App-beheer voor voorwaardelijke toegang in Microsoft Defender voor Cloud Apps
Op de werkplek van vandaag is het niet voldoende om na het feit te weten wat er in uw cloudomgeving is gebeurd. Je moet schendingen en lekken in realtime stoppen. U moet ook voorkomen dat werknemers uw gegevens en organisatie opzettelijk of per ongeluk in gevaar brengen.
U wilt gebruikers in uw organisatie ondersteunen terwijl ze de beste cloud-apps gebruiken die beschikbaar zijn en hun eigen apparaten gebruiken om te werken. U hebt echter ook hulpmiddelen nodig om uw organisatie te beschermen tegen gegevenslekken en diefstal in realtime. Microsoft Defender voor Cloud Apps kan worden geïntegreerd met een id-provider (IdP) om deze beveiliging te bieden met toegangs- en sessiebeleid.
Voorbeeld:
Toegangsbeleid gebruiken om:
- Toegang tot Salesforce blokkeren voor gebruikers van onbeheerde apparaten.
- Toegang tot Dropbox blokkeren voor systeemeigen clients.
Gebruik sessiebeleid om het volgende te doen:
- Downloads van gevoelige bestanden van OneDrive naar onbeheerde apparaten blokkeren.
- Het uploaden van malwarebestanden naar SharePoint Online blokkeren.
Microsoft Edge-gebruikers profiteren van directe beveiliging in de browser. Een vergrendelingspictogram 
op de adresbalk van de browser geeft deze beveiliging aan.
Gebruikers van andere browsers worden omgeleid via omgekeerde proxy naar Defender voor Cloud Apps. Deze browsers geven een *.mcas.ms achtervoegsel weer in de URL van de koppeling. Als de URL van de app bijvoorbeeld is myapp.com, wordt de APP-URL bijgewerkt naar myapp.com.mcas.ms.
In dit artikel wordt het beheer van apps voor voorwaardelijke toegang in Defender voor Cloud Apps beschreven via beleid voor voorwaardelijke toegang van Microsoft Entra.
Activiteiten in app-beheer voor voorwaardelijke toegang
App-beheer voor voorwaardelijke toegang maakt gebruik van toegangsbeleid en sessiebeleid om de toegang en sessies van gebruikers-apps in realtime in uw organisatie te bewaken en te beheren.
Elk beleid heeft voorwaarden om te bepalen op wie (welke gebruiker of groep gebruikers), wat (welke cloud-apps) en waar (welke locaties en netwerken) het beleid wordt toegepast. Nadat u de voorwaarden hebt vastgesteld, routeert u uw gebruikers eerst naar Defender voor Cloud Apps. Daar kunt u de toegangs- en sessiebesturingselementen toepassen om uw gegevens te beveiligen.
Toegangs- en sessiebeleid omvatten de volgende typen activiteiten:
| Activiteit | Beschrijving |
|---|---|
| Exfiltratie van gegevens voorkomen | Het downloaden, knippen, kopiëren en afdrukken van gevoelige documenten blokkeren op (bijvoorbeeld) onbeheerde apparaten. |
| Verificatiecontext vereisen | Evalueer het beleid voor voorwaardelijke toegang van Microsoft Entra opnieuw wanneer er een gevoelige actie plaatsvindt in de sessie, zoals meervoudige verificatie vereisen. |
| Beveiligen bij downloaden | In plaats van het downloaden van gevoelige documenten te blokkeren, moeten documenten worden gelabeld en versleuteld wanneer u integreert met Microsoft Purview Informatiebeveiliging. Met deze actie kunt u het document beveiligen en de gebruikerstoegang beperken in een mogelijk riskante sessie. |
| Uploaden van niet-gelabelde bestanden voorkomen | Zorg ervoor dat het uploaden van niet-gelabelde bestanden met gevoelige inhoud wordt geblokkeerd totdat de gebruiker de inhoud classificeert. Voordat een gebruiker een gevoelig bestand uploadt, distribueert of gebruikt, moet het bestand het label hebben dat het beleid van uw organisatie heeft gedefinieerd. |
| Potentiële malware blokkeren | Bescherm uw omgeving tegen malware door het uploaden van mogelijk schadelijke bestanden te blokkeren. Elk bestand dat een gebruiker probeert te uploaden of te downloaden, kan worden gescand op Microsoft Threat Intelligence en onmiddellijk worden geblokkeerd. |
| Gebruikerssessies controleren op naleving | Onderzoek en analyseer gebruikersgedrag om te begrijpen waar en onder welke omstandigheden sessiebeleidsregels in de toekomst moeten worden toegepast. Riskante gebruikers worden bewaakt wanneer ze zich aanmelden bij apps en hun acties worden vastgelegd vanuit de sessie. |
| Toegang blokkeren | De toegang voor specifieke apps en gebruikers gedetailleerd blokkeren, afhankelijk van verschillende risicofactoren. U kunt ze bijvoorbeeld blokkeren als ze clientcertificaten gebruiken als een vorm van apparaatbeheer. |
| Aangepaste activiteiten blokkeren | Sommige apps hebben unieke scenario's die risico's met zich meebrengen. Een voorbeeld is het verzenden van berichten met gevoelige inhoud in apps zoals Microsoft Teams of Slack. In dit soort scenario's scant u berichten op gevoelige inhoud en blokkeert u deze in realtime. |
Zie voor meer informatie:
- Toegangsbeleid voor Microsoft Defender voor Cloud Apps maken
- Sessiebeleid voor Microsoft Defender voor Cloud Apps maken
Bruikbaarheid
App-beheer voor voorwaardelijke toegang vereist niet dat u iets op het apparaat installeert, dus het is ideaal wanneer u sessies van niet-beheerde apparaten of partnergebruikers bewaakt of beheert.
Defender voor Cloud Apps maakt gebruik van gepatenteerde heuristieken om gebruikersactiviteiten in de doel-app te identificeren en te beheren. De heuristieken zijn ontworpen om de beveiliging met bruikbaarheid te optimaliseren en te verdelen.
In sommige zeldzame scenario's wordt het blokkeren van activiteiten aan de serverzijde de app onbruikbaar gemaakt, zodat organisaties deze activiteiten alleen aan de clientzijde beveiligen. Deze aanpak maakt ze mogelijk vatbaar voor misbruik door kwaadwillende insiders.
Systeemprestaties en gegevensopslag
Defender voor Cloud Apps maakt gebruik van Azure-datacenters over de hele wereld om geoptimaliseerde prestaties te bieden via geolocatie. De sessie van een gebruiker kan buiten een bepaalde regio worden gehost, afhankelijk van verkeerspatronen en hun locatie. Deze datacenters slaan echter geen sessiegegevens op om de privacy van gebruikers te beschermen.
Defender voor Cloud Apps-proxyservers slaan geen data-at-rest op. Wanneer we inhoud in de cache opslaan, volgen we de vereisten die zijn vastgelegd in RFC 7234 (HTTP-caching) en worden alleen openbare inhoud in de cache opgeslagen.
Ondersteunde apps en clients
Pas sessie- en toegangsbeheer toe op interactieve eenmalige aanmelding die gebruikmaakt van het SAML 2.0-verificatieprotocol. Toegangsbeheer wordt ook ondersteund voor ingebouwde mobiele en desktopclient-apps.
Als u microsoft Entra ID-apps gebruikt, past u bovendien sessie- en toegangsbeheer toe op:
- Interactieve eenmalige aanmelding die gebruikmaakt van het OpenID Connect-verificatieprotocol.
- Apps die on-premises worden gehost en geconfigureerd met de Microsoft Entra-toepassingsproxy.
Microsoft Entra ID-apps worden ook automatisch toegevoegd voor app-beheer voor voorwaardelijke toegang, terwijl apps die gebruikmaken van andere ID's handmatig moeten worden uitgevoerd.
Defender voor Cloud Apps identificeert apps met behulp van gegevens uit de cloud-app-catalogus. Als u apps hebt aangepast met invoegtoepassingen, moet u eventuele gekoppelde aangepaste domeinen toevoegen aan de relevante app in de catalogus. Zie Uw cloud-app zoeken en risicoscores berekenen voor meer informatie.
Notitie
U kunt geïnstalleerde apps met niet-inactieve aanmeldingsstromen, zoals de Authenticator-app en andere ingebouwde apps, niet gebruiken met toegangsbeheer. Onze aanbeveling in dat geval is het maken van een toegangsbeleid in het Microsoft Entra-beheercentrum, naast Microsoft Defender voor Cloud-toegangsbeleid voor apps.
Bereik van ondersteuning voor sessiebeheer
Hoewel sessiebesturingselementen zijn gebouwd om te werken met elke browser op elk belangrijk platform op elk besturingssysteem, ondersteunen we de nieuwste versies van de volgende browsers:
Microsoft Edge-gebruikers profiteren van in-browserbeveiliging, zonder om te leiden naar een omgekeerde proxy. Zie In-browserbeveiliging met Microsoft Edge voor Bedrijven (preview) voor meer informatie.
App-ondersteuning voor TLS 1.2+
Defender voor Cloud Apps maakt gebruik van TLS-protocollen (Transport Layer Security) 1.2+ om versleuteling te bieden. Ingebouwde client-apps en -browsers die TLS 1.2+ niet ondersteunen, zijn niet toegankelijk wanneer u ze configureert met sessiebeheer.
SaaS-apps (Software as a Service) die tls 1.1 of eerder gebruiken, worden echter in de browser weergegeven als TLS 1.2+ wanneer u ze configureert met Defender voor Cloud Apps.