App-Steuerung für bedingten Zugriff für Microsoft Defender for Cloud Apps
Heutzutage reicht es häufig nicht aus, wenn Sie erst im Nachhinein von Vorgängen in Ihrer Cloudumgebung erfahren. Sie müssen Sicherheitsverletzungen und Lecks in Echtzeit stoppen. Sie müssen auch verhindern, dass Mitarbeiter absichtlich oder versehentlich Ihre Daten und Ihr Unternehmen gefährden.
Sie möchten Benutzer in Ihrer Organisation unterstützen, während sie die besten verfügbaren Cloud-Apps nutzen und ihre eigenen Geräte zur Arbeit mitbringen. Sie benötigen jedoch auch Tools, um Ihre Organisation in Echtzeit vor Datenlecks und Diebstahl zu schützen. Microsoft Defender for Cloud Apps lässt sich in jeden Identitätsanbieter (IdP) integrieren, um diesen Schutz mit Zugriffs- und Sitzungsrichtlinien bereitzustellen.
Zum Beispiel:
Verwenden von Zugriffsrichtlinien für:
- Blockieren des Zugriffs auf Salesforce für Benutzer, die von nicht verwalteten Geräten stammen
- Blockieren des Zugriffs auf Dropbox für native Clients
Verwenden von Sitzungsrichtlinien für folgende Zwecke:
- Blockieren von Downloads vertraulicher Dateien von OneDrive auf nicht verwaltete Geräte.
- Blockieren von Uploads von Schadsoftwaredateien in SharePoint Online
Microsoft Edge-Benutzer profitieren direkt, vom browserinternen Schutz. Ein Sperrsymbol 
auf der Adressleiste des Browsers gibt diesen Schutz an.
Benutzer anderer Browser werden per Reverseproxy zu Defender for Cloud-Apps umgeleitet. Diese Browser zeigen ein *.mcas.ms-Suffix in der URL des Links an. Wenn beispielsweise die App-URL myapp.com lautet, wird die App-URL auf myapp.com.mcas.ms aktualisiert.
In diesem Artikel wird die App-Steuerung für bedingten Zugriff in Defender for Cloud Apps mit den Richtlinien für Bedingter Microsoft Entra-Zugriff beschrieben.
Aktivitäten bei der App-Steuerung für bedingten Zugriff
Bei der App-Steuerung für bedingten Zugriff werden Zugriffsrichtlinien und Sitzungsrichtlinien verwendet, um den Zugriff und die Sitzungen von Benutzer-Apps in Echtzeit in Ihrer Organisation zu überwachen und zu steuern.
Jede Richtlinie hat Bedingungen, um zu definieren, wer (welcher Benutzer oder welche Gruppe von Benutzern) und was (welche Cloud-Apps) eine Richtlinie zum bedingten Zugriff anwendet bzw. wo (welche Standorte und Netzwerke) die Richtlinie angewendet wird. Nachdem Sie die Bedingungen ermittelt haben, leiten Sie Ihre Benutzer zuerst an Defender for Cloud Apps weiter. Dort können Sie die Zugriffs- und Sitzungssteuerelemente anwenden, um Ihre Daten zu schützen.
Zugriffs- und Sitzungsrichtlinien umfassen die folgenden Arten von Aktivitäten:
| Aktivität | Beschreibung |
|---|---|
| Datenexfiltration verhindert | Blockieren Sie das Herunterladen, Ausschneiden, Kopieren und Drucken vertraulicher Dokumente, z. B. auf nicht verwalteten Geräten. |
| Authentifizierungskontext erforderlich | Bewerten Sie die Richtlinien für den bedingten Zugriff von Microsoft Entra neu, wenn in der Sitzung eine vertrauliche Aktion auftritt, z. B. die Erfordernis einer mehrstufigen Authentifizierung. |
| Beim Herunterladen schützt | Anstatt den Download vertraulicher Dokumente zu blockieren, verlangen Sie bei der Integration mit Microsoft Purview Information Protection, dass Dokumente gekennzeichnet und verschlüsselt werden. Diese Aktion stellt sicher, dass Dokumente in potenziell riskanten Sitzungen geschützt sind und der Benutzerzugriff eingeschränkt wird. |
| Das Hochladen von Dateien ohne Bezeichnung verhindert | Stellen Sie sicher, dass hochgeladene nicht gekennzeichnete Dateien mit vertraulichen Inhalten erst hochgeladen werden können, wenn der Benutzer den Inhalt klassifiziert hat. Bevor ein Benutzer eine vertrauliche Datei hochlädt, verteilt oder verwendet, muss die Datei die Bezeichnung aufweisen, die die Richtlinie Ihrer Organisation definiert hat. |
| Blockieren potenzieller Schadsoftware | Schützen Sie Ihre Umgebung vor Schadsoftware, indem Sie das Hochladen potenziell schädlicher Dateien blockieren. Jede Datei, die hochgeladen oder heruntergeladen wird, kann sofort mit Microsoft Threat Intelligence gescannt und blockiert werden. |
| Benutzersitzungen auf Compliance überwacht | Untersuchen und analysieren Sie das Benutzerverhalten, um zu verstehen, wo und unter welchen Bedingungen Sitzungsrichtlinien in Zukunft angewendet werden sollten. Risikobenutzer werden überwacht, wenn sie sich bei Apps anmelden, und ihre Aktionen innerhalb der Sitzung werden protokolliert. |
| Zugriff blockieren | Blockieren Sie den Zugriff für bestimmte Apps und Benutzer differenziert, abhängig von mehreren Risikofaktoren. Sie können sie z. B. blockieren, wenn sie Clientzertifikate als eine Form der Geräteverwaltung verwenden. |
| Benutzerdefinierte Aktivitäten blockiert | Einige Apps weisen eindeutige Szenarien auf, die Risiken bergen. Ein Beispiel ist das Senden von Nachrichten mit vertraulichen Inhalten in Apps wie Microsoft Teams oder Slack. Überprüfen Sie in diesen Szenarien Nachrichten auf vertrauliche Inhalte und blockieren Sie sie in Echtzeit. |
Weitere Informationen finden Sie unter:
- Erstellen einer Microsoft Defender for Cloud Apps-Zugriffsrichtlinie.
- Erstellen von Microsoft Defender for Cloud Apps-Sitzungsrichtlinien.
Benutzerfreundlichkeit
Für die App-Steuerung mit bedingtem Zugriff müssen Sie nichts auf dem Gerät installieren. Damit eignet sie sich optimal zur Überwachung oder Steuerung von Sitzungen von nicht verwalteten Geräten oder Partnerbenutzern.
Defender for Cloud Apps verwendet erstklassige, patentierte Heuristiken, um Benutzeraktivitäten in der Ziel-App zu identifizieren und zu steuern. Die Heuristiken sind darauf ausgelegt, die Sicherheit mit Benutzerfreundlichkeit zu optimieren und zu ausgleichen.
In einigen seltenen Fällen machen blockierende Aktivitäten auf der Serverseite die App unbrauchbar, sodass Organisationen diese Aktivitäten nur auf der Clientseite sichern. Dieser Ansatz macht sie potenziell anfällig für die Ausbeutung durch böswillige Insider.
Systemleistung und Datenspeicherung
Defender for Cloud Apps verwendet Azure Data-Rechenzentren auf der ganzen Welt, um durch Geolocation eine optimierte Leistung zu bieten. Die Sitzung eines Benutzers kann je nach Datenverkehrsmustern und seinem Standort außerhalb einer bestimmten Region gehostet werden. Um die Privatsphäre der Benutzer zu schützen, speichern diese Rechenzentren jedoch keine Sitzungsdaten.
Defender for Cloud Apps-Proxyserver speichern keine ruhenden Daten. Beim Zwischenspeichern von Inhalten befolgen wir die Anforderungen gemäß RFC 7234 (HTTP-Zwischenspeicherung) und speichern nur öffentliche Inhalte zwischen.
Unterstützte Apps und Clients
Wenden Sie Sitzungs- und Zugriffssteuerungen auf jedes interaktive einmalige Anmelden an, das das SAML 2.0-Authentifizierungsprotokoll verwendet. Zugriffssteuerungen werden auch für integrierte mobile und Desktop-Client-Apps unterstützt.
Wenn Sie Microsoft Entra ID-Apps verwenden, wenden Sie außerdem Sitzungs- und Zugriffssteuerungen auf Folgendes an:
- Jedes interaktive einmalige Anmelden, das das OpenID Connect-Authentifizierungsprotokoll verwendet.
- Apps, die lokal gehostet und mit dem Microsoft Entra-Anwendungsproxy konfiguriert wurden.
Das Onboarding von Microsoft Entra ID-Apps für die App-Steuerung für bedingten Zugriff wird automatisch durchgeführt. Für Apps, die andere IdPs verwenden, muss das Onboarding hingegen manuell durchgeführt werden.
Defender for Cloud Apps identifiziert Apps mithilfe von Daten aus dem Cloud-App-Katalog. Wenn Sie Apps mit Plug-Ins angepasst haben, müssen alle zugehörigen benutzerdefinierten Domänen der entsprechenden App im Katalog hinzugefügt werden. Weitere Informationen finden Sie unter Suchen Sie Ihre Cloud-App und Berechnen Sie Risikobewertungen.
Hinweis
Sie können installierte Apps mit nicht interaktiven Anmeldeflows, z. B. der Authenticator-App und anderen integrierten Apps, mit Zugriffssteuerungen nicht verwenden. In diesem Fall wird empfohlen, zusätzlich zu Microsoft Defender for Cloud Apps-Zugriffsrichtlinien eine Zugriffsrichtlinie im Microsoft Entra Admin Center zu erstellen.
Umfang der Unterstützung für die Sitzungssteuerung
Während Sitzungssteuerungen so konzipiert sind, dass sie mit jedem Browser auf jeder wichtigen Plattform und jedem Betriebssystem funktionieren, unterstützen wir die aktuellen Versionen der folgenden Browser:
Microsoft Edge-Benutzer profitieren vom browserinternen Schutz, ohne zu einem Reverseproxy umzuleiten. Weitere Informationen finden Sie unter Browserinterner Schutz mit Microsoft Edge for Business (Vorschauversion).
App-Unterstützung für TLS 1.2+
Defender for Cloud Apps verwendet TLS-Protokolle (Transport Layer Security) 1.2+, um eine erstklassige Verschlüsselung bereitzustellen. Integrierte Client-Apps und Browser, die TLS 1.2+ nicht unterstützen, sind nicht zugänglich, wenn sie mit Sitzungssteuerung konfiguriert sind.
SaaS-Apps (Software-as-a-Service), die TLS 1.1 oder früher verwenden, werden jedoch im Browser als TLS 1.2+ angezeigt, wenn Sie sie mit Defender for Cloud Apps konfigurieren.