Управление приложениями условного доступа в приложениях Microsoft Defender для облака
На современном рабочем месте недостаточно знать, что произошло в облачной среде после факта. Необходимо остановить нарушения и утечки в режиме реального времени. Кроме того, необходимо запретить сотрудникам намеренно или случайно поставить данные и организацию под угрозу.
Вы хотите поддерживать пользователей в организации, пока они используют лучшие облачные приложения и предоставляют свои собственные устройства для работы. Однако вам также нужны средства для защиты организации от утечки данных и кражи в режиме реального времени. Microsoft Defender для облака Приложения интегрируются с любым поставщиком удостоверений (IdP) для обеспечения этой защиты с политиками доступа и сеансов.
Например:
Используйте политики доступа для:
- Блокировать доступ к Salesforce для пользователей неуправляемых устройств.
- Блокировать доступ к Dropbox для собственных клиентов.
Использование политик сеанса для:
- Блокировать скачивание конфиденциальных файлов из OneDrive на неуправляемые устройства.
- Блокировать отправку файлов вредоносных программ в SharePoint Online.
Пользователи Microsoft Edge получают преимущества прямой защиты в браузере. Значок блокировки 
в адресной строке браузера указывает на эту защиту.
Пользователи других браузеров перенаправляются через обратный прокси-сервер в Defender для облака Приложения. Эти браузеры отображают *.mcas.ms суффикс в URL-адресе ссылки. Например, если URL-адрес приложения равен myapp.com, URL-адрес приложения обновляется на myapp.com.mcas.ms.
В этой статье описывается управление приложениями условного доступа в Defender для облака Apps с помощью политик условного доступа Microsoft Entra.
Действия в элементе управления условным доступом
Управление приложениями условного доступа использует политики доступа и политики сеансов для мониторинга и контроля доступа пользователей и сеансов в режиме реального времени в организации.
Каждая политика имеет условия для определения того, кто (какой пользователь или группа пользователей), какие (какие облачные приложения) и где (к каким расположениям и сетям) применяется политика. После определения условий сначала перенаправьте пользователей в Defender для облака Приложения. Там можно применить элементы управления доступом и сеансом, чтобы защитить данные.
Политики доступа и сеанса включают следующие типы действий:
| Действие (Activity) | Description |
|---|---|
| Предотвращение кражи данных | Блокировать скачивание, вырезание, копирование и печать конфиденциальных документов на неуправляемых устройствах. |
| Требовать контекст проверки подлинности | Повторное вычисление политик условного доступа Microsoft Entra при возникновении конфиденциального действия в сеансе, например требование многофакторной проверки подлинности. |
| Защита при скачивании | Вместо блокировки скачивания конфиденциальных документов необходимо, чтобы документы были помечены и зашифрованы при интеграции с Защита информации Microsoft Purview. Это действие помогает защитить документ и ограничить доступ пользователей в потенциально рискованном сеансе. |
| Предотвращение отправки неназначенных файлов | Убедитесь, что отправка неназначенных файлов с конфиденциальным содержимым блокируется до тех пор, пока пользователь не классифицирует содержимое. Перед отправкой пользователем, распространением или использованием конфиденциального файла файл должен иметь метку, определенную политикой вашей организации. |
| Блокировать потенциальные вредоносные программы | Помогите защитить среду от вредоносных программ, блокируя отправку потенциально вредоносных файлов. Любой файл, который пользователь пытается отправить или скачать, может быть сканирован в microsoft Threat Intelligence и заблокирован мгновенно. |
| Мониторинг сеансов пользователей для соответствия требованиям | Изучите и проанализируйте поведение пользователя, чтобы понять, где и в каких условиях следует применять политики сеансов в будущем. Рискованные пользователи отслеживаются при входе в приложения, а их действия регистрируются в сеансе. |
| Заблокировать доступ | Детально блокируйте доступ для конкретных приложений и пользователей в зависимости от нескольких факторов риска. Например, можно включить блокировку, если используются сертификаты клиента для управления устройством. |
| Блокировать пользовательские действия | Некоторые приложения имеют уникальные сценарии, которые несут риск. Примером является отправка сообщений с конфиденциальным содержимым в таких приложениях, как Microsoft Teams или Slack. В таких сценариях сканируйте сообщения для конфиденциального содержимого и блокируйте их в режиме реального времени. |
Дополнительные сведения см. в разделе:
- Создание политик доступа к приложениям Microsoft Defender для облака
- Создание политик сеансов Microsoft Defender для облака Приложений
Удобство использования
Управление приложениями условного доступа не требует установки ничего на устройстве, поэтому это идеально подходит при мониторинге или управлении сеансами с неуправляемых устройств или пользователей партнеров.
Defender для облака Приложения используют патентованная эвристика для выявления и контроля действий пользователей в целевом приложении. Эвристики предназначены для оптимизации и балансировки безопасности с удобством использования.
В некоторых редких сценариях блокировка действий на стороне сервера отрисовывает приложение непригодным для использования, поэтому организации защищают эти действия только на стороне клиента. Такой подход делает их потенциально уязвимыми к эксплуатации злоумышленниками- инсайдерами.
Производительность системы и хранилище данных
Defender для облака Приложения используют центры обработки данных Azure по всему миру для обеспечения оптимизированной производительности с помощью географического расположения. Сеанс пользователя может размещаться за пределами определенного региона в зависимости от шаблонов трафика и их расположения. Однако для защиты конфиденциальности пользователей эти центры обработки данных не хранят данные сеанса.
Defender для облака прокси-серверы приложений не хранят неактивных данных. При кэшировании содержимого мы следуйте требованиям, изложенным в RFC 7234 (кэширование HTTP) и кэшируем только общедоступное содержимое.
Поддерживаемые приложения и клиенты
Применение элементов управления сеансом и доступом к любому интерактивному единому входу, использующим протокол проверки подлинности SAML 2.0. Элементы управления доступом также поддерживаются для встроенных мобильных и классических клиентских приложений.
Кроме того, если вы используете приложения Идентификатора Майкрософт, примените к ним элементы управления сеансом и доступом:
- Любой интерактивный единый вход, использующий протокол проверки подлинности OpenID Connect.
- Приложения, размещенные в локальной среде и настроенные с помощью прокси приложения Microsoft Entra.
Приложения идентификатора Microsoft Entra также автоматически подключены для управления приложениями условного доступа, в то время как приложения, использующие другие поставщики удостоверений, должны быть подключены вручную.
Defender для облака Приложения определяют приложения с помощью данных из каталога облачных приложений. Если вы настроили приложения с подключаемыми модулями, необходимо добавить все связанные пользовательские домены в соответствующее приложение в каталоге. Дополнительные сведения см. в статье "Поиск облачного приложения" и вычисление показателей риска.
Примечание.
Не удается использовать установленные приложения с неинтерактивными потоками входа, такими как приложение Authenticator и другие встроенные приложения, с элементами управления доступом. Наша рекомендация в этом случае заключается в создании политики доступа в Центре администрирования Microsoft Entra в дополнение к политикам доступа к приложениям Microsoft Defender для облака.
Область поддержки элемента управления сеансом
Хотя элементы управления сеансами созданы для работы с любым браузером на любой основной платформе в любой операционной системе, мы поддерживаем последние версии следующих браузеров:
Пользователи Microsoft Edge получают преимущества от защиты в браузере, не перенаправляясь на обратный прокси-сервер. Дополнительные сведения см. в статье "Защита в браузере с помощью Microsoft Edge для бизнеса (предварительная версия)".
Поддержка приложений для TLS 1.2+
Defender для облака Приложения используют протоколы TLS 1.2+ для обеспечения шифрования. Встроенные клиентские приложения и браузеры, которые не поддерживают TLS 1.2+ недоступны при настройке их с помощью элемента управления сеансом.
Однако приложения saaS, использующие TLS 1.1 или более ранние версии, отображаются в браузере как использование TLS 1.2+ при настройке приложений Defender для облака.