בקרת יישום גישה מותנית יישומי ענן של Microsoft Defender

במקום העבודה של היום, זה לא מספיק כדי להבין מה קרה בסביבה שלך בענן לאחר העובדה, אתה צריך להפסיק הפרות דולפות נתונים בזמן שהם מתרחשים. זה כולל מניעה מהעובדים לסכן את הנתונים והארגון שלך במכוון או בטעות. יישומי ענן של Microsoft Defender לך את האיזון הנכון: הפעלת פרודוקטיביות עם אפליקציות הענן הטובות ביותר תוך הגנה על הנתונים שלך בזמן אמת. הוא מספק ניראות עמוקה ושליטה בהפעלות מבוססות דפדפן באמצעות שילוב עם כל ספק זהויות (IdP), באמצעות גישה רבת-עוצמה ומדיניות הפעלה.

לדוגמה:

• השתמש במדיניות גישה כדי:

  • חסום גישה ל- Salesforce עבור משתמשים של מכשירים לא מנוהלים.
  • חסום גישה ל- Dropbox עבור לקוחות מקוריים.

• השתמש במדיניות הפעלה כדי:

  • חסום הורדות של קבצים רגישים מ- OneDrive למכשירים לא מנוהלים.
  • חסום העלאות של קבצי תוכנות זדוניות ל- SharePoint Online.

משתמשי Microsoft Edge נהנים מהגנה ישירה בתוך הדפדפן. סמל מנעול בשורת הכתובת של הדפדפן מציין הגנה זו.

המשתמשים של דפדפנים אחרים מנותב מחדש באמצעות Proxy הפוך יישומי ענן של Defender. דפדפנים אלה מציגים *.mcas.ms סיומת בכתובת ה- URL של הקישור. לדוגמה, אם כתובת ה- URL של היישום היא myapp.com, כתובת ה- URL של היישום מתעדכנת ל- myapp.com.mcas.ms.

כדי למנוע עקיפת הגנה זו, מנהלי מערכת צריכים לקבוע תצורה של מדיניות גישה כדי לחסום גישת לקוח מקורית ולאפשר הפעלות מבוססות דפדפן בלבד.

מאמר זה מתאר בקרת יישום גישה מותנית ב- יישומי ענן של Defender באמצעות Microsoft Entra מדיניות גישה מותנית.

פעילויות בפקד יישום גישה מותנית

בקרת יישום Access מותנית משתמשת במדיניות גישה ובמדיניות הפעלה כדי לנטר ולשלוט בגישה והפעלות של יישומי משתמשים בזמן אמת, ברחבי הארגון.

כל מדיניות כוללת תנאים להגדרת המשתמש (או קבוצת המשתמשים ), על אילו (אפליקציות ענן) והיכן ( מיקומים ורשתות) המדיניות מוחלת. לאחר קביעת התנאים, נתב תחילה את המשתמשים יישומי ענן של Defender. שם תוכל להחיל את פקדי הגישה וההפעלה כדי לסייע בהגנה על הנתונים שלך.

פריטי מדיניות של גישה מותנית מוחלים ברמת היישום, ולא ברמת הקובץ הבודד. כתוצאה מכך, לא ניתן לכלול קבצים ספציפיים בהגדרות המדיניות.

פריטי מדיניות גישה והפעלה כוללים את סוגי הפעילויות הבאים:

פעילות	תיאור
מנע הרחבה של נתונים	חסום הורדה, גזירה, העתקה והדפסה של מסמכים רגישים במכשירים לא מנוהלים (לדוגמה).
דרוש הקשר אימות	להעריך מחדש Microsoft Entra מדיניות גישה מותנית כאשר מתרחשת פעולה רגישה בהפעלה, כגון דרישת אימות רב גורמי.
הגנה בעת הורדה	במקום לחסום את ההורדה של מסמכים רגישים, דרוש שמסמכים יהיו מסומנים ומוצפנים בעת שילוב עם הגנה על מידע ב- Microsoft Purview. פעולה זו עוזרת להגן על המסמך ולהגביל את גישת המשתמש בהפעלה שעלולה להיות מוגנת.
מניעת העלאה של קבצים ללא יבלות	ודא שהעלאת קבצים ללא תבליטים בעלי תוכן רגיש נחסמה עד שהמשתמש מסווג את התוכן. לפני שמשתמש מעלה, מפיץ או משתמש בקובץ רגיש, הקובץ חייב לכלול את התווית שהוגדרה על-ידי מדיניות הארגון שלך.
חסימת תוכנות זדוניות פוטנציאליות	עזור להגן על הסביבה שלך מפני תוכנות זדוניות על-ידי חסימת ההעלאה של קבצים שעלולים להיות זדוניים. ניתן לסרוק כל קובץ שמשתמש מנסה להעלות או להוריד מול Microsoft Threat Intelligence וליחסם באופן מיידי.
ניטור הפעלות משתמשים לתאימות	בדוק ונתח את אופן הפעולה של המשתמשים כדי להבין היכן, ותחת אילו תנאים יש להחיל מדיניות הפעלה בעתיד. משתמשים מסיכונים תחת פיקוח כאשר הם מתחברים ליישומים, והפעולות שלהם נרשמות מתוך ההפעלה.
חסום גישה	חסום באופן פרטני גישה עבור אפליקציות ומשתמשים ספציפיים, בהתאם למספר גורמי סיכון. לדוגמה, באפשרותך לחסום אותם אם הם משתמשים באישומי לקוח כצורה של ניהול מכשירים.
חסימת פעילויות מותאמות אישית	אפליקציות מסוימות כוללות תרחישים ייחודיים ה נושאים סיכון. דוגמה לכך היא שליחת הודעות הכוללות תוכן רגיש באפליקציות כגון Microsoft Teams או Slack. בתרחישים מסוג זה, סרוק הודעות כדי לאתר תוכן רגיש וחסום אותן בזמן אמת.

לקבלת מידע נוסף, ראה:

• יצירת יישומי ענן של Microsoft Defender מדיניות גישה
• יצירת יישומי ענן של Microsoft Defender מדיניות הפעלה

שימושיות

בקרת יישום גישה מותנית אינה דורשת ממך להתקין דבר במכשיר, ולכן היא אידיאלית כאשר אתה מנטר הפעלות או שולט בהן ממכשירים לא מנוהלים או ממשתמשים שותפים.

יישומי ענן של Defender שימוש בנתונים משוכללים בפטנטים כדי לזהות ולשלוט בפעילויות משתמשים ביישום היעד. ההויסטים מיועדים למטב ולאזן בין אבטחה לשימושיות.

בתרחישים נדירים, חסימת פעילויות בצד השרת מונעת שימוש ביישום, כך שארגונים לאבטח פעילויות אלה רק בצד הלקוח. גישה זו הופכת אותם לעשויים להיות חשופים לניצול על-ידי משתתפי Insider זדוניים.

ביצועי מערכת ואחסון נתונים

יישומי ענן של Defender משתמש Azure נתונים ברחבי העולם כדי לספק ביצועים מיטביים באמצעות מיקום גיאוגרפי. ייתכן שהפעלת משתמש מתארחת מחוץ לאזור מסוים, בהתאם לדפוסי התעבורה ולמיקום שלו. עם זאת, כדי לסייע בהגנה על פרטיות המשתמשים, מרכזי נתונים אלה אינם מאחסנים נתוני הפעלה.

יישומי ענן של Defender שרתי Proxy אינם מאחסנים נתונים במנוחה. כאשר אנו ממטמון תוכן, אנו פועלים לפי הדרישות הכלולות ב- RFC 7234 (אחסון במטמון של HTTP) ואחסון במטמון של תוכן ציבורי בלבד.

אפליקציות והלקוחות הנתמכים

החל פקדי הפעלה וגישה על כל כניסה יחידה אינטראקטיבית המשתמשת בפרוטוקול האימות SAML 2.0. פקדי Access נתמכים גם עבור אפליקציות מוכללות של לקוח למכשירים ניידים ולמחשבים שולחניים.

בנוסף, אם אתה משתמש ביישומים Microsoft Entra ID, החל פקדי הפעלה וגישה על:

• כל כניסה יחידה אינטראקטיבית המשתמשת בפרוטוקול האימות OpenID Connect.
• יישומים המתארחים באופן מקומי ומוגדר עם ה- Proxy Microsoft Entra היישום.

Microsoft Entra ID גם מחוברות באופן אוטומטי לפקד יישום גישה מותנית, בעוד שאפליקציות המשתמשות ב- IdPs אחרות חייבות להיות מחוברות באופן ידני.

יישומי ענן של Defender אפליקציות באמצעות נתונים מקטלוג יישומי הענן. אם אתה מתאים אישית אפליקציות עם יישומי Plug-in, עליך להוסיף תחומים מותאמים אישית משויכים לאפליקציה הרלוונטית בקטלוג. לקבלת מידע נוסף, ראה איתור אפליקציית הענן שלך וחשב תוצאות סיכונים.

הערה

לא ניתן להשתמש באפליקציות מותקנות עם זרימות כניסה לא אינטראקטיביות, כגון האפליקציה Authenticator ויישומים מוכללים אחרים, עם פקדי גישה. ההמלצה שלנו במקרה זה היא ליצור מדיניות גישה מרכז הניהול של Microsoft Entra בנוסף למדיניות יישומי ענן של Microsoft Defender הגישה.

טווח התמיכה עבור בקרת הפעלה

פקדי הפעלה חלים רק על גישה מבוססת דפדפן אינטרנט ונאכפת במהלך הפעלות דפדפן אינטראקטיביות.

למרות שפקדי הפעלה מיועדים לפעול עם כל דפדפן בכל פלטפורמה ראשית בכל מערכת הפעלה, אנו תומכים בגירסאות העדכניות ביותר של הדפדפנים הבאים:

• מייקרוסופט אדג'
• Google Chrome
• Mozilla Firefox
• Apple Safari

משתמשי Microsoft Edge נהנים מההגנה בתוך הדפדפן, מבלי לנתב מחדש ל- Proxy הפוך. לקבלת מידע נוסף, ראה הגנה בתוך הדפדפן באמצעות Microsoft Edge לעסקים (תצוגה מקדימה).

חשוב

יישום שולחן העבודה של Microsoft Teams אינו נתמך עבור פקדי הפעלה של בקרת יישום גישה מותנית. פקדי הפעלה, כגון חסום הורדה (תצוגה מקדימה) אינם חלים על יישום שולחן העבודה של Microsoft Teams.

הגבלת גישה עבור לקוחות שאינם נתמכים

כאשר עליך להגביל גישה לתוכן ב- Microsoft Teams, הפקדים הזמינים תלויים בסוג הלקוח:

• גישה לדפדפן (נתמכת עבור פקדי הפעלה):
  החל פקדי הפעלה של בקרת יישום גישה מותנית, כגון חסום הורדה (תצוגה מקדימה), על הפעלות דפדפן נתמכות.

• יישום שולחן העבודה של Microsoft Teams (אינו נתמך עבור פקדי הפעלה):
  השתמש בגישה של בקרת גישה שמונעת כניסה מיישום שולחן העבודה עבור המשתמשים הייעודיים, תוך מתן אפשרות לגישה לדפדפן שבה ניתן לאכוף פקדי הפעלה.

הערה

אם הגישה לשולחן העבודה מותרת, ייתכן שמשתמשים יוכלו להוריד תוכן באמצעות יישום שולחן העבודה של Microsoft Teams, גם כאשר מוגדרים פקדי הפעלה של הדפדפן.

אימות התצורה שלך

לאחר קביעת התצורה של פריטי מדיניות, אמת את אופן הפעולה בין לקוחות נתמכים ולא נתמכים:

1. היכנס באמצעות משתמש התואם לטווח המדיניות.
2. ודא שההגבלות הצפויות נאכפות בהפעלת דפדפן נתמכת.
3. אמת את אופן הפעולה ביישום שולחן העבודה של Microsoft Teams כדי לוודא שהגישה מוגבלת.

תמיכה באפליקציות עבור TLS 1.2+

יישומי ענן של Defender פרוטוקול Transport Layer Security (TLS) 1.2+ כדי לספק הצפנה. יישומי לקוח ודפדפנים מוכללים שאינם תומכים ב- TLS 1.2+ אינם נגישים בעת קביעת התצורה שלהם באמצעות בקרת הפעלה.

עם זאת, תוכנה כשירות (SaaS) יישומים המשתמשים ב- TLS 1.1 או גירסה קודמת מופיעות בדפדפן כמו שימוש TLS 1.2+ בעת קביעת התצורה שלהם עם יישומי ענן של Defender.

תוכן קשור

• מגבלות ידועות בפקד יישום גישה מותנית
• פתרון בעיות גישה ופקדי הפעלה