Kontrola aplikacji dostępu warunkowego w aplikacjach Microsoft Defender dla Chmury
W dzisiejszym miejscu pracy nie wystarczy wiedzieć, co wydarzyło się w środowisku chmury po fakcie. Należy zatrzymać naruszenia i wycieki w czasie rzeczywistym. Należy również uniemożliwić pracownikom celowe lub przypadkowe narażanie danych i organizacji na ryzyko.
Chcesz wspierać użytkowników w organizacji, gdy korzystają z najlepszych dostępnych aplikacji w chmurze i udostępniają własne urządzenia do pracy. Jednak potrzebne są również narzędzia do ochrony organizacji przed wyciekami danych i kradzieżą w czasie rzeczywistym. Microsoft Defender dla Chmury Apps integruje się z dowolnym dostawcą tożsamości w celu zapewnienia tej ochrony przy użyciu zasad dostępu i sesji.
Na przykład:
Użyj zasad dostępu, aby:
- Blokuj dostęp do usługi Salesforce dla użytkowników urządzeń niezarządzanych.
- Blokuj dostęp do usługi Dropbox dla klientów natywnych.
Użyj zasad sesji, aby:
- Blokuj pobieranie poufnych plików z usługi OneDrive do urządzeń niezarządzanych.
- Blokuj przekazywanie plików złośliwego oprogramowania do usługi SharePoint Online.
Użytkownicy przeglądarki Microsoft Edge korzystają z bezpośredniej ochrony w przeglądarce. Ikona blokady 
na pasku adresu przeglądarki wskazuje tę ochronę.
Użytkownicy innych przeglądarek są przekierowywani za pośrednictwem zwrotnego serwera proxy do aplikacji Defender dla Chmury. Te przeglądarki wyświetlają *.mcas.ms sufiks w adresie URL linku. Jeśli na przykład adres URL aplikacji to myapp.com, adres URL aplikacji zostanie zaktualizowany do myapp.com.mcas.ms.
W tym artykule opisano kontrolę aplikacji dostępu warunkowego w aplikacjach Defender dla Chmury za pośrednictwem zasad dostępu warunkowego firmy Microsoft Entra.
Działania w kontroli aplikacji dostępu warunkowego
Kontrola dostępu warunkowego używa zasad dostępu i zasad sesji do monitorowania i kontrolowania dostępu aplikacji użytkownika i sesji w czasie rzeczywistym w całej organizacji.
Każda zasada ma warunki do zdefiniowania , kto (który użytkownik lub grupa użytkowników), co (które aplikacje w chmurze) i gdzie (lokalizacje i sieci) zasady są stosowane. Po określeniu warunków należy najpierw skierować użytkowników do aplikacji Defender dla Chmury. W tym miejscu możesz zastosować mechanizmy kontroli dostępu i sesji, aby ułatwić ochronę danych.
Zasady dostępu i sesji obejmują następujące typy działań:
| Aktywność | opis |
|---|---|
| Zapobieganie eksfiltracji danych | Blokuj pobieranie, wycinanie, kopiowanie i drukowanie poufnych dokumentów na urządzeniach niezarządzanych (na przykład). |
| Wymaganie kontekstu uwierzytelniania | Przeszacuj zasady dostępu warunkowego firmy Microsoft Entra, gdy w sesji wystąpi wrażliwa akcja, taka jak wymaganie uwierzytelniania wieloskładnikowego. |
| Ochrona podczas pobierania | Zamiast blokować pobieranie poufnych dokumentów, należy wymagać, aby dokumenty zostały oznaczone etykietą i zaszyfrowane podczas integracji z usługą Microsoft Purview Information Protection. Ta akcja pomaga chronić dokument i ograniczać dostęp użytkowników w potencjalnie ryzykownej sesji. |
| Zapobieganie przekazaniu plików bez etykiet | Upewnij się, że przekazywanie nieoznakowanych plików, które mają zawartość wrażliwą, jest blokowane, dopóki użytkownik nie klasyfikuje zawartości. Przed przekazaniem, dystrybucją lub użyciem poufnego pliku użytkownik musi mieć zdefiniowaną etykietę zdefiniowaną przez zasady organizacji. |
| Blokowanie potencjalnego złośliwego oprogramowania | Pomóż chronić środowisko przed złośliwym oprogramowaniem, blokując przekazywanie potencjalnie złośliwych plików. Każdy plik, który użytkownik próbuje przekazać lub pobrać, może być skanowany pod kątem analizy zagrożeń firmy Microsoft i blokowany natychmiast. |
| Monitorowanie sesji użytkowników pod kątem zgodności | Zbadaj i przeanalizuj zachowanie użytkownika, aby zrozumieć, gdzie i w jakich warunkach zasady sesji powinny być stosowane w przyszłości. Ryzykowni użytkownicy są monitorowani po zalogowaniu się do aplikacji, a ich akcje są rejestrowane z poziomu sesji. |
| Blokuj dostęp | Szczegółowe blokowanie dostępu dla określonych aplikacji i użytkowników w zależności od kilku czynników ryzyka. Możesz na przykład zablokować je, jeśli używają certyfikatów klienta jako formy zarządzania urządzeniami. |
| Blokuj działania niestandardowe | Niektóre aplikacje mają unikatowe scenariusze, które niosą ze sobą ryzyko. Przykładem jest wysyłanie wiadomości, które mają poufne treści w aplikacjach, takich jak Microsoft Teams lub Slack. W takich scenariuszach skanuj komunikaty pod kątem poufnej zawartości i blokuj je w czasie rzeczywistym. |
Aby uzyskać więcej informacji, zobacz:
- Tworzenie zasad dostępu do aplikacji Microsoft Defender dla Chmury
- Tworzenie zasad sesji usługi Microsoft Defender dla Chmury Apps
Użyteczność
Kontrola aplikacji dostępu warunkowego nie wymaga instalowania niczego na urządzeniu, dlatego jest idealnym rozwiązaniem podczas monitorowania lub kontrolowania sesji z niezarządzanych urządzeń lub użytkowników partnerskich.
Defender dla Chmury Apps używa patentowanych heurystyki do identyfikowania i kontrolowania działań użytkowników w aplikacji docelowej. Heurystyka została zaprojektowana w celu optymalizacji i zrównoważenia bezpieczeństwa przy użyciu użyteczności.
W niektórych rzadkich scenariuszach blokowanie działań po stronie serwera powoduje, że aplikacja jest bezużyteczna, więc organizacje zabezpieczają te działania tylko po stronie klienta. Takie podejście sprawia, że potencjalnie podatne na wykorzystywanie przez złośliwych testerów.
Wydajność systemu i magazyn danych
Defender dla Chmury Apps używa centrów danych platformy Azure na całym świecie w celu zapewnienia zoptymalizowanej wydajności za pośrednictwem geolokalizacji. Sesja użytkownika może być hostowana poza określonym regionem w zależności od wzorców ruchu i ich lokalizacji. Jednak w celu ochrony prywatności użytkowników te centra danych nie przechowują żadnych danych sesji.
serwery proxy usługi Defender dla Chmury Apps nie przechowują danych magazynowanych. Podczas buforowania zawartości przestrzegamy wymagań określonych w specyfikacji RFC 7234 (buforowanie HTTP) i buforujemy tylko zawartość publiczną.
Obsługiwane aplikacje i klienci
Stosowanie kontroli dostępu i sesji do dowolnego interakcyjnego logowania jednokrotnego korzystającego z protokołu uwierzytelniania SAML 2.0. Mechanizmy kontroli dostępu są również obsługiwane w przypadku wbudowanych aplikacji klienckich mobilnych i klasycznych.
Ponadto, jeśli używasz aplikacji Microsoft Entra ID, zastosuj kontrolę sesji i dostępu do:
- Każde interaktywne logowanie jednokrotne korzystające z protokołu uwierzytelniania OpenID Connect.
- Aplikacje hostowane lokalnie i skonfigurowane za pomocą serwera proxy aplikacji Microsoft Entra.
Aplikacje microsoft Entra ID są również automatycznie dołączane do kontroli aplikacji dostępu warunkowego, podczas gdy aplikacje korzystające z innych dostawców tożsamości muszą być dołączane ręcznie.
Defender dla Chmury Apps identyfikuje aplikacje przy użyciu danych z katalogu aplikacji w chmurze. W przypadku dostosowywania aplikacji z wtyczkami należy dodać wszystkie skojarzone domeny niestandardowe do odpowiedniej aplikacji w wykazie. Aby uzyskać więcej informacji, zobacz Znajdowanie aplikacji w chmurze i obliczanie wyników ryzyka.
Uwaga
Nie można używać zainstalowanych aplikacji, które mają nieinteraktywne przepływy logowania, takie jak aplikacja Authenticator i inne wbudowane aplikacje z kontrolą dostępu. W takim przypadku zalecamy utworzenie zasad dostępu w centrum administracyjnym firmy Microsoft Entra oprócz zasad dostępu Microsoft Defender dla Chmury Apps.
Zakres obsługi kontroli sesji
Mimo że kontrolki sesji są tworzone do pracy z dowolną przeglądarką na dowolnej głównej platformie w dowolnym systemie operacyjnym, obsługujemy najnowsze wersje następujących przeglądarek:
Użytkownicy przeglądarki Microsoft Edge korzystają z ochrony w przeglądarce bez przekierowywania do zwrotnego serwera proxy. Aby uzyskać więcej informacji, zobacz Ochrona w przeglądarce za pomocą przeglądarki Microsoft Edge dla Firm (wersja zapoznawcza).
Obsługa aplikacji dla protokołu TLS 1.2 lub nowszego
Defender dla Chmury Apps używa protokołów Transport Layer Security (TLS) 1.2+ w celu zapewnienia szyfrowania. Wbudowane aplikacje klienckie i przeglądarki, które nie obsługują protokołu TLS 1.2 lub nowszego, nie są dostępne podczas konfigurowania ich za pomocą kontroli sesji.
Jednak aplikacje oprogramowania jako usługi (SaaS), które używają protokołu TLS 1.1 lub starszego, są wyświetlane w przeglądarce jako przy użyciu protokołu TLS 1.2 lub nowszego podczas konfigurowania ich przy użyciu aplikacji Defender dla Chmury.