Felhőhöz készült Microsoft Defender Alkalmazások feltételes hozzáférésű alkalmazásvezérlése
A mai munkahelyen nem elég tudni, hogy mi történt a felhőkörnyezetben a tény után. Emellett valós időben meg kell szüntetnie a jogsértéseket és a szivárgásokat, és meg kell akadályoznia, hogy az alkalmazottak szándékosan vagy véletlenül veszélybe süljenek adatai és szervezete számára.
Támogatni szeretné a szervezet felhasználóit, miközben az elérhető legjobb felhőalkalmazásokat használják, és saját eszközeiket is használni szeretnék. Azonban olyan eszközökre is szüksége van, a szivárgások és lopások elleni védelemhez, amely valós időben védi a szervezetet. Felhőhöz készült Microsoft Defender Alkalmazások integrálhatók bármely identitásszolgáltatóval (IdP), hogy ezt a védelmet hozzáférési és munkamenet-szabályzatokkal biztosítják.
Példa:
Hozzáférési szabályzatok használatával:
- A Salesforce-hoz való hozzáférés letiltása nem felügyelt eszközökről érkező felhasználók számára
- A Dropboxhoz való hozzáférés letiltása natív ügyfelek számára.
Munkamenet-szabályzatok használata:
- Bizalmas fájlok letöltésének letiltása a OneDrive-ról a nem felügyelt eszközökre
- Kártevőfájlok feltöltésének letiltása a SharePoint Online-ba
A Microsoft Edge-felhasználók közvetlen böngészőn belüli védelmet élveznek, amelyet a böngésző címsorában látható zárolás ikon jelez.
Más böngészők felhasználói fordított proxyn keresztül kerülnek átirányításra az Felhőhöz készült Defender Apps szolgáltatásba, és megjelenítenek egy *.mcas.ms
utótagot a hivatkozás URL-címében. Ha például az alkalmazás URL-címe myapp.com, az alkalmazás URL-címe myapp.com.mcas.ms frissül.
Ez a cikk Felhőhöz készült Defender Alkalmazások feltételes hozzáférésű alkalmazásvezérlését ismerteti a Microsoft Entra feltételes hozzáférési szabályzataival.
Feltételes hozzáférésű alkalmazásvezérlési tevékenységek
A feltételes hozzáférésű alkalmazások vezérlése hozzáférési szabályzatokat és munkamenet-szabályzatokat használ a felhasználói alkalmazások hozzáférésének és munkameneteinek valós idejű monitorozásához és szabályozásához a szervezeten belül.
Minden szabályzatnak vannak feltételei annak meghatározásához , hogy kire (melyik felhasználóra vagy felhasználócsoportra), milyen (melyik felhőalkalmazásokra), és hol (mely helyekre és hálózatokra) alkalmazza a szabályzatot. A feltételek meghatározása után először a Felhőhöz készült Defender-alkalmazásokhoz irányíthatja a felhasználókat, ahol a hozzáférési és munkamenet-vezérlőket alkalmazhatja az adatok védelmére.
A hozzáférési és munkamenet-szabályzatok a következő típusú tevékenységeket tartalmazzák:
Tevékenység | Leírás |
---|---|
Adatkiszivárgás megakadályozása | Letilthatja a bizalmas dokumentumok letöltését, kivágását, másolását és nyomtatását, például nem felügyelt eszközökön. |
Hitelesítési környezet megkövetelése | Értékelje újra a Microsoft Entra feltételes hozzáférési szabályzatait, ha a munkamenetben bizalmas művelet történik, például többtényezős hitelesítést igényel. |
Védelem letöltés után | A bizalmas dokumentumok letöltésének letiltása helyett a dokumentumok címkézését és titkosítását kell megkövetelni a Microsoft Purview információvédelem való integráció során. Ez a művelet biztosítja, hogy a dokumentum védett legyen, és a felhasználók hozzáférése korlátozott legyen egy potenciálisan kockázatos munkamenetben. |
Címkézetlen fájlok feltöltésének megakadályozása | Győződjön meg arról, hogy a bizalmas tartalmú címkézetlen fájlok feltöltése le van tiltva, amíg a felhasználó be nem sorolja a tartalmat. Mielőtt mások feltöltenének, terjesztenének és használnak bizalmas fájlokat, fontos meggyőződni arról, hogy a bizalmas fájl rendelkezik a szervezet házirendje által meghatározott címkével. |
Potenciális kártevők letiltása | A potenciálisan rosszindulatú fájlok feltöltésének letiltásával megvédheti környezetét a kártevőktől. A feltöltött vagy letöltött fájlok megvizsgálhatók a Microsoft fenyegetésfelderítésével, és azonnal letilthatók. |
Felhasználói munkamenetek figyelése a megfelelőség érdekében | Vizsgálja meg és elemezze a felhasználói viselkedést, hogy megértse, hol és milyen feltételek mellett kell alkalmazni a munkamenet-szabályzatokat a jövőben. A kockázatos felhasználókat a rendszer figyeli, amikor bejelentkeznek az alkalmazásokba, és a műveletek naplózása a munkameneten belül történik. |
Hozzáférés letiltása | Több kockázati tényezőtől függően részletesen tiltsa le az egyes alkalmazások és felhasználók hozzáférését. Letilthatja például őket, ha ügyféltanúsítványokat használnak eszközfelügyeleti formában. |
Egyéni tevékenységek letiltása | Egyes alkalmazások olyan egyedi forgatókönyvekkel rendelkeznek, amelyek kockázatot hordoznak, például bizalmas tartalmakkal rendelkező üzeneteket küldenek olyan alkalmazásokban, mint a Microsoft Teams vagy a Slack. Az ilyen helyzetekben vizsgálja meg az üzeneteket bizalmas tartalmak után, és valós időben tiltsa le őket. |
További információk:
- Felhőhöz készült Microsoft Defender-alkalmazások hozzáférési szabályzatainak létrehozása
- Felhőhöz készült Microsoft Defender Apps-munkamenetszabályzatok létrehozása
Használhatóság
A feltételes hozzáférésű alkalmazások vezérlése nem követeli meg, hogy bármit is telepítsen az eszközön, így ideális választás a nem felügyelt eszközökről vagy partnerfelhasználóktól érkező munkamenetek monitorozásához vagy vezérléséhez.
Felhőhöz készült Defender Az alkalmazások a legjobb osztályon belüli, szabadalmaztatott heurisztika használatával azonosítják és ellenőrzik a felhasználó által a célalkalmazásban végzett tevékenységeket. Heurisztikus megoldásaink célja a biztonság és a használhatóság optimalizálása és egyensúlyba hozása.
Bizonyos ritka esetekben, amikor a kiszolgálóoldali tevékenységek blokkolása használhatatlanná teszi az alkalmazást, ezeket a tevékenységeket csak az ügyféloldalon biztosítjuk, ami potenciálisan érzékenysé teszi őket a rosszindulatú bennfentes felhasználók általi kizsákmányolásra.
Rendszerteljesítmény és adattárolás
Felhőhöz készült Defender Alkalmazások világszerte azure-adatközpontokat használnak, hogy földrajzi helymeghatározással optimalizált teljesítményt nyújtsanak. Ez azt jelenti, hogy egy felhasználó munkamenete egy adott régión kívül is üzemeltethető a forgalmi mintáktól és azok helyétől függően. Az adatvédelem érdekében azonban ezekben az adatközpontokban nem tárol munkamenet-adatokat.
Felhőhöz készült Defender Alkalmazások proxykiszolgálói nem tárolnak inaktív adatokat. A tartalom gyorsítótárazásakor az RFC 7234-ben (HTTP-gyorsítótárazás) meghatározott követelményeket követjük, és csak a nyilvános tartalmak gyorsítótárazását hajtjuk végre.
Támogatott alkalmazások és ügyfelek
Munkamenet és hozzáférés alkalmazása a vezérlőkhöz az SAML 2.0 hitelesítési protokollt használó interaktív egyszeri bejelentkezésekre. A hozzáférés-vezérlés a beépített mobil- és asztali ügyfélalkalmazásokhoz is támogatott.
Továbbá, ha Microsoft Entra ID-alkalmazásokat használ, munkamenet- és hozzáférés-vezérlőket is alkalmazhat a következőre:
- Minden olyan interaktív egyszeri bejelentkezés, amely az Open ID Connect hitelesítési protokollt használja.
- A helyszínen üzemeltetett és a Microsoft Entra alkalmazásproxyval konfigurált alkalmazások.
A Microsoft Entra ID-alkalmazásokat a rendszer automatikusan előkészíti a feltételes hozzáférésű alkalmazások vezérléséhez, míg a más azonosítókat használó alkalmazásokat manuálisan kell előkészíteni.
Felhőhöz készült Defender Alkalmazások a felhőalapú alkalmazáskatalógus adataival azonosítja az alkalmazásokat. Ha beépülő modulokkal testre szabta az alkalmazásokat, a társított egyéni tartományokat hozzá kell adni a katalógus megfelelő alkalmazásához. További információ: A kockázati pontszám használata.
Feljegyzés
A nem interaktív bejelentkezési folyamatokkal (például az Authenticator alkalmazással és más beépített alkalmazásokkal) rendelkező telepített alkalmazások nem használhatók hozzáférés-vezérléssel. Ebben az esetben azt javasoljuk, hogy az Entra ID portálon a Microsoft Defenderen kívül a felhőalkalmazások hozzáférési szabályzatait is elkészítsük.
Munkamenet-vezérlés támogatási hatóköre
Bár a munkamenet-vezérlők úgy vannak létrehozva, hogy bármilyen operációs rendszer bármely fő platformján működjenek, a következő böngészőket támogatjuk:
- Microsoft Edge (legújabb)
- Google Chrome (legújabb)
- Mozilla Firefox (legújabb)
- Apple Safari (legújabb)
A Microsoft Edge-felhasználók a böngészőn belüli védelem előnyeit élvezhetik anélkül, hogy fordított proxyra irányítanák át őket. További információ: Böngészőn belüli védelem a Microsoft Edge Vállalati verzióval (előzetes verzió).
A TLS 1.2+ alkalmazástámogatása
Felhőhöz készült Defender Az alkalmazások a Transport Layer Security (TLS) 1.2+ protokollt használják az osztályon belüli legjobb titkosítás biztosítására, és a TLS 1.2+-t nem támogató beépített ügyfélalkalmazások és böngészők nem érhetők el munkamenet-vezérléssel konfigurálva.
A TLS 1.1 vagy újabb verziót használó SaaS-alkalmazások azonban a TLS 1.2+ használatával jelennek meg a böngészőben, ha az Felhőhöz készült Defender-alkalmazásokkal van konfigurálva.
Kapcsolódó tartalom
További információk:
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: