soubory | Ujistěte se, že nahrávání neoznačené soubory s citlivým obsahem je blokováno, dokud uživatel obsah klasifikuje. Než uživatel nahraje, distribuuje nebo použije citlivý soubor, musí mít soubor popisek, který definovala zásada vaší organizace. |
| Blokování potenciálního malwaru | Pomozte chránit vaše prostředí před malwarem tím, že zablokuje nahrávání potenciálně škodlivých souborů. Jakýkoli soubor, který se uživatel pokusí nahrát nebo stáhnout, se dá naskenovat proti funkci Microsoft Threat Intelligence a okamžitě zablokovat. |
| Monitorování uživatelských relací kvůli dodržování předpisů | Prozkoumejte a analyzujte chování uživatelů, abyste pochopili, kde a za jakých podmínek by se zásady relací měly v budoucnu použít. Rizikoví uživatelé se sledují, když se přihlásí k aplikacím a jejich akce se zaprotokolují v rámci relace. |
| Blokování přístupu | Podrobné blokování přístupu pro konkrétní aplikace a uživatele v závislosti na několika rizikových faktorech Můžete je například zablokovat, pokud používají klientské certifikáty jako formu správy zařízení. |
| Blokování vlastních aktivit | Některé aplikace mají jedinečné scénáře, které nesou riziko. Příkladem je odesílání zpráv s citlivým obsahem v aplikacích, jako je Microsoft Teams nebo Slack. V těchto scénářích vyhledejte citlivé obsahy a zablokujte je v reálném čase. |
Další informace naleznete v tématu:
- Vytvoření zásad přístupu k Microsoft Defenderu pro Cloud Apps
- Vytvoření zásad relací v programu Microsoft Defender for Cloud Apps
Použitelnost
Řízení aplikací podmíněného přístupu nevyžaduje, abyste na zařízení nainstalovali nic, takže je ideální, když monitorujete nebo řídíte relace z nespravovaných zařízení nebo partnerských uživatelů.
Defender for Cloud Apps používá patentované heuristiky k identifikaci a řízení aktivit uživatelů v cílové aplikaci. Heuristika je navržená tak, aby optimalizovala a vyvažoval zabezpečení s použitelností.
V některých výjimečných scénářích blokování aktivit na straně serveru vykreslí aplikaci nepoužitelnou, takže organizace tyto aktivity zabezpečí jenom na straně klienta. Díky tomuto přístupu mohou být potenciálně náchylní ke zneužití škodlivými účastníky programu Insider.
Výkon systému a úložiště dat
Defender for Cloud Apps využívá datacentra Azure po celém světě k zajištění optimalizovaného výkonu prostřednictvím geografické polohy. Relace uživatele může být hostována mimo konkrétní oblast v závislosti na vzorech provozu a jejich umístění. Kvůli ochraně osobních údajů uživatelů ale tato datacentra neukládají žádná data relace.
Proxy servery Defender for Cloud Apps neukládají neaktivní uložená data. Při ukládání obsahu do mezipaměti dodržujeme požadavky stanovené v DOKUMENTU RFC 7234 (ukládání do mezipaměti HTTP) a ukládáme do mezipaměti pouze veřejný obsah.
Podporované aplikace a klienti
Použití relací a řízení přístupu u libovolného interaktivního jednotného přihlašování, které používá ověřovací protokol SAML 2.0. Ovládací prvky přístupu jsou podporovány také pro integrované mobilní a desktopové klientské aplikace.
Pokud navíc používáte aplikace Microsoft Entra ID, použijte řízení relací a přístupu na:
- Jakékoli interaktivní jednotné přihlašování, které používá ověřovací protokol OpenID Connect.
- Aplikace hostované místně a nakonfigurované pomocí proxy aplikací Microsoft Entra.
Aplikace Microsoft Entra ID jsou také automaticky nasazené pro řízení aplikací podmíněného přístupu, zatímco aplikace, které používají jiné zprostředkovatele identity, musí být nasazeny ručně.
Defender for Cloud Apps identifikuje aplikace pomocí dat z katalogu cloudových aplikací. Pokud jste přizpůsobili aplikace s moduly plug-in, musíte do příslušné aplikace v katalogu přidat všechny přidružené vlastní domény. Další informace najdete v tématu Vyhledání cloudové aplikace a výpočet skóre rizika.
Poznámka:
Nemůžete používat nainstalované aplikace, které mají neinteraktivní toky přihlašování, jako je aplikace Authenticator a další předdefinované aplikace, s řízením přístupu. V takovém případě doporučujeme vytvořit zásady přístupu v Centru pro správu Microsoft Entra kromě zásad přístupu v programu Microsoft Defender for Cloud Apps.
Rozsah podpory řízení relací
Přestože jsou ovládací prvky relací vytvořené tak, aby fungovaly s libovolným prohlížečem na jakékoli hlavní platformě v jakémkoli operačním systému, podporujeme nejnovější verze následujících prohlížečů:
Uživatelé Microsoft Edge využívají ochranu v prohlížeči bez přesměrování na reverzní proxy server. Další informace najdete v tématu Ochrana v prohlížeči pomocí Microsoft Edge pro firmy (Preview).
Podpora aplikací pro protokol TLS 1.2 nebo novější
Defender for Cloud Apps k zajištění šifrování používá protokoly TLS (Transport Layer Security) 1.2 nebo novější. Integrované klientské aplikace a prohlížeče, které nepodporují protokol TLS 1.2 nebo novější, nejsou přístupné, když je nakonfigurujete pomocí řízení relace.
Aplikace saaS (software jako služba), které používají protokol TLS 1.1 nebo starší, se ale v prohlížeči zobrazí jako při konfiguraci protokolu TLS 1.2 nebo novější, když je nakonfigurujete pomocí defenderu pro Cloud Apps.