Bagikan melalui


Kontrol aplikasi Akses Bersyar di Aplikasi Microsoft Defender untuk Cloud

Di tempat kerja saat ini, tidak cukup untuk mengetahui apa yang terjadi di lingkungan cloud Anda setelah fakta. Anda perlu menghentikan pelanggaran dan kebocoran secara real time. Anda juga perlu mencegah karyawan dengan sengaja atau tidak sengaja membahayakan data dan organisasi Anda.

Anda ingin mendukung pengguna di organisasi Anda saat mereka menggunakan aplikasi cloud terbaik yang tersedia dan membuat perangkat mereka sendiri berfungsi. Namun, Anda juga memerlukan alat untuk melindungi organisasi Anda dari kebocoran data dan pencurian secara real time. Microsoft Defender untuk Cloud Apps terintegrasi dengan Penyedia Identitas (IdP) apa pun untuk memberikan perlindungan ini dengan kebijakan akses dan sesi.

Contohnya:

  • Gunakan kebijakan akses untuk:

    • Blokir akses ke Salesforce untuk pengguna perangkat yang tidak dikelola.
    • Blokir akses ke Dropbox untuk klien asli.
  • Gunakan kebijakan sesi untuk:

    • Blokir unduhan file sensitif dari OneDrive ke perangkat yang tidak dikelola.
    • Blokir unggahan file malware ke SharePoint Online.

Pengguna Microsoft Edge mendapat manfaat dari perlindungan langsung di browser. Ikon kunci pada bilah alamat browser menunjukkan perlindungan ini.

Pengguna browser lain dialihkan melalui proksi terbalik ke aplikasi Defender untuk Cloud. Browser tersebut menampilkan *.mcas.ms akhiran di URL tautan. Misalnya, jika URL aplikasi adalah myapp.com, URL aplikasi diperbarui ke myapp.com.mcas.ms.

Artikel ini menjelaskan kontrol aplikasi Akses Bersyar di aplikasi Defender untuk Cloud melalui kebijakan Akses Bersyar Microsoft Entra.

Aktivitas dalam kontrol aplikasi Akses Bersyar

Kontrol aplikasi Akses Bersyar menggunakan kebijakan akses dan kebijakan sesi untuk memantau dan mengontrol akses dan sesi aplikasi pengguna secara real time, di seluruh organisasi Anda.

Setiap kebijakan memiliki kondisi untuk menentukan siapa (pengguna atau grup pengguna mana), apa (aplikasi cloud mana), dan di mana (lokasi dan jaringan mana) kebijakan diterapkan. Setelah Anda menentukan kondisi, rutekan pengguna Anda terlebih dahulu ke aplikasi Defender untuk Cloud. Di sana, Anda dapat menerapkan kontrol akses dan sesi untuk membantu melindungi data Anda.

Kebijakan akses dan sesi mencakup jenis aktivitas berikut:

Tinggi Deskripsi
Mencegah penyelundupan data Blokir unduhan, potong, salin, dan cetak dokumen sensitif pada (misalnya) perangkat yang tidak dikelola.
Memerlukan konteks autentikasi Mengevaluasi ulang kebijakan Akses Bersyarat Microsoft Entra saat tindakan sensitif terjadi dalam sesi, seperti memerlukan autentikasi multifaktor.
Lindungi saat mengunduh Alih-alih memblokir pengunduhan dokumen sensitif, wajibkan dokumen diberi label dan dienkripsi saat Anda berintegrasi dengan Perlindungan Informasi Microsoft Purview. Tindakan ini membantu melindungi dokumen dan membatasi akses pengguna dalam sesi yang berpotensi berisiko.
Mencegah pengunggahan file yang tidak berlabel Pastikan bahwa unggahan file tanpa label yang memiliki konten sensitif diblokir hingga pengguna mengklasifikasikan konten. Sebelum pengguna mengunggah, mendistribusikan, atau menggunakan file sensitif, file harus memiliki label yang ditentukan oleh kebijakan organisasi Anda.
Memblokir potensi malware Bantu lindungi lingkungan Anda dari malware dengan memblokir unggahan file yang berpotensi berbahaya. File apa pun yang coba diunggah atau diunduh pengguna dapat dipindai terhadap Inteligensi Ancaman Microsoft dan diblokir secara instan.
Memantau sesi pengguna untuk kepatuhan Selidiki dan analisis perilaku pengguna untuk memahami di mana, dan dalam kondisi apa, kebijakan sesi harus diterapkan di masa mendatang. Pengguna berisiko dipantau saat mereka masuk ke aplikasi, dan tindakan mereka dicatat dari dalam sesi.
Memblokir akses Blokir akses secara terperinci untuk aplikasi dan pengguna tertentu, tergantung pada beberapa faktor risiko. Misalnya, Anda dapat memblokirnya jika menggunakan sertifikat klien sebagai bentuk manajemen perangkat.
Memblokir aktivitas kustom Beberapa aplikasi memiliki skenario unik yang berisiko. Contohnya adalah mengirim pesan yang memiliki konten sensitif di aplikasi seperti Microsoft Teams atau Slack. Dalam skenario semacam ini, pindai pesan untuk konten sensitif dan blokir secara real time.

Untuk informasi selengkapnya, lihat:

Kegunaan

Kontrol aplikasi Akses Bersyarat tidak mengharuskan Anda menginstal apa pun di perangkat, sehingga ideal saat Anda memantau atau mengontrol sesi dari perangkat atau pengguna mitra yang tidak dikelola.

Defender untuk Cloud Apps menggunakan heuristik yang dipaenkan untuk mengidentifikasi dan mengontrol aktivitas pengguna di aplikasi target. Heuristik dirancang untuk mengoptimalkan dan menyeimbangkan keamanan dengan kegunaan.

Dalam beberapa skenario yang jarang terjadi, memblokir aktivitas di sisi server membuat aplikasi tidak dapat digunakan, sehingga organisasi mengamankan aktivitas ini hanya di sisi klien. Pendekatan ini membuat mereka berpotensi rentan terhadap eksploitasi oleh orang dalam yang berbahaya.

Performa sistem dan penyimpanan data

Defender untuk Cloud Apps menggunakan pusat data Azure di seluruh dunia untuk memberikan performa yang dioptimalkan melalui geolokasi. Sesi pengguna mungkin dihosting di luar wilayah tertentu, tergantung pada pola lalu lintas dan lokasinya. Namun, untuk membantu melindungi privasi pengguna, pusat data ini tidak menyimpan data sesi apa pun.

Defender untuk Cloud Server proksi Aplikasi tidak menyimpan data tidak aktif. Ketika kami menyimpan konten, kami mengikuti persyaratan yang ditata di RFC 7234 (penembolokan HTTP) dan hanya cache konten publik.

Aplikasi dan klien yang didukung

Terapkan kontrol akses dan sesi ke akses menyeluruh interaktif apa pun yang menggunakan protokol autentikasi SAML 2.0. Kontrol akses juga didukung untuk aplikasi klien seluler dan desktop bawaan.

Selain itu, jika Anda menggunakan aplikasi ID Microsoft Entra, terapkan kontrol sesi dan akses ke:

  • Setiap akses menyeluruh interaktif yang menggunakan protokol autentikasi OpenID Connect.
  • Aplikasi yang dihosting secara lokal dan dikonfigurasi dengan proksi aplikasi Microsoft Entra.

Aplikasi ID Microsoft Entra juga secara otomatis di-onboarding untuk kontrol aplikasi Akses Bersyar, sedangkan aplikasi yang menggunakan IDP lain harus di-onboarding secara manual.

Defender untuk Cloud Apps mengidentifikasi aplikasi dengan menggunakan data dari katalog aplikasi cloud. Jika Anda menyesuaikan aplikasi dengan plug-in, Anda harus menambahkan domain kustom terkait ke aplikasi yang relevan di katalog. Untuk informasi selengkapnya, lihat Menemukan aplikasi cloud Anda dan menghitung skor risiko.

Catatan

Anda tidak dapat menggunakan aplikasi terinstal yang memiliki alur masuk noninteraktif , seperti aplikasi Authenticator dan aplikasi bawaan lainnya, dengan kontrol akses. Rekomendasi kami dalam hal ini adalah membuat kebijakan akses di pusat admin Microsoft Entra selain kebijakan akses aplikasi Microsoft Defender untuk Cloud.

Cakupan dukungan untuk kontrol sesi

Meskipun kontrol sesi dibuat untuk bekerja dengan browser apa pun di platform utama apa pun pada sistem operasi apa pun, kami mendukung versi terbaru browser berikut:

Pengguna Microsoft Edge mendapat manfaat dari perlindungan di browser, tanpa mengalihkan ke proksi terbalik. Untuk informasi selengkapnya, lihat Perlindungan dalam browser dengan Microsoft Edge for Business (pratinjau).

Dukungan aplikasi untuk TLS 1.2+

Defender untuk Cloud Apps menggunakan protokol Transport Layer Security (TLS) 1.2+ untuk menyediakan enkripsi. Aplikasi klien bawaan dan browser yang tidak mendukung TLS 1.2+ tidak dapat diakses saat Anda mengonfigurasinya dengan kontrol sesi.

Namun, aplikasi software as a service (SaaS) yang menggunakan TLS 1.1 atau yang lebih lama muncul di browser seperti menggunakan TLS 1.2+ saat Anda mengonfigurasinya dengan Defender untuk Cloud Apps.