Condividi tramite


Criteri di app Microsoft Defender per il cloud consigliati per le app SaaS

Microsoft Defender per il cloud App si basa sui criteri di accesso condizionale di Microsoft Entra per abilitare il monitoraggio in tempo reale e il controllo delle azioni granulari con le app SaaS, ad esempio il blocco di download, caricamenti, copia e incolla e stampa. Questa funzionalità aggiunge sicurezza alle sessioni che comportano rischi intrinseci, ad esempio quando si accede alle risorse aziendali da dispositivi non gestiti o da utenti guest.

Defender per il cloud Apps si integra anche in modo nativo con Microsoft Purview Information Protection, fornendo un'ispezione dei contenuti in tempo reale per trovare i dati sensibili in base ai tipi di informazioni riservate e alle etichette di riservatezza e per intervenire in modo appropriato.

Queste indicazioni includono raccomandazioni per questi scenari:

  • Portare le app SaaS nella gestione IT
  • Ottimizzare la protezione per app SaaS specifiche
  • Configurare la prevenzione della perdita dei dati (DLP) di Microsoft Purview per garantire la conformità alle normative sulla protezione dei dati

Portare le app SaaS nella gestione IT

Il primo passaggio nell'uso di app Defender per il cloud per gestire le app SaaS consiste nell'individuarle e quindi aggiungerle al tenant di Microsoft Entra. Se è necessaria assistenza per l'individuazione, vedere Individuare e gestire le app SaaS nella rete. Dopo aver individuato le app, aggiungerle al tenant di Microsoft Entra.

È possibile iniziare a gestirli eseguendo le operazioni seguenti:

  1. Prima di tutto, in Microsoft Entra ID creare un nuovo criterio di accesso condizionale e configurarlo in "Usa controllo app per l'accesso condizionale". In questo modo la richiesta viene reindirizza a Defender per il cloud App. È possibile creare un criterio e aggiungere tutte le app SaaS a questo criterio.
  2. Successivamente, in Defender per il cloud App creare criteri di sessione. Creare un criterio per ogni controllo da applicare.

Le autorizzazioni per le app SaaS sono in genere basate sulla necessità aziendale di accedere all'app. Queste autorizzazioni possono essere altamente dinamiche. L'uso dei criteri di Defender per il cloud Apps garantisce la protezione dei dati delle app, indipendentemente dal fatto che gli utenti siano assegnati a un gruppo Microsoft Entra associato al punto di partenza, all'organizzazione o alla protezione della sicurezza specializzata.

Per proteggere i dati nella raccolta di app SaaS, il diagramma seguente illustra i criteri di accesso condizionale Microsoft Entra necessari e i criteri suggeriti che è possibile creare nelle app Defender per il cloud. In questo esempio i criteri creati in Defender per il cloud App si applicano a tutte le app SaaS gestite. Sono progettati per applicare controlli appropriati in base alla gestione dei dispositivi e alle etichette di riservatezza già applicate ai file.

Diagramma che mostra i criteri per la gestione delle app SaaS in app Defender per il cloud.

La tabella seguente elenca i nuovi criteri di accesso condizionale che è necessario creare in Microsoft Entra ID.

Livello di protezione Criteri Ulteriori informazioni
Tutti i livelli di protezione Usare il controllo app per l'accesso condizionale nelle app di Defender per il cloud In questo modo il provider di identità (ID Microsoft Entra) viene configurato per l'uso con Defender per il cloud Apps.

Questa tabella successiva elenca i criteri di esempio illustrati in precedenza che è possibile creare per proteggere tutte le app SaaS. Assicurarsi di valutare gli obiettivi aziendali, di sicurezza e di conformità e quindi di creare criteri che forniscano la protezione più appropriata per l'ambiente.

Livello di protezione Criteri
Punto di partenza Monitorare il traffico dai dispositivi non gestiti

Aggiungere la protezione ai download di file da dispositivi non gestiti

Enterprise Blocca il download dei file etichettati con dati sensibili o classificati da dispositivi non gestiti (questo consente l'accesso solo al browser)
Sicurezza specializzata Blocca il download dei file etichettati con classificazione da tutti i dispositivi (questo consente l'accesso solo al browser)

Per istruzioni end-to-end per la configurazione del controllo app per l'accesso condizionale, vedere Distribuire controllo app per l'accesso condizionale per le app in primo piano. Questo articolo illustra il processo di creazione dei criteri di accesso condizionale necessari in Microsoft Entra ID e test delle app SaaS.

Per altre informazioni, vedere Proteggere le app con Microsoft Defender per il cloud Controllo app per l'accesso condizionale.

Ottimizzare la protezione per app SaaS specifiche

È possibile applicare controlli e monitoraggio aggiuntivi a app SaaS specifiche nell'ambiente in uso. Defender per il cloud App consente di eseguire questa operazione. Ad esempio, se un'app come Box viene usata pesantemente nell'ambiente, è opportuno applicare più controlli. In alternativa, se il reparto legale o finanziario usa un'app SaaS specifica per i dati aziendali sensibili, è possibile destinare una protezione aggiuntiva a queste app.

Ad esempio, è possibile proteggere l'ambiente Box con questi tipi di modelli di criteri di rilevamento anomalie predefiniti:

  • Attività da indirizzi IP anonimi
  • Attività da paese/area geografica non frequente
  • Attività da indirizzi IP sospetti
  • Comunicazione impossibile
  • Attività eseguita dall'utente terminato (richiede Microsoft Entra ID come IdP)
  • Rilevamento malware
  • Più tentativi di accesso non riusciti
  • Attività ransomware
  • App Oauth rischiosa
  • Attività insolita di condivisione file

Questi sono esempi. Altri modelli di criteri vengono aggiunti regolarmente. Per esempi di come applicare una protezione aggiuntiva a app specifiche, vedere Protezione delle app connesse.

In che modo Defender per il cloud Apps consente di proteggere l'ambiente Box illustra i tipi di controlli che consentono di proteggere i dati aziendali in Box e altre app con dati sensibili.

Configurare la prevenzione della perdita dei dati (DLP) per garantire la conformità alle normative sulla protezione dei dati

Defender per il cloud Le app possono essere uno strumento prezioso per configurare la protezione per le normative di conformità. In questo caso, si creano criteri specifici per cercare dati specifici a cui si applica una normativa e configurare ogni criterio per eseguire le azioni appropriate.

La figura e la tabella seguenti forniscono diversi esempi di criteri che possono essere configurati per garantire la conformità al Regolamento generale sulla protezione dei dati (GDPR). In questi esempi, i criteri cercano dati specifici. In base alla riservatezza dei dati, ogni criterio è configurato per eseguire le azioni appropriate.

Diagramma che mostra la pagina Defender per il cloud Criteri delle app per la prevenzione della perdita dei dati.

Livello di protezione Criteri di esempio
Punto di partenza Avviso quando i file contenenti questo tipo di informazioni riservate ("Numero carta di credito") vengono condivisi all'esterno dell'organizzazione

Bloccare i download di file contenenti questo tipo di informazioni riservate ("numero di carta di credito") nei dispositivi non gestiti

Enterprise Proteggere i download di file contenenti questo tipo di informazioni riservate ("numero di carta di credito") nei dispositivi gestiti

Bloccare i download di file contenenti questo tipo di informazioni riservate ("numero di carta di credito") nei dispositivi non gestiti

Avvisa quando un file con su di queste etichette viene caricato in OneDrive for Business o Box (dati del cliente, risorse umane: dati stipendio, risorse umane, dati dei dipendenti)

Sicurezza specializzata Avvisa quando i file con questa etichetta ("Altamente classificati") vengono scaricati nei dispositivi gestiti

Bloccare i download di file con questa etichetta ("Altamente classificato") nei dispositivi non gestiti

Passaggi successivi

Per altre informazioni sull'uso di app Defender per il cloud, vedere Microsoft Defender per il cloud documentazione delle app.