Freigeben über


Ermittelte Apps mit Microsoft Defender for Endpoint verwalten

Die Integration von Microsoft Defender for Cloud Apps in Microsoft Defender for Endpoint bietet eine nahtlose Lösung für Sichtbarkeit und Steuerung der Schatten-IT. Mit unserer Integration können Administrator*innen von Defender for Cloud Apps den Zugriff von Endbenutzer*innen auf Cloud-Apps blockieren, indem sie nativ Die App-Governance für Defender for Cloud Apps in den Netzwerkschutz von Microsoft Defender for Endpoint integrieren. Alternativ können Administrator*innen einen sanfteren Ansatz zur Warnung von Benutzer*innen verfolgen, die auf riskante Cloud-Apps zugreifen.

Defender for Cloud Apps verwendet das integrierte App-Tag Nicht genehmigt, das sowohl auf den Cloud Discovery- als auch auf der Cloud-App-Katalogseite verfügbar ist, um Cloud-Apps als unzulässig zu kennzeichnen. Indem Sie die Integration mit Defender for Endpoint aktivieren, können Sie den Zugriff auf nicht genehmigte Apps mit einem einzigen Klick im Defender for Cloud Apps-Portal nahtlos blockieren.

Apps, die in Defender for Cloud Apps als nicht genehmigt gekennzeichnet sind, werden automatisch mit Defender for Endpoint synchronisiert. Genauer gesagt werden die von diesen nicht genehmigten Apps verwendeten Domänen an Endpunktgeräte weitergeleitet, die von Microsoft Defender Antivirus innerhalb der Netzwerkschutz-SLA blockiert werden.

Hinweis

Die Zeitlatenz zum Blockieren einer App über Defender for Endpoint beträgt bis zu drei Stunden ab dem Moment, in dem Sie die App in Defender for Cloud Apps als nicht genehmigt festgelegt haben, bis die App im Gerät blockiert wird. Dies ist darauf zurückzuführen, dass die Synchronisierung der von Defender for Cloud Apps sanktionierten bzw. nicht sanktionierten Apps mit Defender for Endpoint bis zu eine Stunde dauert und die Übertragung der Richtlinie auf die Geräte, um die App zu blockieren, sobald der Indikator in Defender for Endpoint erstellt wurde, bis zu zwei Stunden dauert.

Voraussetzungen

Aktivieren Sie das Blockieren von Cloud-Apps mit Defender für Endpoint

Führen Sie die folgenden Schritte aus, um die Zugriffssteuerung für Cloud-Apps zu aktivieren:

  1. Wählen Sie im Microsoft Defender-Portal die Option Einstellungen. Wählen Sie dann Cloud-Apps. Wählen Sie unter Cloud Discovery die Option Microsoft Defender for Endpoint und anschließend App-Zugriff erzwingen.

    Screenshot, der zeigt, wie das Blockieren mit Defender für Endpoint aktiviert wird.

    Hinweis

    Es kann bis zu 30 Minuten dauern, bis die Einstellung wirksam wird.

  2. Gehen Sie in Microsoft Defender XDR zu Einstellungen>Endpunkte>Erweiterte Features, und wählen Sie dann Benutzerdefinierte Netzwerkindikatoren. Informationen zu Netzwerkindikatoren finden Sie unter Erstellen von Indikatoren für IPs und URLs/Domänen.

    Auf diese Weise können Sie die Netzwerkschutzfunktionen von Microsoft Defender Antivirus nutzen, um den Zugriff auf einen vordefinierten Satz von URLs mithilfe von Defender for Cloud Apps zu blockieren, indem Sie App-Tags manuell bestimmten Apps zuweisen oder eine automatische App-Ermittlungsrichtlinie verwenden.

    Screenshot, der zeigt, wie benutzerdefinierte Netzwerkindikatoren in Defender für Endpoint aktiviert werden.

Informieren von Benutzern beim Zugriff auf blockierte Apps und beim Anpassen der Blockseite

Administratoren können jetzt eine Support-/Hilfe-URL für Blockseiten konfigurieren und einbetten. Mithilfe dieser Konfiguration können Administratoren Benutzer informieren, wenn sie auf blockierte Apps zugreifen. Benutzer erhalten eine Meldung mit einem benutzerdefinierten Umleitungslink zu einer Unternehmensseite mit Apps, die blockiert wurden und auf der die Schritte aufgeführt sind, die durchgeführt werden müssen, um auf Blockseiten eine Ausnahmen zu sichern. Benutzer werden zu dieser vom Administrator konfigurierten URL umgeleitet, wenn sie auf der Blockseite auf „Supportseite besuchen“ klicken.

Defender for Cloud Apps verwendet das integrierte App-Tag Nicht sanktioniert, um Cloud-Apps als blockiert zu kennzeichnen. Das Tag ist auf den Seiten Cloud Discovery und Cloud-App-Katalog verfügbar. Indem Sie die Integration mit Defender for Endpoint aktivieren, können Sie Benutzer*innen mit einem einzigen Klick im Defender for Cloud Apps-Portal nahtlos darüber informieren, welche Anwendungen blockiert wurden und welche Schritte sie zum Absichern einer Ausnahme durchführen müssen.

Apps, die als Nicht sanktioniert gekennzeichnet sind, werden automatisch mit den benutzerdefinierten URL-Indikatoren von Defender for Endpoint synchronisiert, in der Regel innerhalb weniger Minuten. Genauer gesagt werden die von diesen blockierten Apps verwendeten Domänen an Endpunktgeräte weitergeleitet, um über Microsoft Defender Antivirus innerhalb der Netzwerkschutz-SLA eine Meldung bereitzustellen.

Einrichten der benutzerdefinierten Umleitungs-URL für die Blockseite

Führen Sie die folgenden Schritte aus, um eine benutzerdefinierte Hilfe-/Support-URL zu konfigurieren, die auf einen SharePoint-Link oder eine Unternehmenswebseite verweist, auf der Sie Mitarbeitende darüber informieren können, warum sie auf die Anwendung nicht zugreifen können, und auf der Sie die Schritte auflisten, die durchgeführt werden müssen, um eine Ausnahme abzusichern, oder auf der Sie die Zugriffsrichtlinie für Unternehmen teilen können, um der Risikoakzeptanz Ihrer Organisation zu entsprechen.

  1. Wählen Sie im Microsoft Defender-Portal Einstellungen>Cloud-Apps>Cloud Discovery>Microsoft Defender for Endpoint aus.
  2. Wählen Sie im Dropdownmenü die Option Warnungen aus, und klicken Sie anschließend auf Informativ.
  3. Geben Sie unter Benutzerwarnungen>Benachrichtigungs-URL für blockierte Apps Ihre URL ein. Zum Beispiel:

Screenshot der Konfiguration des Hinzufügens einer benutzerdefinierten URL für blockierte Apps.

Blockieren Sie Apps für bestimmte Gerätegruppen

Führen Sie die folgenden Schritte aus, um die Verwendung für bestimmte Gerätegruppen zu blockieren:

  1. Wählen Sie im Microsoft Defender-Portal die Option Einstellungen. Wählen Sie dann Cloud-Apps. Wählen Sie anschließend unter Cloud Discovery die Option App-Tags aus und gehen Sie zur Registerkarte Angepasste Profile.

  2. Wählen Sie Profil hinzufügen. Das Profil legt die Entitäten fest, für die das Blockieren/Zulassen von Apps gilt.

  3. Geben Sie einen beschreibenden Profilnamen und eine Beschreibung an.

  4. Wählen Sie aus, ob das Profil einschließend oder ausschließend sein soll.

    • Einschließen: Nur die eingeschlossene Gruppe von Entitäten wird von der Zugriffserzwingung betroffen sein. Beispielsweise ist für das Profil myContoso die Option Einschließen für Gerätegruppen A und B festgelegt. Das Blockieren von App Y mit dem Profil myContoso blockiert den App-Zugriff nur für die Gruppen A und B.

    • Ausschließen: Die ausgeschlossene Gruppe von Entitäten wird von der Zugriffserzwingung nicht beeinflusst. Beispielsweise ist für das Profil myContoso die Option Ausschließen für Gerätegruppen A und B festgelegt. Das Blockieren von App Y mit dem Profil myContoso blockiert den App-Zugriff für die gesamte Organisation mit Ausnahme der Gruppen A und B.

  5. Wählen Sie die relevanten Gerätegruppen für das Profil aus. Die aufgeführten Gerätegruppen werden von Microsoft Defender for Endpoint abgerufen. Weitere Informationen finden Sie unter Erstellen einer Gerätegruppe.

  6. Wählen Sie Speichern.

    Bereichsspezifische Profile.

Um eine App zu blockieren, führen Sie die folgenden Schritte aus:

  1. Gehen Sie im Microsoft Defender-Portal unter Cloud-Apps zu Cloud Discovery und rufen Sie die Registerkarte Ermittelte Apps auf.

  2. Wählen Sie die App aus, die blockiert werden soll.

  3. Markieren Sie die App als nicht genehmigt.

    Eine App nicht genehmigt.

  4. Um alle Geräte in Ihrer Organisation zu blockieren, wählen Sie im Dialogfeld Als nicht genehmigt markieren? die Option Speichern. Wenn Sie bestimmte Gerätegruppen in Ihren Organisationen blockieren möchten, wählen Sie die Option Profil auswählen, um Gruppen in die Blockierung einzubeziehen oder von ihr auszuschließen. Wählen Sie dann das Profil für die App-Blockierung und anschließend Speichern.

    Wählen Sie ein Profil aus, mit dem Sie die Genehmigung einer App aufheben möchten.

    Das Dialogfeld Als nicht sanktioniert markieren? wird nur angezeigt, wenn Ihr Mandant über die Cloud-App-Blockierung mit aktiviertem Defender für Endpunkt verfügt und Sie über Administratorzugriff zum Vornehmen von Änderungen verfügen.

Hinweis

  • Die Erzwingungsmöglichkeit basiert auf den benutzerdefinierten URL-Indikatoren von Defender for Endpoint.
  • Alle Organisationsbereiche, die manuell für Indikatoren festgelegt wurden, die von Defender for Cloud Apps vor der Veröffentlichung dieses Features erstellt wurden, werden von Defender for Cloud Apps außer Kraft gesetzt. Die erforderliche Bereichsdefinition sollte über Defender for Cloud Apps mithilfe der bereichsbezogenen Profile festgelegt werden.
  • Um ein ausgewähltes Bereichsprofil aus einer nicht genehmigten App zu entfernen, entfernen Sie das Tag „nicht genehmigt“, und markieren Sie die App dann erneut mit dem erforderlichen Bereichsprofil.
  • Nachdem die App-Domains mit dem relevanten Tag oder/und der Bereichsdefinition gekennzeichnet sind, kann es bis zu zwei Stunden dauern, bis sie propagiert und auf den Endpunktgeräten aktualisiert werden.
  • Wenn eine App als Überwacht gekennzeichnet ist, wird die Option zum Anwenden eines bereichsbezogenen Profils nur angezeigt, wenn die integrierte Datenquelle Win10 Endpoint-Benutzer in den letzten 30 Tagen konsistent Daten empfangen hat.

Informieren von Benutzer*innen beim Zugriff auf riskante Apps

Administrator*innen haben die Möglichkeit, Benutzer*innen zu warnen, wenn sie auf riskante Apps zugreifen. Anstatt Benutzer*innen zu blockieren, erhalten sie eine Meldung mit einem benutzerdefinierten Umleitungslink zu einer Unternehmensseite mit Apps, die zur Verwendung genehmigt wurden. Die Meldung bietet Benutzer*innen die Option, die Warnung zu umgehen und zur App zu gelangen. Administrator*innen können auch die Anzahl der Benutzer*innen überwachen, die die Warnmeldung umgehen.

Defender for Cloud Apps verwendet das integrierte App-Tag Überwacht, um Cloud-Apps als riskant zu kennzeichnen. Das Tag ist auf den Seiten Cloud Discovery und Cloud-App-Katalog verfügbar. Indem Sie die Integration mit Defender for Endpoint aktivieren, können Sie Benutzer*innen vor dem Zugriff auf überwachte Apps mit einem einzigen Klick im Defender for Cloud Apps-Portal nahtlos warnen.

Apps, die als Überwacht gekennzeichnet sind, werden automatisch mit den benutzerdefinierten URL-Indikatoren von Defender for Endpoint synchronisiert, in der Regel innerhalb weniger Minuten. Genauer gesagt werden die von diesen überwachten Apps verwendeten Domänen an Endpunktgeräte weitergeleitet, um über Microsoft Defender Antivirus innerhalb der Netzwerkschutz-SLA eine Warnmeldung bereitzustellen.

Einrichten der benutzerdefinierten Umleitungs-URL für die Warnmeldung

Führen Sie die folgenden Schritte aus, um eine benutzerdefinierte URL zu konfigurieren, die auf eine Unternehmenswebseite verweist, auf der Sie Mitarbeiter*innen darüber informieren können, warum sie gewarnt wurden, und eine Liste mit alternativen genehmigten Apps bereitstellen, die der Risikoakzeptanz Ihrer Organisation entsprechen oder bereits von der Organisation verwaltet werden.

  1. Wählen Sie im Microsoft Defender-Portal die Option Einstellungen. Wählen Sie dann Cloud-Apps. Wählen Sie unter Cloud Discovery die Option Microsoft Defender for Endpoint.

  2. Geben Sie im Feld Benachrichtigungs-URL Ihre URL ein.

    Screenshot, der zeigt, wie die Benachrichtigungs-URL konfiguriert wird.

Einrichten der Dauer der Benutzerumgehung

Da Benutzer*innen die Warnmeldung umgehen können, können Sie die folgenden Schritte ausführen, um die Dauer der Umgehung zu konfigurieren. Sobald die Dauer abgelaufen ist, erhalten die Benutzer*innen beim nächsten Zugriff auf die überwachte App eine Warnmeldung.

  1. Wählen Sie im Microsoft Defender-Portal die Option Einstellungen. Wählen Sie dann Cloud-Apps. Wählen Sie unter Cloud Discovery die Option Microsoft Defender for Endpoint.

  2. Geben Sie im Feld Dauer der Umgehung die Dauer (Stunden) der Benutzerumgehung ein.

    Screenshot, der zeigt, wie die Bypass-Dauer konfiguriert wird.

Überwachen angewendeter App-Steuerelemente

Nachdem Steuerelemente angewendet wurden, können Sie App-Nutzungsmuster mithilfe der folgenden Schritte überwachen, indem Sie die angewendeten Steuerelemente (Zugriff, Blockierung, Umgehung) verwenden.

  1. Gehen Sie im Microsoft Defender-Portal unter Cloud-Apps zu Cloud Discovery und dann zur Registerkarte Ermittelte Apps. Verwenden Sie die Filter, um die relevante überwachte App zu finden.
  2. Wählen Sie den Namen der App aus, um angewendete App-Steuerelemente auf der Übersicht der App anzuzeigen.

Nächste Schritte

Sollten Sie Probleme haben, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.