Skydda appar med Appkontroll för villkorsstyrd åtkomst i Microsoft Defender for Cloud Apps

Anteckning

  • Vi har bytt namn på Microsoft Cloud App Security. Den heter nu Microsoft Defender for Cloud Apps. Under de kommande veckorna uppdaterar vi skärmbilderna och instruktionerna här och på relaterade sidor. Mer information om ändringen finns i det här meddelandet. Mer information om det senaste namnet på Microsofts säkerhetstjänster finns i Microsoft Ignite Security-bloggen.

  • Microsoft Defender for Cloud Apps ingår nu i Microsoft 365 Defender. Med Microsoft 365 Defender portalen kan säkerhetsadministratörer utföra sina säkerhetsuppgifter på en plats. Detta förenklar arbetsflöden och lägger till funktionerna i de andra Microsoft 365 Defender tjänsterna. Microsoft 365 Defender kommer att vara startsidan för övervakning och hantering av säkerhet i dina Microsoft-identiteter, data, enheter, appar och infrastruktur. Mer information om dessa ändringar finns i Microsoft Defender for Cloud Apps i Microsoft 365 Defender.

På dagens arbetsplats räcker det ofta inte att veta vad som händer i molnmiljön i efterhand. Du vill stoppa överträdelser och läckor i realtid innan anställda avsiktligt eller oavsiktligt utsätter dina data och din organisation för risker. Det är viktigt att göra det möjligt för användare i din organisation att få ut det mesta av de tjänster och verktyg som är tillgängliga för dem i molnappar och låta dem använda sina egna enheter. Samtidigt behöver du verktyg för att skydda din organisation mot dataläckor och datastöld i realtid. Microsoft Defender for Cloud Apps integreras med valfri identitetsprovider (IdP) för att leverera dessa funktioner med åtkomst- och sessionskontroller. Om du använder Azure Active Directory (Azure AD) som IdP är dessa kontroller integrerade och effektiva för en enklare och mer skräddarsydd distribution som bygger på Azure AD verktyg för villkorsstyrd åtkomst.

Anteckning

  • Förutom en giltig Defender för Cloud Apps-licens behöver du även en Azure Active Directory P1-licens eller den licens som krävs av din IdP-lösning för att kunna använda AppKontroll för villkorsstyrd åtkomst för Defender for Cloud Apps.

Så här fungerar det

Appkontrollen för villkorsstyrd åtkomst använder en omvänd proxyarkitektur och integreras med din IdP. När du integrerar med Azure AD villkorlig åtkomst kan du konfigurera appar så att de fungerar med appkontrollen för villkorsstyrd åtkomst med bara några få klick, så att du enkelt och selektivt kan framtvinga åtkomst- och sessionskontroller i organisationens appar baserat på alla villkor i villkorlig åtkomst. Villkoren definierar vem (användare eller grupp av användare) och vad (vilka molnappar) och var (vilka platser och nätverk) en princip för villkorsstyrd åtkomst tillämpas på. När du har fastställt villkoren kan du dirigera användare till Defender för Cloud Apps där du kan skydda data med appkontroll för villkorsstyrd åtkomst genom att tillämpa åtkomst- och sessionskontroller.

Med appkontrollen för villkorsstyrd åtkomst kan åtkomst och sessioner för användarappar övervakas och kontrolleras i realtid baserat på åtkomst- och sessionsprinciper. Åtkomst- och sessionsprinciper används i Defender för Cloud Apps-portalen för att ytterligare förfina filter och ange vilka åtgärder som ska vidtas för en användare. Med åtkomst- och sessionsprinciperna kan du:

  • Förhindra dataexfiltrering: Du kan blockera nedladdning, klipp ut, kopiera och skriva ut känsliga dokument på till exempel ohanterade enheter.

  • Kräv autentiseringskontext: Du kan omvärdera Azure AD principer för villkorsstyrd åtkomst när en känslig åtgärd inträffar i sessionen. Du kan till exempel kräva multifaktorautentisering vid nedladdning av en strikt konfidentiell fil.

  • Skydda vid nedladdning: I stället för att blockera nedladdningen av känsliga dokument kan du kräva att dokument märks och krypteras när du integrerar med Microsoft Purview Information Protection. Den här åtgärden säkerställer att dokumentet skyddas och att användaråtkomsten begränsas i en potentiellt riskfylld session.

  • Förhindra uppladdning av omärkta filer: Innan en känslig fil laddas upp, distribueras och används av andra är det viktigt att se till att den känsliga filen har den etikett som definieras av organisationens princip. Du kan se till att omärkta filer med känsligt innehåll blockeras från att laddas upp tills användaren klassificerar innehållet.

  • Blockera potentiell skadlig kod: Du kan skydda din miljö mot skadlig kod genom att blockera uppladdningen av potentiellt skadliga filer. Alla filer som laddas upp eller laddas ned kan genomsökas mot Microsofts hotinformation och blockeras omedelbart.

  • Övervaka användarsessioner för efterlevnad: Riskfyllda användare övervakas när de loggar in på appar och deras åtgärder loggas inifrån sessionen. Du kan undersöka och analysera användarbeteendet för att förstå var och under vilka villkor sessionsprinciper ska tillämpas i framtiden.

  • Blockera åtkomst: Du kan i detalj blockera åtkomst för specifika appar och användare beroende på flera riskfaktorer. Du kan till exempel blockera dem om de använder klientcertifikat som en form av enhetshantering.

  • Blockera anpassade aktiviteter: Vissa appar har unika scenarier som medför risker, till exempel att skicka meddelanden med känsligt innehåll i appar som Microsoft Teams eller Slack. I den här typen av scenarier kan du söka igenom meddelanden efter känsligt innehåll och blockera dem i realtid.

Så här fungerar sessionskontroll

Genom att skapa en sessionsprincip med appkontrollen för villkorsstyrd åtkomst kan du styra användarsessioner genom att omdirigera användaren via en omvänd proxy i stället för direkt till appen. Från och med då går användarbegäranden och svar via Defender för Cloud Apps i stället för direkt till appen.

När en session skyddas med proxy ersätts alla relevanta URL:er och cookies av Defender for Cloud Apps. Om appen till exempel returnerar en sida med länkar vars domäner slutar med myapp.com, är länkens domän suffix med något i stil *.mcas.msmed , enligt följande:

App-URL Ersatt URL
myapp.com myapp.com.mcas.ms

Den här metoden kräver inte att du installerar något på enheten, vilket gör det idealiskt när du övervakar eller styr sessioner från ohanterade enheter eller partneranvändare.

Anteckning

  • Vår teknik använder förstklassig patenterad heuristik för att identifiera och kontrollera aktiviteter som utförs av användaren i målappen. Vår heuristik är utformad för att optimera och balansera säkerhet med användbarhet. I vissa sällsynta scenarier, när blockerande aktiviteter på serversidan gör appen oanvändbar, skyddar vi dessa aktiviteter endast på klientsidan, vilket gör dem potentiellt mottagliga för exploatering av skadliga insiders.
  • Defender för Cloud Apps utnyttjar Azure Data Centers runt om i världen för att ge optimerad prestanda via geoplats. Det innebär att en användares session kan finnas utanför en viss region, beroende på trafikmönster och deras plats. Men för att skydda din integritet lagras inga sessionsdata i dessa datacenter.
  • Våra proxyservrar lagrar inte vilande data. Vid cachelagring av innehåll följer vi kraven i RFC 7234 (HTTP-cachelagring) och cachelagrar endast offentligt innehåll.

Identifiering av hanterade enheter

Med Appkontroll för villkorsstyrd åtkomst kan du skapa policyer som tar hänsyn till om en enhet är hanterad eller inte. Om du vill identifiera en enhets status kan du konfigurera åtkomst- och sessionspolicyer som kontrollerar följande:

  • Microsoft Intune kompatibla enheter [endast tillgängliga med Azure AD]
  • Hybrid Azure AD-anslutna enheter [endast tillgängligt med Azure AD]
  • Förekomst av klientcertifikat i en betrodd kedja

Intune kompatibla och Hybrid Azure AD-anslutna enheter

Azure AD villkorlig åtkomst gör att Intune kompatibel och Hybrid Azure AD-ansluten enhetsinformation kan skickas direkt till Defender för Cloud Apps. Därifrån kan en åtkomstprincip eller en sessionsprincip utvecklas som använder enhetstillstånd som ett filter. Mer information finns i Introduktion till enhetshantering i Azure Active Directory.

Anteckning

Vissa webbläsare kan kräva ytterligare konfiguration, till exempel att installera ett tillägg. Mer information finns i Webbläsarstöd för villkorsstyrd åtkomst.

Autentiserade klientcertifikatenheter

Mekanismen för enhetsidentifiering kan begära autentisering från relevanta enheter med hjälp av klientcertifikat. Du kan antingen använda befintliga klientcertifikat som redan har distribuerats i din organisation eller distribuera nya klientcertifikat till hanterade enheter. Kontrollera att klientcertifikatet är installerat i användararkivet och inte i datorarkivet. Sedan använder du förekomsten av dessa certifikat för att ange åtkomst- och sessionsprinciper.

SSL-klientcertifikat verifieras via en förtroendekedja. Du kan ladda upp en X.509-rot eller mellanliggande certifikatutfärdare (CA) formaterad i PEM-certifikatformatet. Dessa certifikat måste innehålla den offentliga nyckeln för certifikatutfärdare, som sedan används för att signera klientcertifikaten som visas under en session.

När certifikatet har laddats upp och en relevant princip har konfigurerats, när en tillämplig session passerar appkontrollen för villkorsstyrd åtkomst, begär Defender för Cloud Apps-slutpunkten att webbläsaren ska presentera SSL-klientcertifikaten. Webbläsaren hanterar de SSL-klientcertifikat som är installerade med en privat nyckel. Den här kombinationen av certifikat och privat nyckel görs med filformatet PKCS #12, vanligtvis .p12 eller .pfx.

När en kontroll av klientcertifikat utförs söker Defender för Cloud Apps efter följande villkor:

  1. Det valda klientcertifikatet är giltigt och finns under rätt rot eller mellanliggande certifikatutfärdare.
  2. Certifikatet återkallas inte (om CRL är aktiverat).

Anteckning

De flesta större webbläsare har stöd för att utföra en klientcertifikatkontroll. Men mobilappar och skrivbordsappar använder ofta inbyggda webbläsare som kanske inte stöder den här kontrollen och därför påverkar autentiseringen för dessa appar.

Så här konfigurerar du en princip för att utnyttja enhetshantering via klientcertifikat:

  1. I Defender för Molnappar går du till menyraden och väljer inställningsikonen kugghjulsinställningar. och välj Inställningar.

  2. Välj fliken Enhetsidentifiering .

  3. Ladda upp så många rotcertifikat eller mellanliggande certifikat som du behöver.

    Tips

    Om du vill testa hur detta fungerar kan du använda vår exempelrot-CA och vårt klientcertifikat enligt följande:

    1. Ladda ned exempelrotcertifikatutfärdare och klientcertifikat.
    2. Ladda upp rotcertifikatutfärdaren till Defender för Cloud Apps.
    3. Installera klientcertifikatet (password=Microsoft) på relevanta enheter.

När certifikaten har laddats upp kan du skapa åtkomst- och sessionsprinciper baserat på Enhetstagg och Giltigt klientcertifikat.

Appar och klienter som stöds

Sessions- och åtkomstkontroller kan tillämpas på alla interaktiva enkel inloggningar med hjälp av SAML 2.0-autentiseringsprotokollet eller, om du använder Azure AD, även autentiseringsprotokollet Open ID Connect. Om dina appar dessutom har konfigurerats med Azure AD kan du även tillämpa dessa kontroller på appar som finns lokalt konfigurerade med Azure AD App Proxy. Dessutom kan åtkomstkontroller tillämpas på interna mobilappar och skrivbordsklientappar.

Defender för Cloud Apps identifierar appar med hjälp av information som är tillgänglig i cloud app-katalogen. Vissa organisationer och användare anpassar appar genom att lägga till plugin-program. Men för att sessionskontrollerna ska fungera korrekt med dessa plugin-program måste de associerade anpassade domänerna läggas till i respektive app i katalogen.

Anteckning

Authenticator-appen, bland andra inbyggda inloggningsflöden för klientprogram, använder ett icke-interaktivt inloggningsflöde och kan inte användas med åtkomstkontroller.

Åtkomstkontroller

Många organisationer som väljer att använda sessionskontroller för molnappar för att styra aktiviteter under sessionen tillämpar också åtkomstkontroller för att blockera samma uppsättning interna mobilappar och skrivbordsklientappar, vilket ger omfattande säkerhet för apparna.

Du kan blockera åtkomst till interna mobilappar och skrivbordsklientappar med åtkomstprinciper genom att ställa in klientappfiltretMobil och skrivbord. Vissa interna klientappar kan identifieras individuellt, medan andra som ingår i en uppsättning appar bara kan identifieras som deras toppnivåapp. Appar som SharePoint Online kan till exempel bara identifieras genom att skapa en åtkomstprincip som tillämpas på Office 365 appar.

Anteckning

Om inte klientappfiltret är specifikt inställt på Mobil och skrivbord gäller den resulterande åtkomstprincipen endast för webbläsarsessioner. Orsaken till detta är att förhindra oavsiktlig proxykörning av användarsessioner, vilket kan vara en biprodukt av att använda det här filtret. De flesta större webbläsare har stöd för att utföra en klientcertifikatkontroll, men vissa mobilappar och skrivbordsappar använder inbyggda webbläsare som kanske inte stöder den här kontrollen. Att använda det här filtret kan därför påverka autentiseringen för dessa appar.

Sessionskontroller

Sessionskontroller är byggda för att fungera med alla webbläsare på alla större plattformar på alla operativsystem, men vi stöder Microsoft Edge (senaste), Google Chrome (senaste), Mozilla Firefox (senaste) eller Apple Safari (senaste). Åtkomst till mobilappar och skrivbordsappar kan också blockeras eller tillåtas.

Anteckning

  • Defender för Cloud Apps använder TLS-protokoll (Transport Layer Security) 1.2+ för att tillhandahålla förstklassig kryptering. Interna klientappar och webbläsare som inte stöder TLS 1.2+, kommer inte att vara tillgängliga när de konfigureras med sessionskontroll. SaaS-appar som använder TLS 1.1 eller lägre visas dock i webbläsaren som att använda TLS 1.2+ när de konfigureras med Defender for Cloud Apps.
  • Om du vill tillämpa sessionskontroller på portal.office.com måste du registrera Administrationscenter för Microsoft 365. Mer information om registrering av appar finns i Registrera och distribuera appkontroll för villkorlig åtkomst för alla appar.

Förregistrerade appar

Alla webbappar som konfigurerats med de tidigare nämnda autentiseringsprotokollen kan registreras för att fungera med åtkomst- och sessionskontroller. Dessutom registreras följande appar redan med både åtkomst- och sessionskontroller för Azure Access Directory.

Anteckning

Det krävs för att dirigera önskade program till åtkomst- och sessionskontroller och för att utföra en första inloggning.

  • AWS
  • Box
  • Concur
  • CornerStone på begäran
  • DocuSign
  • Dropbox
  • Egnyte
  • GitHub
  • Google-arbetsyta
  • HögQ
  • JIRA/Confluence
  • LinkedIn Learning
  • Microsoft Azure DevOps (Visual Studio Team Services)
  • Microsoft Azure-portalen
  • Microsoft Dynamics 365 CRM
  • Microsoft Exchange Online
  • Microsoft OneDrive för företag
  • Microsoft Power BI
  • Microsoft SharePoint Online
  • Microsoft Teams
  • Microsoft Yammer
  • Salesforce
  • Slack
  • Tableau
  • Workday
  • Workiva
  • Arbetsplats från meta

Om du är intresserad av att en specifik app registreras i förväg kan du skicka information om appen till oss. Se till att skicka det användningsfall som du är intresserad av för registrering av det.

Kända begränsningar

  • Proxy kan kringgås med hjälp av inbäddad sessionstoken
    Det går att kringgå proxyn i fall där själva programmet bäddar in token i länkarna. En slutanvändare kan kopiera länken och komma åt resursen direkt i så fall.

  • Kopierings-/klippprincip kan kringgås med hjälp av utvecklarverktyg
    Det går att kringgå den definierade kopierings-/klippprincipen med hjälp av webbläsarutvecklarverktygen. I en princip som till exempel förhindrar kopiering av innehåll från Microsoft Word är det möjligt att visa innehållet med hjälp av utvecklarverktyg, kopiera innehållet därifrån och sedan kringgå proxyn.

  • Proxy kan kringgås av en parameterändring
    Det går att kringgå den definierade sessionsprincipen genom att ändra parametrar. Det går till exempel att ändra URL-parametrarna och vilseleda tjänsten på ett sätt som kringgår proxyn och möjliggör nedladdning av en känslig fil.

  • Webbläsartilläggsbegränsning
    Vår aktuella lösning för begränsningar av sessionsbegränsningar för villkorlig åtkomst stöder inte inbyggda program, eftersom den kräver en viss ändring av den underliggande programkoden. Webbläsartillägg, som liknar inbyggda appar, är förinstallerade i webbläsaren och tillåter därför inte att vi ändrar koden efter behov och bryts när deras token omdirigeras via vår proxylösning. Som administratör kan du definiera standardsystembeteendet när en princip inte kan tillämpas och välja mellan att tillåta åtkomst eller helt blockera den.

  • Kontextförlust
    I följande program har vi påträffat scenarier där navigering till en länk kan leda till förlust av den fullständiga sökvägen till länken och vanligtvis hamnar användaren på appens startsida.

    • ArcGIS
    • GitHub
    • Microsoft Dynamics 365 CRM
    • Microsoft Power Automate
    • Microsoft Power Apps
    • Microsoft Power BI
    • Microsoft Yammer
    • Arbetsplats från meta
  • Sessionsprinciper är giltiga för filer med en storlek på upp till 50 MB
    Filer med en storlek på upp till 50 MB omfattas av sessionsprinciper. En administratör kan till exempel definiera någon av följande sessionsprinciper:

    • Övervaka filnedladdningar för OneDrive-appen
    • Blockera filuppladdning
    • Blockera nedladdning\uppladdning av filer med skadlig kod

    En fil på upp till 50 MB hanteras baserat på sessionsprinciperna i så fall. För en större fil avgör klientinställningarna (inställningar > standardbeteende för appkontroll > för villkorsstyrd åtkomst) om filen tillåts eller blockeras, oavsett matchande principer.

  • Inspektionsprinciper för informationsskydd är giltiga för filer upp till 30 MB i storlek och 1 miljon tecken
    När en sessionsprincip för att blockera filuppladdningar eller nedladdningar baserat på informationsskyddsinnehållskontroll tillämpas utförs inspektion på filer som är mindre än 30 MB och mindre än 1 miljon tecken. En administratör kan till exempel definiera någon av följande sessionsprinciper:

    • Blockera filuppladdning för filer som innehåller socialförsäkringsnummer (SSN)
    • Skydda filnedladdning för filer som innehåller PHI (skyddad hälsoinformation)
    • Blockera filnedladdning för med känslighetsetiketten "mycket känslig"

    I sådana fall genomsöks inte filer som är större än 30 MB eller 1 miljon tecken och behandlas enligt principinställningen för Tillämpa alltid den valda åtgärden även om data inte kan genomsökas. Här är några exempel:

    • en TXT-fil, en STORLEK på 1 MB och 1 miljon tecken: genomsöks
    • en TXT-fil, en storlek på 2 MB och 2 miljoner tecken: genomsöks inte
    • en Word-fil som består av bilder och text, 4 MB storlek och 400 K tecken: genomsöks
    • en Word-fil som består av bilder och text, en storlek på 4 MB och 2 miljoner tecken: genomsöks inte
    • en Word-fil som består av bilder och text, 40 MB storlek och 400 K tecken: genomsöks inte

    Anteckning

    Uppladdningar och nedladdningar på klientsidan är begränsade till 5 MB som standard. Det går att ange storleken till upp till 30 MB. Observera att detta kan påverka slutanvändarens svarstid.

Nästa steg

Anvisningar om hur du registrerar dina appar finns i lämpligt dokument nedan:

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du en supportbegäran.