Megosztás a következőn keresztül:


Feltételes hozzáférésű alkalmazásvezérlés az Felhőhöz készült Microsoft Defender-alkalmazásokban

A mai munkahelyen nem elég tudni, hogy mi történt a felhőkörnyezetben a tény után. Valós időben le kell állítania a behatolásokat és a szivárgásokat. Azt is meg kell akadályoznia, hogy az alkalmazottak szándékosan vagy véletlenül veszélybe süljenek adatai és szervezete számára.

Támogatni szeretné a szervezet felhasználóit, miközben az elérhető legjobb felhőalkalmazásokat használják, és saját eszközeiket is használni szeretnék. Azonban olyan eszközökre is szüksége van, a szivárgások és lopások elleni védelemhez, amely valós időben védi a szervezetet. Felhőhöz készült Microsoft Defender Alkalmazások integrálhatók bármely identitásszolgáltatóval (IdP), hogy ezt a védelmet hozzáférési és munkamenet-szabályzatokkal biztosítják.

Példa:

  • Hozzáférési szabályzatok használatával:

    • Letilthatja a Salesforce-hoz való hozzáférést a nem felügyelt eszközök felhasználói számára.
    • A Dropboxhoz való hozzáférés letiltása natív ügyfelek számára.
  • Munkamenet-szabályzatok használata:

    • Letilthatja a bizalmas fájlok letöltését a OneDrive-ról a nem felügyelt eszközökre.
    • Kártevőfájlok feltöltésének letiltása a SharePoint Online-ba.

A Microsoft Edge-felhasználók közvetlen , böngészőn belüli védelmet élveznek. Ezt a védelmet a böngésző címsorában található zárolási ikon jelzi.

Más böngészők felhasználói fordított proxyn keresztül kerülnek átirányításra Felhőhöz készült Defender-alkalmazásokba. Ezek a böngészők megjelenítenek egy *.mcas.ms utótagot a hivatkozás URL-címében. Ha például az alkalmazás URL-címe, myapp.comaz alkalmazás URL-címe erre frissül myapp.com.mcas.ms.

Ez a cikk az Felhőhöz készült Defender-alkalmazások feltételes hozzáférési szabályzatain keresztüli feltételes hozzáférési alkalmazásvezérlést ismerteti.

Tevékenységek a feltételes hozzáférés alkalmazásvezérlőjében

A feltételes hozzáférésű alkalmazások vezérlése hozzáférési szabályzatokat és munkamenet-szabályzatokat használ a felhasználói alkalmazások hozzáférésének és munkameneteinek valós idejű monitorozásához és szabályozásához a szervezeten belül.

Minden szabályzatnak vannak feltételei annak meghatározásához , hogy kire (melyik felhasználóra vagy felhasználócsoportra), milyen (melyik felhőalkalmazásokra), és hol (mely helyekre és hálózatokra) alkalmazza a szabályzatot. A feltételek meghatározása után először irányítsa át a felhasználókat az Felhőhöz készült Defender-alkalmazásokba. Itt alkalmazhatja a hozzáférési és munkamenet-vezérlőket az adatok védelme érdekében.

A hozzáférési és munkamenet-szabályzatok a következő típusú tevékenységeket tartalmazzák:

Tevékenység Leírás
Adatkiszivárgás megakadályozása Letilthatja a bizalmas dokumentumok letöltését, kivágását, másolását és nyomtatását (például) nem felügyelt eszközökön.
Hitelesítési környezet megkövetelése Értékelje újra a Microsoft Entra feltételes hozzáférési szabályzatait, ha a munkamenetben bizalmas művelet történik, például többtényezős hitelesítést igényel.
Védelem letöltés után A bizalmas dokumentumok letöltésének letiltása helyett a dokumentumok címkézését és titkosítását kell megkövetelni a Microsoft Purview információvédelem való integráció során. Ez a művelet segít megvédeni a dokumentumot, és korlátozni a felhasználók hozzáférését egy potenciálisan kockázatos munkamenetben.
Címkézetlen fájlok feltöltésének megakadályozása Győződjön meg arról, hogy a bizalmas tartalmú címkézetlen fájlok feltöltése le van tiltva, amíg a felhasználó be nem sorolja a tartalmat. Mielőtt egy felhasználó bizalmas fájlt tölt fel, terjeszt vagy használ, a fájlnak meg kell határoznia a szervezet házirendjének címkéjét.
Potenciális kártevők letiltása A potenciálisan rosszindulatú fájlok feltöltésének letiltásával megvédheti környezetét a kártevőktől. A felhasználó által feltölteni vagy letölteni próbált fájlokat a Microsoft Threat Intelligenceben lehet ellenőrizni, és azonnal le lehet tiltani.
Felhasználói munkamenetek figyelése a megfelelőség érdekében Vizsgálja meg és elemezze a felhasználói viselkedést, hogy megértse, hol és milyen feltételek mellett kell alkalmazni a munkamenet-szabályzatokat a jövőben. A kockázatos felhasználókat a rendszer figyeli, amikor bejelentkeznek az alkalmazásokba, és a műveleteiket a munkameneten belül naplózza a rendszer.
Hozzáférés letiltása Több kockázati tényezőtől függően részletesen letilthatja az egyes alkalmazások és felhasználók hozzáférését. Letilthatja például őket, ha ügyféltanúsítványokat használnak eszközfelügyeleti formában.
Egyéni tevékenységek letiltása Egyes alkalmazások egyedi forgatókönyvekkel rendelkeznek, amelyek kockázatot hordoznak. Ilyen például a bizalmas tartalmakat tartalmazó üzenetek küldése olyan alkalmazásokban, mint a Microsoft Teams vagy a Slack. Az ilyen helyzetekben vizsgálja meg az üzeneteket bizalmas tartalmak után, és valós időben tiltsa le őket.

További információk:

Használhatóság

A feltételes hozzáférésű alkalmazások vezérléséhez nem kell semmit telepítenie az eszközön, ezért ideális, ha nem felügyelt eszközökről vagy partnerfelhasználókról figyeli vagy szabályozza a munkameneteket.

Felhőhöz készült Defender Alkalmazások szabadalmaztatott heurisztika használatával azonosítják és szabályozzák a felhasználói tevékenységeket a célalkalmazásban. A heurisztika célja a biztonság és a használhatóság optimalizálása és egyensúlyba hozása.

Néhány ritka esetben a kiszolgálóoldali tevékenységek blokkolása használhatatlanná teszi az alkalmazást, így a szervezetek csak az ügyféloldalon védik ezeket a tevékenységeket. Ez a megközelítés potenciálisan érzékenysé teszi őket a rosszindulatú bennfentesek általi kizsákmányolásra.

Rendszerteljesítmény és adattárolás

Felhőhöz készült Defender Alkalmazások világszerte Azure-adatközpontokat használnak az optimalizált teljesítmény geolokáción keresztüli biztosítására. Egy felhasználó munkamenete egy adott régión kívül is üzemeltethető a forgalmi mintáktól és a tartózkodási helyüktől függően. A felhasználói adatvédelem érdekében azonban ezek az adatközpontok nem tárolnak munkamenetadatokat.

Felhőhöz készült Defender Alkalmazások proxykiszolgálói nem tárolnak inaktív adatokat. A tartalom gyorsítótárazásakor az RFC 7234-ben (HTTP-gyorsítótárazás) meghatározott követelményeket követjük, és csak a nyilvános tartalmakat gyorsítótárazjuk.

Támogatott alkalmazások és ügyfelek

Munkamenet- és hozzáférés-vezérlők alkalmazása az SAML 2.0 hitelesítési protokollt használó interaktív egyszeri bejelentkezésekre. A hozzáférés-vezérlés a beépített mobil- és asztali ügyfélalkalmazásokhoz is támogatott.

Továbbá, ha Microsoft Entra ID-alkalmazásokat használ, munkamenet- és hozzáférés-vezérlőket is alkalmazhat a következőre:

  • Minden olyan interaktív egyszeri bejelentkezés, amely az OpenID Connect hitelesítési protokollt használja.
  • A helyszínen üzemeltetett és a Microsoft Entra alkalmazásproxyval konfigurált alkalmazások.

A Microsoft Entra ID-alkalmazásokat a rendszer automatikusan előkészíti a feltételes hozzáférésű alkalmazások vezérléséhez, míg a más azonosítókat használó alkalmazásokat manuálisan kell előkészíteni.

Felhőhöz készült Defender Alkalmazások a felhőalapú alkalmazáskatalógus adataival azonosítja az alkalmazásokat. Ha beépülő modulokkal testre szabta az alkalmazásokat, minden társított egyéni tartományt hozzá kell adnia a katalógus megfelelő alkalmazásához. További információ: A felhőalkalmazás megkeresése és a kockázati pontszámok kiszámítása.

Feljegyzés

Nem használhat olyan telepített alkalmazásokat, amelyek neminteraktív bejelentkezési folyamatokkal rendelkeznek, például az Authenticator alkalmazással és más beépített alkalmazásokkal, hozzáférés-vezérléssel. Ebben az esetben azt javasoljuk, hogy a Felhőhöz készült Microsoft Defender Apps hozzáférési szabályzatai mellett a Microsoft Entra felügyeleti központban is készítsünk hozzáférési szabályzatot.

A munkamenet-vezérlés támogatásának hatóköre

Bár a munkamenet-vezérlők úgy vannak kialakítva, hogy bármilyen operációs rendszer bármely fő platformján bármilyen böngészővel működjenek, a következő böngészők legújabb verzióit támogatjuk:

A Microsoft Edge-felhasználók a böngészőn belüli védelem előnyeit élvezhetik anélkül, hogy fordított proxyra irányítanák át őket. További információ: Böngészőn belüli védelem a Microsoft Edge Vállalati verzióval (előzetes verzió).

A TLS 1.2+ alkalmazástámogatása

Felhőhöz készült Defender Alkalmazások a Transport Layer Security (TLS) 1.2+ protokollt használják a titkosítás biztosításához. A TLS 1.2+-t nem támogató beépített ügyfélalkalmazások és böngészők nem érhetők el, ha munkamenet-vezérléssel konfigurálja őket.

A TLS 1.1-et vagy korábbi verziót használó szolgáltatásként (SaaS)-alkalmazások azonban TLS 1.2+-ként jelennek meg a böngészőben, amikor Felhőhöz készült Defender-alkalmazásokkal konfigurálja őket.