Rekommenderade principer för Microsoft Defender för molnet appar för SaaS-appar
Microsoft Defender för molnet Apps bygger på principer för villkorsstyrd åtkomst i Microsoft Entra för att möjliggöra övervakning och kontroll i realtid av detaljerade åtgärder med SaaS-appar, till exempel blockera nedladdningar, uppladdningar, kopiera och klistra in och skriva ut. Den här funktionen ger säkerhet till sessioner som medför inneboende risker, till exempel när företagsresurser nås från ohanterade enheter eller av gästanvändare.
Defender för molnet Apps integreras också internt med Microsoft Purview Information Protection, vilket ger innehållsgranskning i realtid för att hitta känsliga data baserat på typer av känslig information och känslighetsetiketter och vidta lämpliga åtgärder.
Den här vägledningen innehåller rekommendationer för dessa scenarier:
- Ta med SaaS-appar i IT-hantering
- Finjustera skydd för specifika SaaS-appar
- Konfigurera Microsoft Purview dataförlustskydd (DLP) för att uppfylla dataskyddsreglerna
Ta med SaaS-appar i IT-hantering
Det första steget i att använda Defender för molnet Apps för att hantera SaaS-appar är att identifiera dessa och sedan lägga till dem i din Microsoft Entra-klientorganisation. Om du behöver hjälp med identifiering läser du Identifiera och hantera SaaS-appar i nätverket. När du har identifierat appar lägger du till dessa i din Microsoft Entra-klientorganisation.
Du kan börja hantera dessa genom att göra följande:
- I Microsoft Entra-ID skapar du först en ny princip för villkorlig åtkomst och konfigurerar den till "Använd appkontroll för villkorsstyrd åtkomst". Detta omdirigerar begäran till Defender för molnet Apps. Du kan skapa en princip och lägga till alla SaaS-appar i den här principen.
- I Defender för molnet Appar skapar du sedan sessionsprinciper. Skapa en princip för varje kontroll som du vill tillämpa.
Behörigheter till SaaS-appar baseras vanligtvis på företagets behov av åtkomst till appen. Dessa behörigheter kan vara mycket dynamiska. Med hjälp av Defender för molnet Apps-principer säkerställs skydd för appdata, oavsett om användare tilldelas till en Microsoft Entra-grupp som är associerad med startpunkt, företag eller specialiserat säkerhetsskydd.
För att skydda data i din samling av SaaS-appar illustrerar följande diagram den nödvändiga principen för villkorsstyrd åtkomst i Microsoft Entra plus föreslagna principer som du kan skapa i Defender för molnet-appar. I det här exemplet gäller principerna som skapats i Defender för molnet Appar för alla SaaS-appar som du hanterar. Dessa är utformade för att tillämpa lämpliga kontroller baserat på om enheter hanteras samt känslighetsetiketter som redan tillämpas på filer.
I följande tabell visas den nya princip för villkorlig åtkomst som du måste skapa i Microsoft Entra-ID.
| Skyddsnivå | Policy | Mer information |
|---|---|---|
| Alla skyddsnivåer | Använda appkontroll för villkorsstyrd åtkomst i Defender för molnet-appar | Detta konfigurerar din IdP (Microsoft Entra ID) för att fungera med Defender för molnet Apps. |
I nästa tabell visas de exempelprinciper som visas ovan som du kan skapa för att skydda alla SaaS-appar. Se till att utvärdera dina egna affärs-, säkerhets- och efterlevnadsmål och skapa sedan principer som ger det lämpligaste skyddet för din miljö.
| Skyddsnivå | Policy |
|---|---|
| Utgångspunkt | Övervaka trafik från ohanterade enheter Lägga till skydd för filnedladdningar från ohanterade enheter |
| Stora företag | Blockera nedladdning av filer märkta med känsliga eller klassificerade från ohanterade enheter (detta ger endast åtkomst till webbläsaren) |
| Specialiserad säkerhet | Blockera nedladdning av filer märkta med klassificerade från alla enheter (detta ger endast åtkomst till webbläsaren) |
Instruktioner från slutpunkt till slutpunkt för att konfigurera appkontroll för villkorsstyrd åtkomst finns i Distribuera appkontroll för villkorsstyrd åtkomst för aktuella appar. Den här artikeln beskriver hur du skapar den nödvändiga principen för villkorlig åtkomst i Microsoft Entra-ID och testar dina SaaS-appar.
Mer information finns i Skydda appar med Microsoft Defender för molnet Appkontroll för villkorlig åtkomst.
Finjustera skydd för specifika SaaS-appar
Du kanske vill använda ytterligare övervakning och kontroller för specifika SaaS-appar i din miljö. Defender för molnet Apps kan du göra detta. Om till exempel en app som Box används mycket i din miljö är det klokt att använda fler kontroller. Eller om din juridiska avdelning eller ekonomiavdelning använder en specifik SaaS-app för känsliga affärsdata kan du rikta extra skydd mot dessa appar.
Du kan till exempel skydda Din Box-miljö med dessa typer av inbyggda principmallar för avvikelseidentifiering:
- Aktivitet från anonyma IP-adresser
- Aktivitet från sällan förekommande land/region
- Aktivitet från misstänkta IP-adresser
- Omöjlig resa
- Aktivitet som utförs av avslutad användare (kräver Microsoft Entra-ID som IdP)
- Identifiering av skadlig kod
- Flera misslyckade inloggningsförsök
- Utpressningstrojanaktivitet
- Riskfylld Oauth-app
- Ovanlig filresursaktivitet
Det här är exempel. Ytterligare principmallar läggs till regelbundet. Exempel på hur du tillämpar ytterligare skydd på specifika appar finns i Skydda anslutna appar.
Hur Defender för molnet Apps hjälper till att skydda din Box-miljö visar vilka typer av kontroller som kan hjälpa dig att skydda dina affärsdata i Box och andra appar med känsliga data.
Konfigurera dataförlustskydd (DLP) för att uppfylla dataskyddsreglerna
Defender för molnet Appar kan vara ett värdefullt verktyg för att konfigurera skydd för efterlevnadsregler. I det här fallet skapar du specifika principer för att söka efter specifika data som en förordning gäller för och konfigurera varje princip för att vidta lämpliga åtgärder.
Följande bild och tabell innehåller flera exempel på principer som kan konfigureras för att följa den allmänna dataskyddsförordningen (GDPR). I de här exemplen letar principer efter specifika data. Baserat på känsligheten för data är varje princip konfigurerad för att vidta lämpliga åtgärder.
| Skyddsnivå | Exempelprinciper |
|---|---|
| Utgångspunkt | Avisering när filer som innehåller den här typen av känslig information ("Kreditkortsnummer") delas utanför organisationen Blockera nedladdningar av filer som innehåller den här typen av känslig information ("Kreditkortsnummer") till ohanterade enheter |
| Stora företag | Skydda nedladdningar av filer som innehåller den här typen av känslig information ("Kreditkortsnummer") till hanterade enheter Blockera nedladdningar av filer som innehåller den här typen av känslig information ("Kreditkortsnummer") till ohanterade enheter Avisering när en fil med på dessa etiketter laddas upp till OneDrive för företag eller Box (Kunddata, Personal: Lönedata, Personal, Personal, Anställdas data) |
| Specialiserad säkerhet | Avisering när filer med den här etiketten ("Högklassificerad") laddas ned till hanterade enheter Blockera nedladdningar av filer med den här etiketten ("Högklassificerad") till ohanterade enheter |
Nästa steg
Mer information om hur du använder Defender för molnet-appar finns i dokumentationen om Microsoft Defender för molnet Apps.