App-beheer voor voorwaardelijke toegang Microsoft Defender voor Cloud Apps
In de huidige werkplek is het niet voldoende om te weten wat er in uw cloudomgeving is gebeurd. U moet ook in realtime inbreuken en lekken stoppen en voorkomen dat werknemers opzettelijk of per ongeluk uw gegevens en organisatie in gevaar brengen.
U wilt gebruikers in uw organisatie ondersteunen terwijl ze de beste cloud-apps gebruiken die beschikbaar zijn en hun eigen apparaten gebruiken om te werken. U hebt echter ook hulpmiddelen nodig om uw organisatie te beschermen tegen gegevenslekken en diefstal in realtime. Microsoft Defender voor Cloud Apps kan worden geïntegreerd met een id-provider (IdP) om deze beveiliging te bieden met toegangs- en sessiebeleid.
Voorbeeld:
Toegangsbeleid gebruiken om:
- Toegang tot Salesforce blokkeren voor gebruikers die afkomstig zijn van niet-beheerde apparaten
- Toegang tot Dropbox blokkeren voor systeemeigen clients.
Gebruik sessiebeleid om het volgende te doen:
- Downloads van gevoelige bestanden van OneDrive naar onbeheerde apparaten blokkeren
- Uploaden van malwarebestanden naar SharePoint Online blokkeren
Microsoft Edge-gebruikers profiteren van directe, browserbeveiliging, aangegeven door het vergrendelingspictogram 
dat wordt weergegeven in de adresbalk van de browser.
Gebruikers van andere browsers worden omgeleid via een omgekeerde proxy naar Defender voor Cloud Apps en geven een *.mcas.ms achtervoegsel weer in de URL van de koppeling. Als de URL van de app bijvoorbeeld is myapp.com, wordt de APP-URL bijgewerkt naar myapp.com.mcas.ms.
In dit artikel wordt beschreven Defender voor Cloud app-beheer voor voorwaardelijke toegang van Apps met beleid voor voorwaardelijke toegang van Microsoft Entra.
Bruikbaarheid
Voor app-beheer voor voorwaardelijke toegang hoeft u niets op het apparaat te installeren, waardoor het ideaal is bij het bewaken of beheren van sessies van niet-beheerde apparaten of partnergebruikers.
Defender voor Cloud Apps maakt gebruik van best-in-class, gepatenteerde heuristieken om activiteiten te identificeren en te beheren die door de gebruiker in de doel-app worden uitgevoerd. Onze heuristieken zijn ontworpen om de beveiliging met bruikbaarheid te optimaliseren en te verdelen.
In sommige zeldzame scenario's, wanneer het blokkeren van activiteiten aan de serverzijde de app onbruikbaar maakt, beveiligen we deze activiteiten alleen aan de clientzijde, waardoor ze mogelijk vatbaar zijn voor misbruik door kwaadwillende insiders.
Systeemprestaties en gegevensopslag
Defender voor Cloud Apps maakt gebruik van Azure Data Centers over de hele wereld om geoptimaliseerde prestaties te bieden via geolocatie. Dit betekent dat de sessie van een gebruiker buiten een bepaalde regio kan worden gehost, afhankelijk van verkeerspatronen en hun locatie. Om uw privacy te beschermen, worden er echter geen sessiegegevens opgeslagen in deze datacenters.
Defender voor Cloud Apps-proxyservers slaan geen data-at-rest op. Wanneer inhoud in de cache wordt opgeslagen, volgen we de vereisten die zijn vastgelegd in RFC 7234 (HTTP-caching) en worden alleen openbare inhoud in de cache opgeslagen.
Verwijzing naar ondersteunde activiteiten
App-beheer voor voorwaardelijke toegang maakt gebruik van toegangsbeleid en sessiebeleid om de toegang en sessies van gebruikers-apps in realtime in uw organisatie te bewaken en te beheren.
Elk beleid heeft voorwaarden om te bepalen op wie (welke gebruiker of groep gebruikers), wat (welke cloud-apps) en waar (welke locaties en netwerken) het beleid wordt toegepast. Nadat u de voorwaarden hebt vastgesteld, stuurt u uw gebruikers eerst naar Defender voor Cloud Apps, waar u de toegangs- en sessiebesturingselementen kunt toepassen om uw gegevens te beveiligen.
Toegangs- en sessiebeleid omvatten de volgende typen activiteiten:
| Activiteit | Beschrijving |
|---|---|
| Exfiltratie van gegevens voorkomen | Het downloaden, knippen, kopiëren en afdrukken van gevoelige documenten blokkeren op bijvoorbeeld onbeheerde apparaten. |
| Verificatiecontext vereisen | Evalueer het beleid voor voorwaardelijke toegang van Microsoft Entra opnieuw wanneer er een gevoelige actie plaatsvindt in de sessie, zoals meervoudige verificatie vereisen. |
| Beveiligen bij downloaden | In plaats van het downloaden van gevoelige documenten te blokkeren, moeten documenten worden gelabeld en versleuteld wanneer u integreert met Microsoft Purview Informatiebeveiliging. Deze actie zorgt ervoor dat het document wordt beveiligd en dat gebruikerstoegang wordt beperkt in een mogelijk riskante sessie. |
| Uploaden van niet-gelabelde bestanden voorkomen | Zorg ervoor dat niet-gelabelde bestanden met gevoelige inhoud niet kunnen worden geüpload totdat de gebruiker de inhoud classificeert. Voordat een gevoelig bestand wordt geüpload, gedistribueerd en gebruikt door anderen, is het belangrijk om ervoor te zorgen dat het gevoelige bestand het label heeft dat is gedefinieerd door het beleid van uw organisatie. |
| Potentiële malware blokkeren | Bescherm uw omgeving tegen malware door het uploaden van mogelijk schadelijke bestanden te blokkeren. Elk bestand dat wordt geüpload of gedownload, kan worden gescand op bedreigingsinformatie van Microsoft en onmiddellijk worden geblokkeerd. |
| Gebruikerssessies controleren op naleving | Onderzoek en analyseer gebruikersgedrag om te begrijpen waar en onder welke omstandigheden sessiebeleidsregels in de toekomst moeten worden toegepast. Riskante gebruikers worden bewaakt wanneer ze zich aanmelden bij apps en hun acties worden vastgelegd vanuit de sessie. |
| Toegang blokkeren | Blokkeer de toegang voor specifieke apps en gebruikers gedetailleerd, afhankelijk van verschillende risicofactoren. U kunt ze bijvoorbeeld blokkeren als ze clientcertificaten gebruiken als een vorm van apparaatbeheer. |
| Aangepaste activiteiten blokkeren | Sommige apps hebben unieke scenario's die risico lopen, bijvoorbeeld het verzenden van berichten met gevoelige inhoud in apps zoals Microsoft Teams of Slack. In dit soort scenario's scant u berichten op gevoelige inhoud en blokkeert u deze in realtime. |
Zie voor meer informatie:
- Toegangsbeleid voor Microsoft Defender voor Cloud Apps maken
- Sessiebeleid voor Microsoft Defender voor Cloud Apps maken
Ondersteunde apps en clients
Pas sessie en toegang toe op besturingselementen voor interactieve eenmalige aanmelding die gebruikmaakt van het SAML 2.0-verificatieprotocol. Toegangsbeheer wordt ook ondersteund voor ingebouwde mobiele en desktopclient-apps.
Als u microsoft Entra ID-apps gebruikt, past u bovendien sessie- en toegangsbeheer toe op:
- Interactieve eenmalige aanmelding die gebruikmaakt van het Open ID-Verbinding maken-verificatieprotocol.
- Apps die on-premises worden gehost en geconfigureerd met de Microsoft Entra-toepassingsproxy.
Defender voor Cloud Apps identificeert apps met behulp van gegevens uit de cloud-app-catalogus. Als u apps met invoegtoepassingen hebt aangepast, moeten alle gekoppelde aangepaste domeinen worden toegevoegd aan de relevante app in de catalogus. Zie Werken met de risicoscore voor meer informatie.
Notitie
Apps met niet-interactieve aanmeldingsstromen, zoals de Authenticator-app en andere ingebouwde apps, kunnen niet worden gebruikt met besturingselementen voor toegang.
Vooraf onboarding-apps
Elke web-app die is geconfigureerd met behulp van de eerder genoemde verificatieprotocollen , kan worden ge onboardd voor gebruik met toegangs- en sessiebeheer. Bovendien zijn de volgende apps al voorbereid met zowel toegangs- als sessiebesturingselementen voor Microsoft Entra-id.
Notitie
Het is vereist om uw gewenste toepassingen te routeren om toegang te krijgen tot sessiebeheer en om een eerste aanmelding uit te voeren.
- AWS
- Vak
- Concur
- CornerStone op aanvraag
- DocuSign
- Dropbox
- Egnyte
- GitHub
- Google Workspace
- HighQ
- JIRA/Confluence
- LinkedIn Learning
- Microsoft Azure DevOps (Visual Studio Team Services)
- Microsoft Azure-portal
- Microsoft Dynamics 365 CRM
- Microsoft Exchange Online
- Microsoft OneDrive voor Bedrijven
- Microsoft Power BI
- Microsoft SharePoint Online
- Microsoft Teams
- Microsoft Yammer
- Salesforce
- Slack
- Tableau
- Werkdag
- Workiva
- Workplace from Meta
Als u geïnteresseerd bent in een specifieke app die vooraf wordt voorbereid, stuurt u ons details over de app. Zorg ervoor dat u de use case verzendt waarin u geïnteresseerd bent voor onboarding.
Ondersteunde browsers
Hoewel sessiebesturingselementen zijn gebouwd om te werken met elke browser op elk belangrijk platform op elk besturingssysteem, ondersteunen we de volgende browsers:
- Microsoft Edge (nieuwste versie)
- Google Chrome (nieuwste versie)
- Mozilla Firefox (nieuwste versie)
- Apple Safari (nieuwste versie)
Microsoft Edge-gebruikers profiteren van in-browserbeveiliging, zonder om te leiden naar een omgekeerde proxy. Zie In-browserbeveiliging met Microsoft Edge voor Bedrijven (preview) voor meer informatie.
App-ondersteuning voor TLS 1.2+
Defender voor Cloud Apps maakt gebruik van TLS-protocollen (Transport Layer Security) 1.2+ om versleuteling van de beste klasse te bieden en ingebouwde client-apps en -browsers die TLS 1.2+ niet ondersteunen, zijn niet toegankelijk wanneer deze zijn geconfigureerd met sessiebeheer.
SaaS-apps die gebruikmaken van TLS 1.1 of lager, worden echter in de browser weergegeven als tls 1.2+ wanneer ze zijn geconfigureerd met Defender voor Cloud-apps.
Gerelateerde inhoud
Zie voor meer informatie: