Feltételes hozzáférésű alkalmazásvezérlés az Felhőhöz készült Microsoft Defender-alkalmazásokban
A mai munkahelyen nem elég tudni, hogy mi történt a felhőkörnyezetben a tény után. Valós időben le kell állítania a behatolásokat és a szivárgásokat. Azt is meg kell akadályoznia, hogy az alkalmazottak szándékosan vagy véletlenül veszélybe süljenek adatai és szervezete számára.
Támogatni szeretné a szervezet felhasználóit, miközben az elérhető legjobb felhőalkalmazásokat használják, és saját eszközeiket is használni szeretnék. Azonban olyan eszközökre is szüksége van, a szivárgások és lopások elleni védelemhez, amely valós időben védi a szervezetet. Felhőhöz készült Microsoft Defender Alkalmazások integrálhatók bármely identitásszolgáltatóval (IdP), hogy ezt a védelmet hozzáférési és munkamenet-szabályzatokkal biztosítják.
Példa:
Hozzáférési szabályzatok használatával:
- Letilthatja a Salesforce-hoz való hozzáférést a nem felügyelt eszközök felhasználói számára.
- A Dropboxhoz való hozzáférés letiltása natív ügyfelek számára.
Munkamenet-szabályzatok használata:
- Letilthatja a bizalmas fájlok letöltését a OneDrive-ról a nem felügyelt eszközökre.
- Kártevőfájlok feltöltésének letiltása a SharePoint Online-ba.
A Microsoft Edge-felhasználók közvetlen , böngészőn belüli védelmet élveznek. Ezt a védelmet a böngésző címsorában található zárolási 
ikon jelzi.
Más böngészők felhasználói fordított proxyn keresztül kerülnek átirányításra Felhőhöz készült Defender-alkalmazásokba. Ezek a böngészők megjelenítenek egy *.mcas.ms utótagot a hivatkozás URL-címében. Ha például az alkalmazás URL-címe, myapp.comaz alkalmazás URL-címe erre frissül myapp.com.mcas.ms.
Ez a cikk az Felhőhöz készült Defender-alkalmazások feltételes hozzáférési szabályzatain keresztüli feltételes hozzáférési alkalmazásvezérlést ismerteti.
Tevékenységek a feltételes hozzáférés alkalmazásvezérlőjében
A feltételes hozzáférésű alkalmazások vezérlése hozzáférési szabályzatokat és munkamenet-szabályzatokat használ a felhasználói alkalmazások hozzáférésének és munkameneteinek valós idejű monitorozásához és szabályozásához a szervezeten belül.
Minden szabályzatnak vannak feltételei annak meghatározásához , hogy kire (melyik felhasználóra vagy felhasználócsoportra), milyen (melyik felhőalkalmazásokra), és hol (mely helyekre és hálózatokra) alkalmazza a szabályzatot. A feltételek meghatározása után először irányítsa át a felhasználókat az Felhőhöz készült Defender-alkalmazásokba. Itt alkalmazhatja a hozzáférési és munkamenet-vezérlőket az adatok védelme érdekében.
A hozzáférési és munkamenet-szabályzatok a következő típusú tevékenységeket tartalmazzák:
| Tevékenység | Leírás |
|---|---|
| Adatkiszivárgás megakadályozása | Letilthatja a bizalmas dokumentumok letöltését, kivágását, másolását és nyomtatását (például) nem felügyelt eszközökön. |
| Hitelesítési környezet megkövetelése | Értékelje újra a Microsoft Entra feltételes hozzáférési szabályzatait, ha a munkamenetben bizalmas művelet történik, például többtényezős hitelesítést igényel. |
| Védelem letöltés után | A bizalmas dokumentumok letöltésének letiltása helyett a dokumentumok címkézését és titkosítását kell megkövetelni a Microsoft Purview információvédelem való integráció során. Ez a művelet segít megvédeni a dokumentumot, és korlátozni a felhasználók hozzáférését egy potenciálisan kockázatos munkamenetben. |
| Címkézetlen fájlok feltöltésének megakadályozása | Győződjön meg arról, hogy a bizalmas tartalmú címkézetlen fájlok feltöltése le van tiltva, amíg a felhasználó be nem sorolja a tartalmat. Mielőtt egy felhasználó bizalmas fájlt tölt fel, terjeszt vagy használ, a fájlnak meg kell határoznia a szervezet házirendjének címkéjét. |
| Potenciális kártevők letiltása | A potenciálisan rosszindulatú fájlok feltöltésének letiltásával megvédheti környezetét a kártevőktől. A felhasználó által feltölteni vagy letölteni próbált fájlokat a Microsoft Threat Intelligenceben lehet ellenőrizni, és azonnal le lehet tiltani. |
| Felhasználói munkamenetek figyelése a megfelelőség érdekében | Vizsgálja meg és elemezze a felhasználói viselkedést, hogy megértse, hol és milyen feltételek mellett kell alkalmazni a munkamenet-szabályzatokat a jövőben. A kockázatos felhasználókat a rendszer figyeli, amikor bejelentkeznek az alkalmazásokba, és a műveleteiket a munkameneten belül naplózza a rendszer. |
| Hozzáférés letiltása | Több kockázati tényezőtől függően részletesen letilthatja az egyes alkalmazások és felhasználók hozzáférését. Letilthatja például őket, ha ügyféltanúsítványokat használnak eszközfelügyeleti formában. |
| Egyéni tevékenységek letiltása | Egyes alkalmazások egyedi forgatókönyvekkel rendelkeznek, amelyek kockázatot hordoznak. Ilyen például a bizalmas tartalmakat tartalmazó üzenetek küldése olyan alkalmazásokban, mint a Microsoft Teams vagy a Slack. Az ilyen helyzetekben vizsgálja meg az üzeneteket bizalmas tartalmak után, és valós időben tiltsa le őket. |
További információk:
- Felhőhöz készült Microsoft Defender-alkalmazások hozzáférési szabályzatainak létrehozása
- Felhőhöz készült Microsoft Defender Apps-munkamenetszabályzatok létrehozása
Használhatóság
A feltételes hozzáférésű alkalmazások vezérléséhez nem kell semmit telepítenie az eszközön, ezért ideális, ha nem felügyelt eszközökről vagy partnerfelhasználókról figyeli vagy szabályozza a munkameneteket.
Felhőhöz készült Defender Alkalmazások szabadalmaztatott heurisztika használatával azonosítják és szabályozzák a felhasználói tevékenységeket a célalkalmazásban. A heurisztika célja a biztonság és a használhatóság optimalizálása és egyensúlyba hozása.
Néhány ritka esetben a kiszolgálóoldali tevékenységek blokkolása használhatatlanná teszi az alkalmazást, így a szervezetek csak az ügyféloldalon védik ezeket a tevékenységeket. Ez a megközelítés potenciálisan érzékenysé teszi őket a rosszindulatú bennfentesek általi kizsákmányolásra.
Rendszerteljesítmény és adattárolás
Felhőhöz készült Defender Alkalmazások világszerte Azure-adatközpontokat használnak az optimalizált teljesítmény geolokáción keresztüli biztosítására. Egy felhasználó munkamenete egy adott régión kívül is üzemeltethető a forgalmi mintáktól és a tartózkodási helyüktől függően. A felhasználói adatvédelem érdekében azonban ezek az adatközpontok nem tárolnak munkamenetadatokat.
Felhőhöz készült Defender Alkalmazások proxykiszolgálói nem tárolnak inaktív adatokat. A tartalom gyorsítótárazásakor az RFC 7234-ben (HTTP-gyorsítótárazás) meghatározott követelményeket követjük, és csak a nyilvános tartalmakat gyorsítótárazjuk.
Támogatott alkalmazások és ügyfelek
Munkamenet- és hozzáférés-vezérlők alkalmazása az SAML 2.0 hitelesítési protokollt használó interaktív egyszeri bejelentkezésekre. A hozzáférés-vezérlés a beépített mobil- és asztali ügyfélalkalmazásokhoz is támogatott.
Továbbá, ha Microsoft Entra ID-alkalmazásokat használ, munkamenet- és hozzáférés-vezérlőket is alkalmazhat a következőre:
- Minden olyan interaktív egyszeri bejelentkezés, amely az OpenID Connect hitelesítési protokollt használja.
- A helyszínen üzemeltetett és a Microsoft Entra alkalmazásproxyval konfigurált alkalmazások.
A Microsoft Entra ID-alkalmazásokat a rendszer automatikusan előkészíti a feltételes hozzáférésű alkalmazások vezérléséhez, míg a más azonosítókat használó alkalmazásokat manuálisan kell előkészíteni.
Felhőhöz készült Defender Alkalmazások a felhőalapú alkalmazáskatalógus adataival azonosítja az alkalmazásokat. Ha beépülő modulokkal testre szabta az alkalmazásokat, minden társított egyéni tartományt hozzá kell adnia a katalógus megfelelő alkalmazásához. További információ: A felhőalkalmazás megkeresése és a kockázati pontszámok kiszámítása.
Feljegyzés
Nem használhat olyan telepített alkalmazásokat, amelyek neminteraktív bejelentkezési folyamatokkal rendelkeznek, például az Authenticator alkalmazással és más beépített alkalmazásokkal, hozzáférés-vezérléssel. Ebben az esetben azt javasoljuk, hogy a Felhőhöz készült Microsoft Defender Apps hozzáférési szabályzatai mellett a Microsoft Entra felügyeleti központban is készítsünk hozzáférési szabályzatot.
A munkamenet-vezérlés támogatásának hatóköre
Bár a munkamenet-vezérlők úgy vannak kialakítva, hogy bármilyen operációs rendszer bármely fő platformján bármilyen böngészővel működjenek, a következő böngészők legújabb verzióit támogatjuk:
A Microsoft Edge-felhasználók a böngészőn belüli védelem előnyeit élvezhetik anélkül, hogy fordított proxyra irányítanák át őket. További információ: Böngészőn belüli védelem a Microsoft Edge Vállalati verzióval (előzetes verzió).
A TLS 1.2+ alkalmazástámogatása
Felhőhöz készült Defender Alkalmazások a Transport Layer Security (TLS) 1.2+ protokollt használják a titkosítás biztosításához. A TLS 1.2+-t nem támogató beépített ügyfélalkalmazások és böngészők nem érhetők el, ha munkamenet-vezérléssel konfigurálja őket.
A TLS 1.1-et vagy korábbi verziót használó szolgáltatásként (SaaS)-alkalmazások azonban TLS 1.2+-ként jelennek meg a böngészőben, amikor Felhőhöz készült Defender-alkalmazásokkal konfigurálja őket.