Защита приложений с использованием Microsoft Defender для облачных приложений. Управление условным доступом к приложениям

Примечание

Microsoft Defender for Cloud Apps теперь является частью Microsoft 365 Defender и доступна на портале по адресу : https://security.microsoft.com. Microsoft 365 Defender сопоставляет сигналы из набора Microsoft Defender между конечными точками, удостоверениями, электронной почтой и приложениями SaaS, чтобы обеспечить обнаружение инцидентов, исследование и мощные возможности реагирования. Это повышает эффективность работы благодаря повышению приоритетов и более короткому времени отклика, что обеспечивает более эффективную защиту вашей организации. Дополнительные сведения об этих изменениях см. в разделе Microsoft Defender for Cloud Apps в Microsoft 365 Defender.

На современном рабочем месте зачастую недостаточно знать, что происходит в облачной среде после этого. Организациям необходимо предотвращать бреши и утечки в реальном времени, прежде чем сотрудники осознанно или невольно подвергнут риску данные и все предприятие. Важно, чтобы пользователи в вашей организации могли максимально эффективно использовать службы и средства, доступные для них в облачных приложениях, и позволить им использовать свои собственные устройства для работы. В то же время организациям нужны средства, которые в реальном времени обеспечивают защиту от утечки информации и кражи данных. Microsoft Defender for Cloud Apps интегрируется с любым поставщиком удостоверений (IdP) для предоставления этих возможностей с помощью элементов управления доступом и сеансами. Если вы используете Azure Active Directory (Azure AD) в качестве поставщика удостоверений, эти элементы управления интегрированы и оптимизированы для более простого и специализированного развертывания, созданного на основе средства условного доступа Azure AD.

Примечание

• В дополнение к действующей лицензии Defender for Cloud Apps, чтобы использовать управление условным доступом к приложениям Defender for Cloud Apps, вам также потребуется лицензия Azure Active Directory P1 или лицензия, необходимая для решения поставщика удостоверений.

Принцип работы

Управление условным доступом к приложениям использует архитектуру обратного прокси-сервера и интегрируется с поставщиком удостоверений. При интеграции с условным доступом Azure AD можно настроить приложения для работы с функцией управления условным доступом к приложениям всего несколькими щелчками мыши, что позволяет легко и выборочно применять элементы управления доступом и сеансами в приложениях организации на основе любых условий условного доступа. Условия определяют , к кому (пользователю или группе пользователей) и к каким (облачным приложениям) и к каким расположениям и сетям применяется политика условного доступа. Определив условия, вы можете направить пользователей в Defender for Cloud Apps, где можно защитить данные с помощью управления условным доступом к приложениям, применяя элементы управления доступом и сеансами.

Функция управления настройками условного доступа для приложений позволяет в режиме реального времени отслеживать и контролировать доступ пользователей к приложениям и сеансы с помощью политик доступа и сеансов. Политики доступа и сеанса используются на портале Defender for Cloud Apps для дальнейшего уточнения фильтров и задания действий, выполняемых с пользователем. Возможности политик доступа и сеансов

• Предотвращение кражи данных. Вы можете блокировать скачивание, вырезать, копировать и печатать конфиденциальные документы, например на неуправляемых устройствах.

• Требовать контекст проверки подлинности. Вы можете повторно оценить Azure AD политик условного доступа при выполнении конфиденциального действия в сеансе. Например, требовать многофакторную проверку подлинности при скачивании строго конфиденциального файла.

• Защита при скачивании. Вместо того, чтобы блокировать скачивание конфиденциальных документов, вы можете требовать, чтобы документы были помечены и зашифрованы при интеграции с Защита информации Microsoft Purview. Это действие гарантирует надежную защиту документа и ограничение доступа пользователей в ходе потенциально небезопасного сеанса.

• Запретить отправку файлов без меток. Перед отправкой, распространением и использованием конфиденциальных файлов другими пользователями важно убедиться, что конфиденциальный файл имеет метку, определенную политикой вашей организации. Вы можете заблокировать возможность отправки файлов без меток, которые содержат конфиденциальные данные, пока пользователь не классифицирует содержимое.

• Блокировать потенциальные вредоносные программы. Вы можете защитить среду от вредоносных программ, блокируя отправку потенциально вредоносных файлов. Любой отправленный или скачиваемый файл можно проверить на наличие аналитики угроз Майкрософт и мгновенно заблокировать.

• Мониторинг сеансов пользователей на соответствие требованиям. Пользователи, совершающие риск, отслеживаются при входе в приложения и регистрации их действий в рамках сеанса. Благодаря этому вы можете исследовать и анализировать действия пользователя, чтобы понять, где и при каких условиях необходимо применять политики сеансов в будущем.

• Блокировать доступ. Вы можете детально блокировать доступ для определенных приложений и пользователей в зависимости от нескольких факторов риска. Например, можно включить блокировку, если используются сертификаты клиента для управления устройством.

• Блокировать настраиваемые действия. Некоторые приложения имеют уникальные сценарии, которые несут риск, например отправка сообщений с конфиденциальным содержимым в таких приложениях, как Microsoft Teams или Slack. В таких сценариях можно выполнять проверку сообщений на наличие конфиденциального содержимого и блокировать их в реальном времени.

Как работает управление сеансом

Если политика сеанса создается с помощью функции управления настройками условного доступа для приложений, вы можете управлять сеансами пользователя, перенаправляя пользователя не напрямую в приложение, а в обратный прокси-сервер. С этого момента запросы и ответы пользователей проходят через Defender for Cloud Apps, а не непосредственно в приложение.

Когда сеанс защищен прокси-сервером, все соответствующие URL-адреса и файлы cookie заменяются Defender for Cloud Apps. Например, если приложение возвращает страницу со ссылками, домены которой заканчиваются на myapp.com, домен ссылки имеет суффикс, как *.mcas.msпоказано ниже:

URL-адрес приложения	URL-адрес заменен
myapp.com	myapp.com.mcas.ms

Этот метод не требует установки каких-либо элементов на устройстве, что делает его идеальным при мониторинге или управлении сеансами с неуправляемых устройств или пользователей-партнеров.

Примечание

• Наша технология использует лучшие в своем классе запатентованные эвристики для идентификации и контроля действий, выполняемых пользователем в целевом приложении. Наша эвристика предназначена для оптимизации и баланса между безопасностью и удобством использования. В некоторых редких сценариях, когда блокировка действий на стороне сервера делает приложение непригодным для использования, мы защитим эти действия только на стороне клиента, что делает их потенциально уязвимыми для использования злоумышленниками.
• Defender for Cloud Apps использует центры обработки данных Azure по всему миру для обеспечения оптимизированной производительности за счет геолокации. Это означает, что пользовательский сеанс может размещаться за пределами определенного региона в зависимости от шаблонов трафика и их расположения. Но в целях конфиденциальности данные сеанса не хранятся в этих центрах обработки данных.
• Наши прокси-серверы не хранят неактивные данные. При кэшировании содержимого мы соблюдаем требования, изложенные в RFC 7234 (кэширование HTTP), и кэшируем только общедоступное содержимое.

Идентификация управляемых устройств

Функция "Управление условным доступом к приложениям" позволяет создавать политики, которые определяют, управляется ли устройство. Чтобы определить состояние устройства, можно настроить политики доступа и сеанса для проверки:

• Microsoft Intune совместимые устройства [доступно только с Azure AD]
• устройств с гибридным присоединением к Azure AD [доступно только при использовании Azure AD];
• наличия сертификатов клиента в доверенной цепочке.

Intune совместимые устройства и устройства с гибридным Azure AD присоединением

Azure AD условный доступ позволяет передавать сведения об устройстве, совместимом с Intune и присоединении к гибридному Azure AD непосредственно в Defender for Cloud Apps. На прокси-сервере можно определить политику доступа или сеансов, где в качестве фильтра используется состояние устройства. Дополнительные сведения см. в статье Общие сведения об управлении устройствами в Azure Active Directory.

Примечание

Для некоторых браузеров может потребоваться дополнительная настройка, например установка расширения. Дополнительные сведения см. в разделе Поддержка браузера условного доступа.

Устройства с проверкой подлинности с использованием сертификатов клиентов

Механизм идентификации позволяет требовать аутентификацию соответствующих устройств с использованием сертификатов клиентов. Вы можете использовать существующие сертификаты клиентов, которые уже развернуты в вашей организации, или развернуть новые сертификаты клиентов для управляемых устройств. Убедитесь, что сертификат клиента установлен в хранилище пользователя, а не в хранилище компьютера. Затем используйте эти сертификаты для настройки политик доступа и сеансов.

Ssl-сертификаты клиента проверяются с помощью цепочки доверия. Вы можете отправить корневой или промежуточный центр сертификации X.509 в формате сертификата PEM. Эти сертификаты должны содержать открытый ключ ЦС, который затем используется для подписывания сертификатов клиента, представленных во время сеанса.

После отправки сертификата и настройки соответствующей политики, когда соответствующий сеанс проходит через управление условным доступом к приложениям, конечная точка Defender for Cloud Apps запрашивает в браузере сведения о предоставлении SSL-сертификатов клиента. Браузер обслуживает SSL-сертификаты клиента, установленные с закрытым ключом. Это сочетание сертификата и закрытого ключа выполняется с использованием формата файла PKCS #12, обычно P12 или PFX.

При выполнении проверка сертификата клиента Defender for Cloud Apps проверяет наличие следующих условий:

1. Выбранный сертификат клиента действителен и находится в правильном корневом или промежуточном ЦС.
2. Сертификат не отозван (если включен список отзыва сертификатов).

Примечание

Большинство основных браузеров поддерживают выполнение проверка сертификата клиента. Однако мобильные и классические приложения часто используют встроенные браузеры, которые могут не поддерживать эту проверка и, следовательно, влиять на проверку подлинности для этих приложений.

Чтобы настроить политику для использования управления устройствами с помощью сертификатов клиента, выполните следующие действия.

1. На портале Microsoft 365 Defender выберите Параметры. Затем выберите Облачные приложения.

2. В разделе Управление условным доступом к приложениям выберите Идентификатор устройства.

3. Отправьте столько корневых или промежуточных сертификатов, сколько вам нужно.

   Совет

   Чтобы проверить, как это работает, можно использовать наш пример корневого ЦС и сертификата клиента, как показано ниже.

   1. Скачайте пример корневого ЦС и сертификата клиента.
   2. Отправьте корневой ЦС в Defender for Cloud Apps.
   3. Установите сертификат клиента (password=Microsoft) на соответствующих устройствах.

После отправки сертификатов можно создать политики доступа и сеанса на основе тега устройства и допустимого сертификата клиента.

Поддерживаемые приложения и клиенты

Элементы управления сеансами и доступом можно применять к любому интерактивному единому входу, используя протокол проверки подлинности SAML 2.0 или, если вы используете Azure AD, протокол проверки подлинности Open ID Connect. Кроме того, если ваши приложения настроены с помощью Azure AD, вы также можете применить эти элементы управления к приложениям, размещенным локально, настроенным с помощью прокси приложения Azure AD. Кроме того, элементы управления доступом можно применять к собственным мобильным и классическим клиентским приложениям.

Defender for Cloud Apps идентифицирует приложения с помощью сведений, доступных в каталоге облачных приложений. Некоторые организации и пользователи настраивают приложения, добавляя подключаемые модули. Тем не менее, чтобы элементы управления сеансом правильно работали с этими подключаемыми модулями, связанные личные домены должны быть добавлены в соответствующее приложение в каталоге.

Примечание

Приложение Authenticator использует (помимо прочих встроенных потоков входа клиентского приложения) неинтерактивный поток входа, поэтому его нельзя использовать с элементами управления доступом.

Элементы управления доступом

Многие организации, которые предпочитают использовать элементы управления сеансом для облачных приложений для управления действиями в сеансе, также применяют элементы управления доступом, чтобы блокировать один и тот же набор собственных мобильных и классических клиентских приложений, обеспечивая тем самым комплексную безопасность для приложений.

Вы можете заблокировать доступ к собственным мобильным и классическим клиентским приложениям с помощью политик доступа, задав для фильтра клиентского приложениязначение Мобильные и настольные приложения. Некоторые собственные клиентские приложения можно распознавать по отдельности, а другие, входящие в набор приложений, можно определить только как приложения верхнего уровня. Например, такие приложения, как SharePoint Online, можно распознать только путем создания политики доступа, применяемой к Office 365 приложениям.

Примечание

Если для фильтра клиентского приложения не задано специальное значение Мобильные и настольные приложения, результирующая политика доступа будет применяться только к сеансам браузера. Причина этого заключается в предотвращении случайного прокси-сеанса пользователя, что может быть побочным продуктом использования этого фильтра. Хотя большинство основных браузеров поддерживают выполнение проверка сертификата клиента, некоторые мобильные и классические приложения используют встроенные браузеры, которые могут не поддерживать эту проверка. Таким образом, использование этого фильтра может повлиять на проверку подлинности для этих приложений.

Элементы управления сеансов

Хотя элементы управления сеансом созданы для работы с любым браузером на любой основной платформе в любой операционной системе, мы поддерживаем Microsoft Edge (последняя версия), Google Chrome (последняя версия), Mozilla Firefox (последняя версия) или Apple Safari (последняя версия). Доступ к мобильным и классическим приложениям также можно заблокировать или разрешить.

Примечание

• Defender for Cloud Apps использует протоколы TLS 1.2+ для обеспечения наилучшего в своем классе шифрования. Собственные клиентские приложения и браузеры, которые не поддерживают TLS 1.2+, не будут доступны при настройке управления сеансом. Однако приложения SaaS, использующие TLS 1.1 или более поздней версии, будут отображаться в браузере как использующие TLS 1.2+ при настройке с помощью Defender for Cloud Apps.
• Чтобы применить элементы управления сеансом к portal.office.com, необходимо подключить Центр администрирования Microsoft 365. Дополнительные сведения о подключении приложений см. в статье Подключение и развертывание управления условным доступом к приложениям для любого приложения.

Предварительно подключенные приложения

Любое веб-приложение, настроенное с использованием ранее упомянутых протоколов проверки подлинности , можно подключить для работы с элементами управления доступом и сеансами. Кроме того, следующие приложения уже подключены с элементами управления доступом и сеансами для Каталога доступа Azure.

Примечание

Это необходимо для маршрутизации нужных приложений для доступа к элементам управления сеансом и выполнения первого входа.

• AWS
• Box
• Concur
• CornerStone OnDemand
• DocuSign
• DropBox
• egnyte
• GitHub
• Google Workspace
• HighQ
• JIRA/Confluence
• LinkedIn Learning
• Microsoft Azure DevOps (Visual Studio Team Services)
• Портал Microsoft Azure
• Microsoft Dynamics 365 CRM
• Microsoft Exchange Online
• Microsoft OneDrive для бизнеса
• Microsoft Power BI
• Microsoft SharePoint Online
• Microsoft Teams
• Microsoft Yammer
• Salesforce
• Slack
• Tableau
• Workday
• Workiva
• Workplace from Meta

Если вы хотите, чтобы определенное приложение было предварительно подключено, отправьте нам сведения о нем. Обязательно отправьте интересующий вас вариант использования для его подключения.

Известные ограничения

• Прокси-сервер можно обойти с помощью внедренного маркера сеанса
  Прокси-сервер можно обойти в тех случаях, когда само приложение внедряет маркер в ссылки. В этом случае пользователь может скопировать ссылку и получить доступ к ресурсу напрямую.

• Прокси-сервер можно обойти с помощью средств разработчика
  Можно обойти политику копирования и вырезанного копирования и политику скачивания файлов с помощью средств разработчика браузера. Например, в политике, которая запрещает копирование содержимого из Microsoft Word, можно просматривать содержимое с помощью средств разработчика, копировать содержимое оттуда и обходить прокси-сервер.

• Прокси-сервер можно обойти путем изменения параметра
  Определенную политику сеанса можно обойти, изменив параметры. Например, можно изменить параметры URL-адреса и ввести службу в заблуждение таким образом, чтобы обойти прокси-сервер и скачать конфиденциальный файл.

• Ограничение подключаемого модуля браузера
  Наше текущее решение для применения ограничений сеансов управления условным доступом к приложениям не поддерживает собственные приложения, так как оно требует некоторых изменений в коде базового приложения. Расширения браузера, как и собственные приложения, предварительно установлены в браузере и поэтому не позволяют нам изменять их код по мере необходимости и будут прерываться при перенаправлении их маркеров через наше прокси-решение. Администратор может определить поведение системы по умолчанию, когда политика не может быть применена, и выбрать между разрешением доступа или его полной блокировкой.

• Потеря контекста
  В следующих приложениях мы сталкивались со сценариями, в которых переход по ссылке может привести к потере полного пути ссылки и, как правило, пользователь попадает на домашнюю страницу приложения.

  • ArcGIS
  • GitHub
  • Microsoft Power Automate
  • Microsoft Power Apps
  • Workplace from Meta

• Политики сеанса допустимы для файлов размером до 50 МБ
  К файлам размером до 50 МБ применяются политики сеанса. Например, администратор может определить одну из следующих политик сеанса:

  • Мониторинг загрузки файлов для приложения OneDrive
  • Блокировка отправки файлов
  • Блокировать скачивание и отправку вредоносных файлов

  В этом случае файл размером до 50 МБ будет обрабатываться на основе политик сеанса. Для большого файла параметры клиента (Параметры > По умолчанию для управления условным доступом > к приложениям) определяют, разрешен или заблокирован файл независимо от соответствующих политик.

• Политики проверки для защиты информации действительны для файлов размером до 30 МБ и 1 млн символов
  Когда применяется политика сеанса для блокировки отправки или скачивания файлов на основе проверки содержимого защиты информации, проверка выполняется для файлов размером менее 30 МБ и менее 1 миллиона символов. Например, администратор может определить одну из следующих политик сеанса:

  • Блокировка отправки файлов, содержащих номер социального страхования (SSN)
  • Защита скачивания файлов, содержащих PHI (защищенная информация о работоспособности)
  • Блокировать скачивание файла для с меткой конфиденциальности "очень конфиденциальный"

  В таких случаях файлы размером более 30 МБ или 1 млн символов не проверяются и обрабатываются в соответствии с параметром политики Всегда применять выбранное действие, даже если данные не могут быть отсканированы. Ниже приведены некоторые примеры.

  • будет отсканирован txt-файл размером 1 МБ и 1 миллион символов.
  • TXT-файл размером 2 МБ и 2 миллионами символов не будет проверяться.
  • будет отсканирован Word файл, состоящий из изображений и текста размером 4 МБ и 400 K символов.
  • файл Word, состоящий из изображений и текста размером 4 МБ и 2 миллиона символов, не будет проверяться.
  • файл Word, состоящий из изображений и текста размером 40 МБ и 400 K символов, не будет проверяться.

• Ограничение отправки файлов

  Если применяется политика сеанса для блокировки или отслеживания отправки конфиденциальных файлов, то в этих сценариях попытки пользователя отправить файлы или папки с помощью перетаскивания & будут блокировать весь список файлов и папок:

  • папка, содержащая 100 или более файлов;

  • папка, содержащая по крайней мере один файл и хотя бы одну вложенную папку;

  • папка, содержащая несколько вложенных папок;

  • выбор по крайней мере одного файла и по крайней мере одной папки

  • выбор нескольких папок

    Вот несколько таких случаев.

  Администратор безопасности определяет следующую политику: Блокировать отправку файлов, содержащих личные сведения, в OneDrive.

  • Пользователь пытается отправить выборку из 200 файлов, не являющихся конфиденциальными, с помощью диалогового окна отправки файлов. Результат: файлы отправлены
  • Пользователь пытается отправить выбранный фрагмент из 200 файлов, не являющихся конфиденциальными, с помощью перетаскивания & . Результат: файлы заблокированы
  • Пользователь пытается отправить выбранные 200 файлов, некоторые из которых являются конфиденциальными, а некоторые нет, используя диалоговое окно отправки файлов. Результат: неконфакционные файлы отправляются, конфиденциальные файлы блокируются
  • Пользователь пытается отправить выборку из 200 файлов, некоторые из которых являются конфиденциальными, а некоторые нет, используя перетаскивание & . Результат: весь набор файлов заблокирован

Дальнейшие действия

Инструкции по подключению приложений см. в соответствующем документе ниже:

• Развертывание управления условным доступом к приложениям для приложений каталога с помощью Azure AD
• Развертывание управления условным доступом к приложениям для приложений каталога с поставщиком удостоверений сторонних поставщиков удостоверений
• Развертывание Управления условным доступом к приложениям для настраиваемых приложений с помощью Azure Active Directory
• Развертывание Управления условным доступом к приложениям для пользовательских приложений с помощью поставщика удостоверений сторонних разработчиков

Если у вас возникнут проблемы, мы поможем вам. Чтобы получить помощь или поддержку по своему продукту, отправьте запрос в службу поддержки.