Microsoft Defender per il cloud controllo delle app per l'accesso condizionale
Nell'ambiente di lavoro di oggi non è sufficiente sapere cosa è successo nell'ambiente cloud dopo il fatto. È anche necessario arrestare violazioni e perdite in tempo reale e impedire ai dipendenti di mettere intenzionalmente o accidentalmente a rischio i dati e l'organizzazione.
Si vuole supportare gli utenti dell'organizzazione mentre usano le migliori app cloud disponibili e portare i propri dispositivi per funzionare. Tuttavia, sono necessari anche strumenti per proteggere l'organizzazione da perdite di dati e furti in tempo reale. Microsoft Defender per il cloud App si integra con qualsiasi provider di identità (IdP) per offrire questa protezione con criteri di accesso e sessione.
Ad esempio:
Usare i criteri di accesso per:
- Bloccare l'accesso a Salesforce per gli utenti provenienti da dispositivi non gestiti
- Bloccare l'accesso a Dropbox per i client nativi.
Usare i criteri di sessione per:
- Bloccare i download di file sensibili da OneDrive a dispositivi non gestiti
- Bloccare i caricamenti di file malware in SharePoint Online
Gli utenti di Microsoft Edge traggono vantaggio dalla protezione diretta nel browser, indicata dall'icona di blocco 
visualizzata nella barra degli indirizzi del browser.
Gli utenti di altri browser vengono reindirizzati tramite un proxy inverso per Defender per il cloud App e visualizzano un *.mcas.ms suffisso nell'URL del collegamento. Ad esempio, se l'URL dell'app è myapp.com, l'URL dell'app viene aggiornato a myapp.com.mcas.ms.
Questo articolo descrive Defender per il cloud controllo delle app per l'accesso condizionale con i criteri di accesso condizionale di Microsoft Entra.
Usabilità
Il controllo delle app per l'accesso condizionale non richiede l'installazione di alcun elemento nel dispositivo, rendendolo ideale per il monitoraggio o il controllo delle sessioni da dispositivi non gestiti o utenti partner.
Defender per il cloud App usa euristiche brevettate migliori per identificare e controllare le attività eseguite dall'utente nell'app di destinazione. Le nostre euristiche sono progettate per ottimizzare e bilanciare la sicurezza con l'usabilità.
In alcuni rari scenari, quando si bloccano le attività sul lato server, l'app non è utilizzabile, queste attività vengono protette solo sul lato client, che le rende potenzialmente vulnerabili allo sfruttamento da parte di utenti malintenzionati.
Prestazioni del sistema e archiviazione dei dati
Defender per il cloud App usa data center di Azure in tutto il mondo per offrire prestazioni ottimizzate tramite la georilevazione. Ciò significa che la sessione di un utente può essere ospitata all'esterno di una determinata area, a seconda dei modelli di traffico e della relativa posizione. Tuttavia, per proteggere la privacy, non vengono archiviati dati di sessione in questi data center.
Defender per il cloud i server proxy delle app non archiviano i dati inattivi. Quando si memorizzano nella cache il contenuto, vengono soddisfatti i requisiti descritti in RFC 7234 (memorizzazione nella cache HTTP) e vengono memorizzati nella cache solo i contenuti pubblici.
Informazioni di riferimento sulle attività supportate
Il controllo delle app per l'accesso condizionale usa criteri di accesso e criteri di sessione per monitorare e controllare l'accesso e le sessioni delle app utente in tempo reale nell'intera organizzazione.
Ogni criterio ha condizioni per definire a chi (utente o gruppo di utenti), a quali app cloud e dove (a quali percorsi e reti) vengono applicati i criteri. Dopo aver determinato le condizioni, indirizzare gli utenti prima a Defender per il cloud App, in cui è possibile applicare i controlli di accesso e sessione per proteggere i dati.
I criteri di accesso e sessione includono i tipi di attività seguenti:
| Impegno | Descrizione |
|---|---|
| Impedire l'esfiltrazione di dati | Bloccare il download, tagliare, copiare e stampare documenti sensibili nei dispositivi non gestiti, ad esempio. |
| Richiedi contesto di autenticazione | Rivalutare i criteri di accesso condizionale di Microsoft Entra quando si verifica un'azione sensibile nella sessione, ad esempio richiedere l'autenticazione a più fattori. |
| Proteggere in caso di download | Invece di bloccare il download di documenti sensibili, è necessario che i documenti vengano etichettati e crittografati quando si esegue l'integrazione con Microsoft Purview Information Protection. Questa azione garantisce che il documento sia protetto e che l'accesso utente sia limitato in una sessione potenzialmente rischiosa. |
| Impedire il caricamento di file senza etichetta | Assicurarsi che i file senza etichetta con contenuto sensibile non vengano caricati finché l'utente non classifica il contenuto. Prima del caricamento, della distribuzione e dell'uso di un file sensibile, è importante assicurarsi che il file sensibile abbia l'etichetta definita dai criteri dell'organizzazione. |
| Bloccare potenziali malware | Proteggere l'ambiente da malware bloccando il caricamento di file potenzialmente dannosi. Qualsiasi file caricato o scaricato può essere analizzato in base all'intelligence sulle minacce Microsoft e bloccato istantaneamente. |
| Monitorare le sessioni utente per la conformità | Analizzare e analizzare il comportamento dell'utente per comprendere dove e in quali condizioni devono essere applicati i criteri di sessione in futuro. è possibile monitorare gli utenti a rischio quando accedono alle app e registrare le loro azioni dall'interno della sessione. |
| Blocca accesso | Bloccare in modo granulare l'accesso per app e utenti specifici a seconda di diversi fattori di rischio. Ad esempio, è possibile bloccarli se usano certificati client come forma di gestione dei dispositivi. |
| Bloccare le attività personalizzate | Alcune app hanno scenari univoci che comportano rischi, ad esempio l'invio di messaggi con contenuto sensibile nelle app come Microsoft Teams o Slack. In questi tipi di scenari, analizzare i messaggi per individuare contenuti sensibili e bloccarli in tempo reale. |
Per altre informazioni, vedi:
- Creare criteri di accesso alle app di Microsoft Defender per il cloud
- Creare criteri di sessione di app Microsoft Defender per il cloud
App e client supportati
Applicare la sessione e l'accesso ai controlli a qualsiasi accesso Single Sign-On interattivo che usa il protocollo di autenticazione SAML 2.0. I controlli di accesso sono supportati anche per le app client per dispositivi mobili e desktop predefinite.
Inoltre, se si usano app Microsoft Entra ID, applicare controlli di sessione e accesso a:
- Qualsiasi accesso Single Sign-On interattivo che usa il protocollo di autenticazione open ID Connessione.
- App ospitate in locale e configurate con il proxy dell'applicazione Microsoft Entra.
Defender per il cloud App identifica le app usando i dati del catalogo delle app cloud. Se hai personalizzato le app con plug-in, tutti i domini personalizzati associati devono essere aggiunti all'app pertinente nel catalogo. Per altre informazioni, vedere Uso del punteggio di rischio.
Nota
Le app con flussi di accesso non interattivi , ad esempio l'app Authenticator e altre app predefinite, non possono essere usate con i controlli di accesso.
App pre-onboarding
È possibile eseguire l'onboarding di qualsiasi app Web configurata usando i protocolli di autenticazione indicati in precedenza per lavorare con i controlli di accesso e sessione. Inoltre, le app seguenti sono già caricate con controlli di accesso e sessione per Microsoft Entra ID.
Nota
È necessario instradare le applicazioni desiderate per accedere ai controlli sessione e per eseguire un primo accesso.
- AWS
- Casella
- Concur
- CornerStone on Demand
- DocuSign
- Dropbox
- Egnyte
- GitHub
- Google Workspace
- HighQ
- JIRA/Confluence
- LinkedIn Learning
- Microsoft Azure DevOps (Visual Studio Team Services)
- Portale di Microsoft Azure
- Microsoft Dynamics 365 CRM
- Microsoft Exchange Online
- Microsoft OneDrive for Business
- Microsoft Power BI
- Microsoft SharePoint Online
- Microsoft Teams
- Microsoft Yammer
- Salesforce
- Slack
- Tableau
- Workday
- Workiva
- Workplace from Meta
Se sei interessato a un'app specifica di cui è già stato eseguito l'onboarding, inviaci informazioni dettagliate sull'app. Assicurarsi di inviare il caso d'uso a cui si è interessati per l'onboarding.
Browser supportati
Anche se i controlli sessione sono creati per funzionare con qualsiasi browser in qualsiasi piattaforma principale in qualsiasi sistema operativo, sono supportati i browser seguenti:
- Microsoft Edge (versione più recente)
- Google Chrome (versione più recente)
- Mozilla Firefox (versione più recente)
- Apple Safari (ultima versione)
Gli utenti di Microsoft Edge traggono vantaggio dalla protezione nel browser, senza reindirizzare a un proxy inverso. Per altre informazioni, vedere Protezione nel browser con Microsoft Edge for Business (anteprima).
Supporto delle app per TLS 1.2+
Defender per il cloud Le app usano protocolli TLS (Transport Layer Security) 1.2+ per fornire la crittografia di classe migliore e app client e browser predefiniti che non supportano TLS 1.2+ non sono accessibili se configurati con il controllo sessione.
Tuttavia, le app SaaS che usano TLS 1.1 o versioni precedenti verranno visualizzate nel browser come con TLS 1.2+ se configurate con app Defender per il cloud.
Contenuto correlato
Per altre informazioni, vedi: