Kontrol aplikasi Conditional Access di Microsoft Defender for Cloud Apps

Di tempat kerja saat ini, memahami apa yang terjadi di lingkungan cloud Anda setelah kejadian saja tidaklah cukup; Anda perlu menghentikan pelanggaran keamanan dan kebocoran data saat itu terjadi. Itu termasuk mencegah karyawan dengan sengaja atau tidak sengaja membahayakan data dan organisasi Anda. Microsoft Defender for Cloud Apps membantu Anda mencapai keseimbangan yang tepat: memungkinkan produktivitas dengan aplikasi cloud terbaik sambil melindungi data Anda secara real time. Ini memberikan visibilitas dan kontrol mendalam atas sesi berbasis browser melalui integrasi dengan Penyedia Identitas (IdP) apa pun, menggunakan kebijakan akses dan sesi yang kuat.

Contohnya:

  • Gunakan kebijakan akses untuk:

    • Blokir akses ke Salesforce untuk pengguna perangkat yang tidak dikelola.
    • Blokir akses ke Dropbox untuk klien asli.
  • Gunakan kebijakan sesi untuk:

    • Blokir unduhan file sensitif dari OneDrive ke perangkat yang tidak dikelola.
    • Blokir unggahan file malware ke SharePoint Online.

Microsoft Edge pengguna mendapat manfaat dari perlindungan langsung di browser. Ikon kunci pada bilah alamat browser menunjukkan perlindungan ini.

Pengguna browser lain dialihkan melalui proksi terbalik ke Defender for Cloud Apps. Browser tersebut menampilkan *.mcas.ms akhiran di URL tautan. Misalnya, jika URL aplikasi adalah myapp.com, URL aplikasi diperbarui ke myapp.com.mcas.ms.

Untuk mencegah melewati perlindungan ini, admin harus mengonfigurasi kebijakan akses untuk memblokir akses klien asli dan hanya mengizinkan sesi berbasis browser.

Artikel ini menjelaskan fitur kontrol aplikasi Akses Bersyarat di Defender for Cloud Apps melalui kebijakan Akses Bersyarat Microsoft Entra.

Aktivitas dalam kontrol aplikasi Akses Bersyarat

Kontrol aplikasi Akses Bersyarat menggunakan kebijakan akses dan kebijakan sesi untuk memantau dan mengontrol akses aplikasi serta sesi pengguna secara real time di seluruh organisasi Anda.

Setiap kebijakan memiliki kondisi untuk menentukan siapa (pengguna atau grup pengguna mana), apa (aplikasi cloud mana), dan di mana (lokasi dan jaringan mana) kebijakan diterapkan. Setelah Anda menentukan kondisi, rutekan pengguna Anda terlebih dahulu ke Defender for Cloud Apps. Di sana, Anda dapat menerapkan kontrol akses dan sesi untuk membantu melindungi data Anda.

Kebijakan Akses Bersyarat diterapkan pada tingkat aplikasi, bukan pada tingkat setiap file. Akibatnya, Anda tidak dapat mengecualikan file tertentu dari pengaturan kebijakan.

Kebijakan akses dan sesi mencakup jenis aktivitas berikut:

Aktivitas Deskripsi
Mencegah penyelundupan data Blokir unduhan, potong, salin, dan cetak dokumen sensitif pada (misalnya) perangkat yang tidak dikelola.
Memerlukan konteks autentikasi Mengevaluasi kembali kebijakan Akses Bersyarat Microsoft Entra ketika tindakan sensitif terjadi dalam sesi, seperti memerlukan autentikasi multifaktor.
Lindungi saat mengunduh Alih-alih memblokir pengunduhan dokumen sensitif, wajibkan dokumen diberi label dan dienkripsi saat Anda berintegrasi dengan Perlindungan Informasi Microsoft Purview. Tindakan ini membantu melindungi dokumen dan membatasi akses pengguna dalam sesi yang berpotensi berisiko.
Mencegah pengunggahan file yang tidak berlabel Pastikan bahwa unggahan file tanpa label yang memiliki konten sensitif diblokir hingga pengguna mengklasifikasikan konten. Sebelum pengguna mengunggah, mendistribusikan, atau menggunakan file sensitif, file harus memiliki label yang ditentukan oleh kebijakan organisasi Anda.
Memblokir potensi malware Bantu lindungi lingkungan Anda dari malware dengan memblokir unggahan file yang berpotensi berbahaya. File apa pun yang coba diunggah atau diunduh pengguna dapat dipindai terhadap Microsoft Inteligensi Ancaman dan diblokir secara instan.
Pantau sesi pengguna demi kepatuhan Selidiki dan analisis perilaku pengguna untuk memahami di mana, dan dalam kondisi apa, kebijakan sesi harus diterapkan di masa mendatang. Pengguna berisiko dipantau saat mereka masuk ke aplikasi, dan tindakan mereka dicatat dari dalam sesi.
Memblokir akses Blokir akses secara terperinci untuk aplikasi dan pengguna tertentu, tergantung pada beberapa faktor risiko. Misalnya, Anda dapat memblokirnya jika menggunakan sertifikat klien sebagai bentuk manajemen perangkat.
Memblokir aktivitas kustom Beberapa aplikasi memiliki skenario unik yang berisiko. Contohnya adalah mengirim pesan yang memiliki konten sensitif di aplikasi seperti Microsoft Teams atau Slack. Dalam skenario semacam ini, pindai pesan untuk mendeteksi konten sensitif dan blokir pesan tersebut secara waktu nyata.

Untuk informasi selengkapnya, lihat:

Usability

Kontrol aplikasi Akses Bersyarat tidak mengharuskan Anda menginstal apa pun di perangkat, sehingga ideal saat Anda memantau atau mengontrol sesi dari perangkat atau pengguna mitra yang tidak dikelola.

Defender for Cloud Apps menggunakan heuristik yang dipaenkan untuk mengidentifikasi dan mengontrol aktivitas pengguna di aplikasi target. Heuristik dirancang untuk mengoptimalkan dan menyeimbangkan keamanan dengan kegunaan.

Dalam beberapa skenario yang jarang terjadi, memblokir aktivitas di sisi server membuat aplikasi tidak dapat digunakan, sehingga organisasi mengamankan aktivitas ini hanya di sisi klien. Pendekatan ini membuat mereka berpotensi rentan terhadap eksploitasi oleh orang dalam yang berbahaya.

Performa sistem dan penyimpanan data

Defender for Cloud Apps menggunakan pusat data Azure di seluruh dunia untuk memberikan performa yang dioptimalkan melalui geolokasi. Sesi pengguna mungkin dihosting di luar wilayah tertentu, tergantung pada pola lalu lintas dan lokasinya. Namun, untuk membantu melindungi privasi pengguna, pusat data ini tidak menyimpan data sesi apa pun.

Server proksi Defender for Cloud Apps tidak menyimpan data yang disimpan. Ketika kami menembolokkan konten, kami mengikuti persyaratan yang ditetapkan dalam RFC 7234 (penembolokan HTTP) dan hanya menembolokkan konten publik.

Aplikasi dan klien yang didukung

Terapkan kontrol sesi dan akses pada setiap single sign-on interaktif yang menggunakan protokol autentikasi SAML 2.0. Kontrol akses juga didukung untuk aplikasi klien seluler dan desktop bawaan.

Selain itu, jika Anda menggunakan aplikasi Microsoft Entra ID, terapkan kontrol sesi dan akses ke:

  • Setiap single sign-on (SSO) interaktif yang menggunakan protokol autentikasi OpenID Connect.
  • Aplikasi yang dihosting secara lokal dan dikonfigurasi dengan proksi aplikasi Microsoft Entra.

Aplikasi Microsoft Entra ID juga secara otomatis diaktifkan untuk kontrol aplikasi Akses Bersyarat, sedangkan aplikasi yang menggunakan IdP lain harus diaktifkan secara manual.

Defender for Cloud Apps mengidentifikasi aplikasi dengan menggunakan data dari katalog aplikasi cloud. Jika Anda menyesuaikan aplikasi dengan plug-in, Anda harus menambahkan domain kustom terkait ke aplikasi yang relevan di katalog. Untuk informasi selengkapnya, lihat Menemukan aplikasi cloud Anda dan menghitung skor risiko.

Note

Anda tidak dapat menggunakan aplikasi terinstal yang memiliki alur masuk noninteraktif , seperti aplikasi Authenticator dan aplikasi bawaan lainnya, dengan kontrol akses. Rekomendasi kami dalam hal ini adalah membuat kebijakan akses di pusat admin Microsoft Entra selain kebijakan akses Microsoft Defender for Cloud Apps.

Cakupan dukungan untuk kontrol sesi

Kontrol sesi hanya berlaku untuk akses berbasis browser web dan diberlakukan selama sesi browser interaktif.

Meskipun kontrol sesi dibuat untuk bekerja dengan browser apa pun di platform utama apa pun pada sistem operasi apa pun, kami mendukung versi terbaru browser berikut:

Pengguna Microsoft Edge mendapatkan manfaat dari perlindungan di browser, tanpa dialihkan ke proksi balik. Untuk informasi selengkapnya, lihat Perlindungan dalam browser dengan Microsoft Edge untuk Bisnis (pratinjau).

Penting

Aplikasi desktop Microsoft Teams tidak didukung untuk kontrol sesi pada Kontrol Aplikasi Akses Bersyarat. Kontrol sesi, seperti Blokir unduhan (pratinjau), tidak berlaku untuk aplikasi desktop Microsoft Teams.

Membatasi akses untuk klien yang tidak didukung

Saat Anda perlu membatasi akses ke konten di Microsoft Teams, kontrol yang tersedia bergantung pada jenis klien:

  • Akses browser (didukung untuk kontrol sesi):
    Terapkan kontrol sesi Kontrol Aplikasi Akses Bersyarat, seperti Blokir unduhan (pratinjau), pada sesi browser yang didukung.

  • Microsoft Teams aplikasi desktop (tidak didukung untuk kontrol sesi):
    Gunakan pendekatan kontrol akses yang mencegah masuk dari aplikasi desktop untuk pengguna yang ditargetkan, sambil mengizinkan akses browser tempat kontrol sesi dapat diberlakukan.

Note

Jika akses desktop diizinkan, pengguna mungkin dapat mengunduh konten melalui aplikasi desktop Microsoft Teams, bahkan ketika kontrol sesi browser dikonfigurasi.

Memvalidasi konfigurasi Anda

Setelah mengonfigurasi kebijakan, verifikasi perilaku di seluruh klien yang didukung dan tidak didukung:

  1. Masuk menggunakan akun pengguna yang sesuai dengan cakupan kebijakan.
  2. Konfirmasikan bahwa pembatasan yang diharapkan diberlakukan dalam sesi browser yang didukung.
  3. Verifikasi perilaku di aplikasi desktop Microsoft Teams untuk mengonfirmasi bahwa akses dibatasi.

Dukungan aplikasi untuk TLS 1.2+

Defender for Cloud Apps menggunakan protokol Transport Layer Security (TLS) 1.2+ untuk menyediakan enkripsi. Aplikasi klien bawaan dan browser yang tidak mendukung TLS 1.2+ tidak dapat diakses saat Anda mengonfigurasinya dengan kontrol sesi.

Namun, aplikasi software as a service (SaaS) yang menggunakan TLS 1.1 atau yang lebih lama muncul di browser seperti menggunakan TLS 1.2+ saat Anda mengonfigurasinya dengan Defender for Cloud Apps.