Konfigurieren der Echtzeitüberwachung des Anwendungszugriffs mit Microsoft Defender for Cloud Apps und Microsoft Entra ID

  • Artikel

Verwenden Sie Microsoft Defender for Cloud-Apps für die Echtzeitüberwachung mit lokalen Anwendungen in Microsoft Entra ID. Verwenden Sie Defender für Cloud Apps App-Steuerung für bedingten Zugriff, um Sitzungen in Echtzeit auf der Grundlage von Richtlinien für bedingten Zugriff zu überwachen und zu steuern. Wenden Sie diese Richtlinien auf lokale Anwendungen an, die den Anwendungsproxy in Microsoft Entra ID verwenden.

Einige Beispiele für die Richtlinien, die Sie mit Defender for Cloud-Apps erstellen, sind:

  • Blockieren oder schützen Sie den Download von vertraulichen Dokumenten auf nicht verwalteten Geräten.
  • Überwachen Sie, wann sich Benutzer mit hohem Risiko bei Anwendungen anmelden, und protokollieren Sie dann deren Aktionen innerhalb der Sitzung. Mit diesen Informationen können Sie das Benutzerverhalten analysieren, um zu bestimmen, wie Sie Sitzungsrichtlinien anwenden.
  • Verwenden Sie Clientzertifikate oder Gerätekonformität, um den Zugriff von nicht verwalteten Geräten auf bestimmte Anwendungen zu blockieren.
  • Schränken Sie Benutzersitzungen aus unternehmensfremden Netzwerken ein. Sie können Benutzern, die von außerhalb des Unternehmensnetzwerks auf eine Anwendung zugreifen, eingeschränkten Zugriff gewähren. Beispielsweise kann dieser eingeschränkte Zugriff den Benutzer daran hindern, vertrauliche Dokumenten herunterzuladen.

Weitere Informationen finden Sie unter Schützen von Apps mit der App-Steuerung für bedingten Zugriff von Microsoft Cloud App Security.

Anforderungen

EMS E5 Lizenz oder Microsoft Entra ID P1 und Defender for Cloud-Apps Standalone.

Die lokale Anwendung muss Kerberos Constrained Delegation (KCD) verwenden.

Konfigurieren Sie Microsoft Entra ID für die Verwendung eines Anwendungsproxys. Die Konfiguration des Anwendungsproxys umfasst die Vorbereitung Ihrer Umgebung und die Installation des privaten Netzwerkconnectors. Ein Tutorial finden Sie unter Hinzufügen einer lokalen Anwendung für den Remote-Zugriff über einen Anwendungsproxy in Microsoft Entra ID.

Hinzufügen einer lokalen Anwendung zu Microsoft Entra ID

Fügen Sie Microsoft Entra ID eine lokale Anwendung hinzu. Unter Hinzufügen einer lokalen App zu Microsoft Entra ID finden Sie einen Schnellstart. Stellen Sie beim Hinzufügen der Anwendung sicher, dass Sie zwei Einstellungen auf der Seite Ihre lokale Anwendung hinzufügen vornehmen, damit sie mit Defender for Cloud-Apps funktioniert:

  • Vorauthentifizierung: Geben Sie Microsoft Entra ID ein.
  • URLs übersetzen in Anwendungstext: Wählen Sie Ja aus.

Testen der lokalen Anwendung

Führen Sie nach dem Hinzufügen Ihrer Anwendung in Microsoft Entra ID die Schritte unter Testen der Anwendung aus, um eine*n Benutzer*in zu Testzwecken hinzuzufügen, und testen Sie die Anmeldung.

Bereitstellen der App-Steuerung für bedingten Zugriff

Um die Anwendung mit der Anwendungssteuerung für bedingten Zugriff zu konfigurieren, befolgen Sie die Anweisungen unter Bereitstellen der Anwendungssteuerung für bedingten Zugriff für Microsoft Entra-Apps.

Testen der App-Steuerung für bedingten Zugriff

Befolgen Sie zum Testen der Bereitstellung von Microsoft Entra-Anwendungen mit der Anwendungssteuerung für bedingten Zugriff die Anweisungen unter Testen der Bereitstellung für Microsoft Entra-Apps.