App-Steuerung für bedingten Zugriff in Microsoft Defender for Cloud Apps
Artikel
Am heutigen Arbeitsplatz reicht es nicht aus, nach der Tat zu wissen, was in Ihrer Cloudumgebung passiert ist. Sie müssen Sicherheitsverletzungen und Lecks in Echtzeit beenden. Sie müssen auch verhindern, dass Mitarbeiter Absichtlich oder versehentlich Ihre Daten und organization gefährden.
Sie möchten Benutzer in Ihrem organization unterstützen, während sie die besten verfügbaren Cloud-Apps verwenden und ihre eigenen Geräte verwenden. Sie benötigen jedoch auch Tools, um Ihre organization in Echtzeit vor Datenlecks und Diebstahl zu schützen. Microsoft Defender for Cloud Apps kann mit jedem Identitätsanbieter (IdP) integriert werden, um diesen Schutz mit Zugriffs- und Sitzungsrichtlinien bereitzustellen.
Zum Beispiel:
Verwenden Sie Zugriffsrichtlinien für Folgendes:
Blockieren des Zugriffs auf Salesforce für Benutzer von nicht verwalteten Geräten.
Blockieren sie den Zugriff auf Dropbox für native Clients.
Verwenden Sie Sitzungsrichtlinien für Folgendes:
Blockieren von Downloads vertraulicher Dateien von OneDrive auf nicht verwaltete Geräte.
Blockieren von Uploads von Schadsoftwaredateien in SharePoint Online.
Benutzer anderer Browser werden über den Reverseproxy an Defender for Cloud Apps umgeleitet. Diese Browser zeigen ein *.mcas.ms Suffix in der URL des Links an. Wenn die App-URL beispielsweise lautet myapp.com, wird die App-URL auf myapp.com.mcas.msaktualisiert.
Aktivitäten in der App-Steuerung für bedingten Zugriff
Die App-Steuerung für bedingten Zugriff verwendet Zugriffsrichtlinien und Sitzungsrichtlinien, um den Zugriff auf Benutzer-Apps und Sitzungen in Echtzeit in Ihrem organization zu überwachen und zu steuern.
Jede Richtlinie verfügt über Bedingungen, mit denen definiert werden kann, wer (welcher Benutzer oder welche Benutzergruppe), was (welche Cloud-Apps) und wo (auf welche Standorte und Netzwerke) die Richtlinie angewendet wird. Nachdem Sie die Bedingungen festgelegt haben, leiten Sie Ihre Benutzer zuerst an Defender for Cloud Apps weiter. Dort können Sie die Zugriffs- und Sitzungssteuerungen anwenden, um Ihre Daten zu schützen.
Zugriffs- und Sitzungsrichtlinien umfassen die folgenden Arten von Aktivitäten:
Aktivität
Beschreibung
Verhindern der Datenexfiltration
Blockieren Des Herunterladens, Ausschneidens, Kopierens und Druckens vertraulicher Dokumente auf (z. B.) nicht verwalteten Geräten.
Authentifizierungskontext erforderlich
Werten Sie Microsoft Entra Richtlinien für bedingten Zugriff neu aus, wenn eine vertrauliche Aktion in der Sitzung auftritt, z. B. die Anforderung einer mehrstufigen Authentifizierung.
Schutz beim Herunterladen
Anstatt das Herunterladen vertraulicher Dokumente zu blockieren, müssen Dokumente bei der Integration mit Microsoft Purview Information Protection gekennzeichnet und verschlüsselt werden. Diese Aktion trägt dazu bei, das Dokument zu schützen und den Benutzerzugriff in einer potenziell riskanten Sitzung einzuschränken.
Verhindern des Hochladens von Dateien ohne Bezeichnung
Stellen Sie sicher, dass das Hochladen von Dateien ohne Bezeichnung, die vertrauliche Inhalte enthalten, blockiert wird, bis der Benutzer den Inhalt klassifiziert. Bevor ein Benutzer eine vertrauliche Datei hochlädt, verteilt oder verwendet, muss die Datei über die Bezeichnung verfügen, die die Richtlinie Ihres organization definiert hat.
Blockieren potenzieller Schadsoftware
Schützen Sie Ihre Umgebung vor Schadsoftware, indem Sie den Upload potenziell schädlicher Dateien blockieren. Jede Datei, die ein Benutzer hoch- oder herunterladen möchte, kann gegen Microsoft Threat Intelligence gescannt und sofort blockiert werden.
Überwachen von Benutzersitzungen auf Konformität
Untersuchen und analysieren Sie das Benutzerverhalten, um zu verstehen, wo und unter welchen Bedingungen Sitzungsrichtlinien in Zukunft angewendet werden sollten. Riskante Benutzer werden überwacht, wenn sie sich bei Apps anmelden, und ihre Aktionen werden innerhalb der Sitzung protokolliert.
Zugriff blockieren
Präzises Blockieren des Zugriffs für bestimmte Apps und Benutzer, abhängig von mehreren Risikofaktoren. Sie können sie beispielsweise blockieren, wenn sie Clientzertifikate als Form der Geräteverwaltung verwenden.
Blockieren von benutzerdefinierten Aktivitäten
Einige Apps verfügen über einzigartige Szenarien, die Risiken mit sich bringen. Ein Beispiel ist das Senden von Nachrichten, die vertrauliche Inhalte in Apps wie Microsoft Teams oder Slack enthalten. In diesen Szenarien können Sie Nachrichten auf vertrauliche Inhalte überprüfen und in Echtzeit blockieren.
Die App-Steuerung für bedingten Zugriff erfordert keine Installation auf dem Gerät. Daher ist es ideal, wenn Sie Sitzungen von nicht verwalteten Geräten oder Partnerbenutzern überwachen oder steuern.
Defender for Cloud Apps verwendet patentierte Heuristiken, um Benutzeraktivitäten in der Ziel-App zu identifizieren und zu steuern. Die Heuristiken wurden entwickelt, um Sicherheit und Benutzerfreundlichkeit zu optimieren und in Einklang zu bringen.
In einigen seltenen Szenarien wird die App durch blockierende Aktivitäten auf serverseitiger Seite unbrauchbar, sodass Organisationen diese Aktivitäten nur auf clientseitiger Seite schützen. Dieser Ansatz macht sie potenziell anfällig für die Ausnutzung durch böswillige Insider.
Systemleistung und Datenspeicherung
Defender for Cloud Apps verwendet Azure-Rechenzentren auf der ganzen Welt, um eine optimierte Leistung durch Geolocation bereitzustellen. Die Sitzung eines Benutzers kann je nach Datenverkehrsmustern und seinem Standort außerhalb einer bestimmten Region gehostet werden. Um jedoch die Privatsphäre der Benutzer zu schützen, speichern diese Rechenzentren keine Sitzungsdaten.
Defender for Cloud Apps Proxyserver speichern keine ruhenden Daten. Beim Zwischenspeichern von Inhalten befolgen wir die Anforderungen von RFC 7234 (HTTP-Zwischenspeicherung) und speichern nur öffentliche Inhalte zwischen.
Unterstützte Apps und Clients
Wenden Sie Sitzungs- und Zugriffssteuerungen auf jedes interaktive einmalige Anmelden an, das das SAML 2.0-Authentifizierungsprotokoll verwendet. Zugriffssteuerungen werden auch für integrierte mobile und Desktopclient-Apps unterstützt.
Wenn Sie Microsoft Entra ID-Apps verwenden, wenden Sie außerdem Sitzungs- und Zugriffssteuerungen auf Folgendes an:
Jedes interaktive einmalige Anmelden, das das OpenID Connect-Authentifizierungsprotokoll verwendet.
Microsoft Entra ID Apps werden auch automatisch für die App-Steuerung mit bedingtem Zugriff integriert, während Apps, die andere IdPs verwenden, manuell integriert werden müssen.
Defender for Cloud Apps identifiziert Apps mithilfe von Daten aus dem Cloud-App-Katalog. Wenn Sie Apps mit Plug-Ins angepasst haben, müssen Sie der relevanten App im Katalog alle zugeordneten benutzerdefinierten Domänen hinzufügen. Weitere Informationen finden Sie unter Suchen Ihrer Cloud-App und Berechnen von Risikobewertungen.
Hinweis
Sie können keine installierten Apps mit nicht interaktiven Anmeldeflows verwenden, z. B. die Authenticator-App und andere integrierte Apps mit Zugriffssteuerungen. In diesem Fall wird empfohlen, zusätzlich zu Microsoft Defender for Cloud Apps Zugriffsrichtlinien eine Zugriffsrichtlinie im Microsoft Entra Admin Center zu erstellen.
Umfang der Unterstützung für die Sitzungssteuerung
Sitzungssteuerelemente sind zwar so aufgebaut, dass sie mit jedem Browser auf jeder wichtigen Plattform unter jedem Betriebssystem funktionieren, aber wir unterstützen die neuesten Versionen der folgenden Browser:
Defender for Cloud Apps verwendet TLS 1.2+-Protokolle (Transport Layer Security) für die Verschlüsselung. Auf integrierte Client-Apps und Browser, die TLS 1.2 und höher nicht unterstützen, kann nicht zugegriffen werden, wenn Sie sie mit der Sitzungssteuerung konfigurieren.
SaaS-Apps (Software-as-a-Service), die TLS 1.1 oder früher verwenden, werden jedoch im Browser als TLS 1.2 und höher angezeigt, wenn Sie sie mit Defender for Cloud Apps konfigurieren.
Microsoft Defender for Cloud Apps ist ein Cloud Access Security Broker (CASB), der in mehreren Clouds ausgeführt wird. Dieser Dienst bietet umfassende Sichtbarkeit, Kontrolle bei der Datenübertragung, und modernste Analysen, die Cyberbedrohungen in all Ihren Clouddiensten erkennen und abwehren. Erfahren Sie, wie Sie Defender for Cloud Apps in Ihrer Organisation verwenden.
Veranschaulichen der Grundlagen von Datensicherheit, Lebenszyklusverwaltung, Informationssicherheit und Compliance zum Schutz einer Microsoft 365-Bereitstellung
Erfahren Sie, wie Sie Microsoft Defender for Cloud Apps Sitzungsrichtlinien mit der App-Steuerung für bedingten Zugriff konfigurieren, um Einblick in Benutzersitzungsaktivitäten zu erhalten und Downloads zu blockieren.
Erfahren Sie, wie Sie Microsoft Defender for Cloud Apps-Zugriffsrichtlinien mit der App-Steuerung für bedingten Zugriff konfigurieren, um den Zugriff auf Cloud-Apps zu steuern.
Dieser Artikel enthält Informationen zum Konfigurieren von Zugriffs- und Sitzungsrichtlinien für die App-Steuerung für bedingten Zugriff, um nach identitätsverwalteten Geräten zu suchen.
In diesem Tutorial wird das Szenario zum Schutz Ihrer organization vor Downloads vertraulicher Daten durch nicht verwaltete Geräte mithilfe Microsoft Entra ID App-Steuerung für bedingten Zugriff beschrieben.
Erfahren Sie, wie Sie Microsoft Defender for Cloud Apps App-Steuerung für bedingten Zugriff verwenden, um Zugriffs- und Sitzungsrichtlinien für die Echtzeitüberwachung und -steuerung des Zugriffs auf Cloud-Apps zu erstellen.
Erfahren Sie, wie Sie die App-Steuerung für bedingten Zugriff mit Microsoft Defender for Cloud Apps für Katalog-Apps mit einem Nicht-Microsoft-IdP bereitstellen.
in der Adressleiste des Browsers zeigt diesen Schutz an.