Felhőhöz készült Microsoft Defender Alkalmazások feltételes hozzáférésű alkalmazásvezérlése
A mai munkahelyen nem elég tudni, hogy mi történt a felhőkörnyezetben a tény után. Emellett valós időben meg kell szüntetnie a jogsértéseket és a szivárgásokat, és meg kell akadályoznia, hogy az alkalmazottak szándékosan vagy véletlenül veszélybe süljenek adatai és szervezete számára.
Támogatni szeretné a szervezet felhasználóit, miközben az elérhető legjobb felhőalkalmazásokat használják, és saját eszközeiket is használni szeretnék. Azonban olyan eszközökre is szüksége van, a szivárgások és lopások elleni védelemhez, amely valós időben védi a szervezetet. Felhőhöz készült Microsoft Defender Alkalmazások integrálhatók bármely identitásszolgáltatóval (IdP), hogy ezt a védelmet hozzáférési és munkamenet-szabályzatokkal biztosítják.
Példa:
Hozzáférési szabályzatok használatával:
- A Salesforce-hoz való hozzáférés letiltása nem felügyelt eszközökről érkező felhasználók számára
- A Dropboxhoz való hozzáférés letiltása natív ügyfelek számára.
Munkamenet-szabályzatok használata:
- Bizalmas fájlok letöltésének letiltása a OneDrive-ról a nem felügyelt eszközökre
- Kártevőfájlok feltöltésének letiltása a SharePoint Online-ba
A Microsoft Edge-felhasználók közvetlen böngészőn belüli védelmet élveznek, amelyet a böngésző címsorában látható zárolás ikon jelez.
Más böngészők felhasználói fordított proxyn keresztül kerülnek átirányításra az Felhőhöz készült Defender Apps szolgáltatásba, és megjelenítenek egy *.mcas.ms
utótagot a hivatkozás URL-címében. Ha például az alkalmazás URL-címe myapp.com, az alkalmazás URL-címe myapp.com.mcas.ms frissül.
Ez a cikk Felhőhöz készült Defender Alkalmazások feltételes hozzáférésű alkalmazásvezérlését ismerteti a Microsoft Entra feltételes hozzáférési szabályzataival.
Használhatóság
A feltételes hozzáférésű alkalmazások vezérléséhez nem kell semmit telepítenie az eszközön, így ideális lehet a nem felügyelt eszközök vagy partnerfelhasználók munkameneteinek monitorozása vagy vezérlése során.
Felhőhöz készült Defender Az alkalmazások a legjobb osztályon belüli, szabadalmaztatott heurisztika használatával azonosítják és ellenőrzik a felhasználó által a célalkalmazásban végzett tevékenységeket. Heurisztikus megoldásaink célja a biztonság és a használhatóság optimalizálása és egyensúlyba hozása.
Bizonyos ritka esetekben, amikor a kiszolgálóoldali tevékenységek blokkolása használhatatlanná teszi az alkalmazást, ezeket a tevékenységeket csak az ügyféloldalon biztosítjuk, ami potenciálisan érzékenysé teszi őket a rosszindulatú bennfentes felhasználók általi kizsákmányolásra.
Rendszerteljesítmény és adattárolás
Felhőhöz készült Defender Alkalmazások világszerte azure-adatközpontokat használnak, hogy földrajzi helymeghatározással optimalizált teljesítményt nyújtsanak. Ez azt jelenti, hogy egy felhasználó munkamenete egy adott régión kívül is üzemeltethető a forgalmi mintáktól és azok helyétől függően. Az adatvédelem érdekében azonban ezekben az adatközpontokban nem tárol munkamenet-adatokat.
Felhőhöz készült Defender Alkalmazások proxykiszolgálói nem tárolnak inaktív adatokat. A tartalom gyorsítótárazásakor az RFC 7234-ben (HTTP-gyorsítótárazás) meghatározott követelményeket követjük, és csak a nyilvános tartalmak gyorsítótárazását hajtjuk végre.
Támogatott tevékenységek hivatkozása
A feltételes hozzáférésű alkalmazások vezérlése hozzáférési szabályzatokat és munkamenet-szabályzatokat használ a felhasználói alkalmazások hozzáférésének és munkameneteinek valós idejű monitorozásához és szabályozásához a szervezeten belül.
Minden szabályzatnak vannak feltételei annak meghatározásához , hogy kire (melyik felhasználóra vagy felhasználócsoportra), milyen (melyik felhőalkalmazásokra), és hol (mely helyekre és hálózatokra) alkalmazza a szabályzatot. A feltételek meghatározása után először a Felhőhöz készült Defender-alkalmazásokhoz irányíthatja a felhasználókat, ahol a hozzáférési és munkamenet-vezérlőket alkalmazhatja az adatok védelmére.
A hozzáférési és munkamenet-szabályzatok a következő típusú tevékenységeket tartalmazzák:
Tevékenység | Leírás |
---|---|
Adatkiszivárgás megakadályozása | Letilthatja a bizalmas dokumentumok letöltését, kivágását, másolását és nyomtatását, például nem felügyelt eszközökön. |
Hitelesítési környezet megkövetelése | Értékelje újra a Microsoft Entra feltételes hozzáférési szabályzatait, ha a munkamenetben bizalmas művelet történik, például többtényezős hitelesítést igényel. |
Védelem letöltés után | A bizalmas dokumentumok letöltésének letiltása helyett a dokumentumok címkézését és titkosítását kell megkövetelni a Microsoft Purview információvédelem való integráció során. Ez a művelet biztosítja, hogy a dokumentum védett legyen, és a felhasználók hozzáférése korlátozott legyen egy potenciálisan kockázatos munkamenetben. |
Címkézetlen fájlok feltöltésének megakadályozása | Győződjön meg arról, hogy a bizalmas tartalmú címkézetlen fájlok feltöltése le van tiltva, amíg a felhasználó be nem sorolja a tartalmat. Mielőtt mások feltöltenének, terjesztenének és használnak bizalmas fájlokat, fontos meggyőződni arról, hogy a bizalmas fájl rendelkezik a szervezet házirendje által meghatározott címkével. |
Potenciális kártevők letiltása | A potenciálisan rosszindulatú fájlok feltöltésének letiltásával megvédheti környezetét a kártevőktől. A feltöltött vagy letöltött fájlok megvizsgálhatók a Microsoft fenyegetésfelderítésével, és azonnal letilthatók. |
Felhasználói munkamenetek figyelése a megfelelőség érdekében | Vizsgálja meg és elemezze a felhasználói viselkedést, hogy megértse, hol és milyen feltételek mellett kell alkalmazni a munkamenet-szabályzatokat a jövőben. A kockázatos felhasználókat a rendszer figyeli, amikor bejelentkeznek az alkalmazásokba, és a műveletek naplózása a munkameneten belül történik. |
Hozzáférés letiltása | Több kockázati tényezőtől függően részletesen tiltsa le az egyes alkalmazások és felhasználók hozzáférését. Letilthatja például őket, ha ügyféltanúsítványokat használnak eszközfelügyeleti formában. |
Egyéni tevékenységek letiltása | Egyes alkalmazások olyan egyedi forgatókönyvekkel rendelkeznek, amelyek kockázatot hordoznak, például bizalmas tartalmakkal rendelkező üzeneteket küldenek olyan alkalmazásokban, mint a Microsoft Teams vagy a Slack. Az ilyen helyzetekben vizsgálja meg az üzeneteket bizalmas tartalmak után, és valós időben tiltsa le őket. |
További információkért lásd:
- Felhőhöz készült Microsoft Defender-alkalmazások hozzáférési szabályzatainak létrehozása
- Felhőhöz készült Microsoft Defender Apps-munkamenetszabályzatok létrehozása
Támogatott alkalmazások és ügyfelek
Munkamenet és hozzáférés alkalmazása a vezérlőkhöz az SAML 2.0 hitelesítési protokollt használó interaktív egyszeri bejelentkezésekre. A hozzáférés-vezérlés a beépített mobil- és asztali ügyfélalkalmazásokhoz is támogatott.
Továbbá, ha Microsoft Entra ID-alkalmazásokat használ, munkamenet- és hozzáférés-vezérlőket is alkalmazhat a következőre:
- Minden olyan interaktív egyszeri bejelentkezés, amely a Open ID Csatlakozás hitelesítési protokollt használja.
- A helyszínen üzemeltetett és a Microsoft Entra alkalmazásproxyval konfigurált alkalmazások.
Felhőhöz készült Defender Alkalmazások a felhőalapú alkalmazáskatalógus adataival azonosítja az alkalmazásokat. Ha beépülő modulokkal testre szabta az alkalmazásokat, a társított egyéni tartományokat hozzá kell adni a katalógus megfelelő alkalmazásához. További információ: A kockázati pontszám használata.
Feljegyzés
A nem interaktív bejelentkezési folyamatokkal (például az Authenticator alkalmazással és más beépített alkalmazásokkal) rendelkező alkalmazások nem használhatók hozzáférés-vezérléssel.
Előre előkészített alkalmazások
A korábban említett hitelesítési protokollok használatával konfigurált webalkalmazások a hozzáférés- és munkamenet-vezérlők használatához is előkészíthetők. Emellett az alábbi alkalmazások már bevezetésre kerülnek a Microsoft Entra ID hozzáférési és munkamenet-vezérlőivel is.
Feljegyzés
A kívánt alkalmazásokat a hozzáférés- és munkamenet-vezérlőkhöz, valamint az első bejelentkezéshez kell irányítani.
- AWS
- Box
- Concur
- Igény szerinti sarokkő
- DocuSign
- Dropbox
- Egnyte
- GitHub
- Google Workspace
- HighQ
- JIRA/Confluence
- LinkedIn Learning
- Microsoft Azure DevOps (Visual Studio Team Services)
- Microsoft Azure Portal
- Microsoft Dynamics 365 CRM
- Microsoft Exchange Online
- Microsoft OneDrive Vállalati verzió
- Microsoft Power BI
- Microsoft Office SharePoint Online
- Microsoft Teams
- Microsoft Yammer
- Salesforce
- Slack
- Tableau
- Workday
- Workiva
- Munkahely a Meta-ból
Ha egy adott alkalmazás előzetes előkészítése érdekli, küldjön nekünk adatokat az alkalmazásról. Mindenképpen küldje el az előkészítéshez szükséges használati esetet.
Támogatott böngészők
Bár a munkamenet-vezérlők úgy vannak létrehozva, hogy bármilyen operációs rendszer bármely fő platformján működjenek, a következő böngészőket támogatjuk:
- Microsoft Edge (legújabb)
- Google Chrome (legújabb)
- Mozilla Firefox (legújabb)
- Apple Safari (legújabb)
A Microsoft Edge-felhasználók a böngészőn belüli védelem előnyeit élvezhetik anélkül, hogy fordított proxyra irányítanák át őket. További információ: Böngészőn belüli védelem a Microsoft Edge Vállalati verzióval (előzetes verzió).
A TLS 1.2+ alkalmazástámogatása
Felhőhöz készült Defender Az alkalmazások a Transport Layer Security (TLS) 1.2+ protokollt használják az osztályon belüli legjobb titkosítás biztosítására, és a TLS 1.2+-t nem támogató beépített ügyfélalkalmazások és böngészők nem érhetők el munkamenet-vezérléssel konfigurálva.
A TLS 1.1 vagy újabb verziót használó SaaS-alkalmazások azonban a TLS 1.2+ használatával jelennek meg a böngészőben, ha az Felhőhöz készült Defender-alkalmazásokkal van konfigurálva.
Kapcsolódó tartalom
További információkért lásd: