Styra identifierade appar med Hjälp av Microsoft Defender för Endpoint

Integreringen Microsoft Defender för molnet Apps med Microsoft Defender för Endpoint ger en sömlös skugg-IT-synlighet och kontrolllösning. Vår integrering gör det möjligt för Defender för molnet Apps-administratörer att blockera slutanvändares åtkomst till molnappar genom att integrera Defender för molnet Apps-appstyrningskontroller med Microsoft Defender för Endpoints nätverksskydd. Administratörer kan också använda en mildare metod för att varna användare när de får åtkomst till riskfyllda molnappar.

Defender för molnet Apps använder den inbyggda Icke-sanktionerad apptagg för att markera molnappar som otillåtna för användning, som är tillgängliga på både cloud discovery- och cloud-appkatalogsidorna. Genom att aktivera integreringen med Defender för Endpoint kan du sömlöst blockera åtkomst till icke-sanktionerade appar med ett enda klick i Defender för molnet Apps-portalen.

Appar som har markerats som Ej sanktionerade i Defender för molnet Appar synkroniseras automatiskt till Defender för Endpoint. Mer specifikt sprids de domäner som används av dessa osanktionerade appar till slutpunktsenheter som ska blockeras av Microsoft Defender Antivirus i serviceavtalet för nätverksskydd.

Kommentar

Tidsfördröjningen för att blockera en app via Defender för Endpoint är upp till tre timmar från det ögonblick då du markerar appen som osanktionerad i Defender för molnet Appar tills appen blockeras på enheten. Detta beror på upp till en timmes synkronisering av Defender för molnet Appar sanktionerade/osanktionerade appar till Defender för Endpoint och upp till två timmar för att push-överföra principen till enheterna för att blockera appen när indikatorn skapades i Defender för Endpoint.

Förutsättningar

• En av följande licenser:

  • Defender för molnet Apps (E5, AAD-P1m CAS-D) och Microsoft Defender för Endpoint Plan 2, med slutpunkter registrerade i Defender för Endpoint
  • Microsoft 365 E5

• Microsoft Defender Antivirus. Mer information finns i:

  • Realtidsskydd aktiverat
  • Molnlevererat skydd aktiverat
  • Nätverksskydd aktiverat och konfigurerat för blockeringsläge

• Något av följande operativsystem som stöds:

  • Windows: Windows version 10 18.09 (RS5) OS Build 1776.3, 11 och senare
  • Android: lägsta version 8.0: Mer information finns i: Microsoft Defender för Endpoint på Android
  • iOS: lägsta version 14.0: Mer information finns i: Microsoft Defender för Endpoint på iOS
  • MacOS: lägsta version 11: Mer information finns i: Nätverksskydd för macOS
  • Systemkrav för Linux: Mer information finns i: Nätverksskydd för Linux

• Microsoft Defender för Endpoint har registrerats. Mer information finns i Publicera Defender för molnet-appar med Defender för Endpoint.

Aktivera blockering av molnappar med Defender för Endpoint

Använd följande steg för att aktivera åtkomstkontroll för molnappar:

1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Cloud Discovery väljer du Microsoft Defender för Endpoint och sedan Framtvinga appåtkomst.

   

   Kommentar

   Det kan ta upp till 30 minuter innan den här inställningen börjar gälla.

2. I Microsoft Defender XDR går du till Inställningar> Endpoints>Advanced-funktioner och väljer sedan Anpassade nätverksindikatorer. Information om nätverksindikatorer finns i Skapa indikatorer för IP-adresser och URL:er/domäner.

   På så sätt kan du använda microsoft Defender Antivirus-nätverksskyddsfunktioner för att blockera åtkomst till en fördefinierad uppsättning URL:er med hjälp av Defender för molnet Appar, antingen genom att manuellt tilldela apptaggar till specifika appar eller automatiskt använda en appidentifieringsprincip.

   

Blockera appar för specifika enhetsgrupper

Utför följande steg för att blockera användning för specifika enhetsgrupper:

1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Molnidentifiering väljer du Sedan Appar-taggar och går till fliken Omfångsprofiler.

2. Välj Lägg till profil. Profilen anger entiteterna som är begränsade till att blockera/avblockera appar.

3. Ange ett beskrivande profilnamn och en beskrivning.

4. Välj om profilen ska vara en Inkludera eller Exkludera profil.

   • Inkludera: endast den inkluderade uppsättningen entiteter påverkas av åtkomsttillämpningen. Profilen myContoso har till exempel Inkludera för enhetsgrupper A och B. Om du blockerar app Y med profilen blockerar myContoso endast appåtkomst för grupperna A och B.

   • Exkludera: Den exkluderade uppsättningen entiteter påverkas inte av åtkomsttillämpningen. Profilen myContoso har till exempel Exkludera för enhetsgrupper A och B. Blockera app Y med profilen myContoso blockerar appåtkomst för hela organisationen förutom grupperna A och B.

5. Välj relevanta enhetsgrupper för profilen. Enhetsgrupper som visas hämtas från Microsoft Defender för Endpoint. Mer information finns i Skapa en enhetsgrupp.

6. Välj Spara.

   

Gör följande för att blockera en app:

1. I Microsoft Defender-portalen går du till Cloud Apps och går till fliken Identifierade appar.

2. Välj den app som ska blockeras.

3. Tagga appen som Ej sanktionerad.

   

4. Om du vill blockera alla enheter i organisationen väljer du Spara. Om du vill blockera specifika enhetsgrupper i dina organisationer väljer du Välj en profil för att inkludera eller exkludera grupper från att blockeras. Välj sedan den profil som appen ska blockeras för och välj Spara.

   

Kommentar

• Tvingande förmåga baseras på Defender för Endpoints anpassade URL-indikatorer.
• Alla organisationsomfång som har angetts manuellt på indikatorer som skapades av Defender för molnet Apps innan den här funktionen släpptes åsidosätts av Defender för molnet Apps. Det nödvändiga omfånget ska anges från Defender för molnet Apps-upplevelsen med hjälp av den begränsade profilupplevelsen.
• Om du vill ta bort en vald omfångsprofil från en icke-sanktionerad app tar du bort taggen som inte är sanktionerad och taggar sedan appen igen med den nödvändiga omfångsprofilen.
• Det kan ta upp till två timmar innan appdomäner sprids och uppdateras på slutpunktsenheterna när de har markerats med relevant tagg eller/och omfång.
• När en app taggas som Övervakad visas alternativet att tillämpa en omfångsprofil endast om den inbyggda Win10 Endpoint Users-datakällan konsekvent har tagit emot data under de senaste 30 dagarna.

Utbilda användare vid åtkomst till riskfyllda appar

Administratörer har möjlighet att varna användare när de får åtkomst till riskfyllda appar. I stället för att blockera användare uppmanas de att ange en anpassad omdirigeringslänk till en företagssida med appar som godkänts för användning. Uppmaningen innehåller alternativ för användare att kringgå varningen och fortsätta till appen. Administratörer kan också övervaka antalet användare som kringgår varningsmeddelandet.

Defender för molnet Apps använder den inbyggda Övervakad apptagg för att markera molnappar som riskfyllda för användning. Taggen är tillgänglig på sidorna Cloud Discovery och Cloud App Catalog. Genom att aktivera integreringen med Defender för Endpoint kan du sömlöst varna användare om åtkomst till övervakade appar med ett enda klick i Defender för molnet Apps-portalen.

Appar som markerats som Övervakade synkroniseras automatiskt med Defender för Endpoints anpassade URL-indikatorer, vanligtvis inom några minuter. Mer specifikt sprids de domäner som används av övervakade appar till slutpunktsenheter för att ge ett varningsmeddelande från Microsoft Defender Antivirus i serviceavtalet för nätverksskydd.

Konfigurera den anpassade omdirigerings-URL:en för varningsmeddelandet

Använd följande steg för att konfigurera en anpassad URL som pekar på en företagswebbsida där du kan utbilda anställda om varför de har varnats och ange en lista över alternativa godkända appar som följer organisationens riskgodkännande eller som redan hanteras av organisationen.

1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Cloud Discovery väljer du Microsoft Defender för Endpoint.

2. I rutan Meddelande-URL anger du din URL.

   

Konfigurera användarens varaktighet för förbikoppling

Eftersom användarna kan kringgå varningsmeddelandet kan du använda följande steg för att konfigurera varaktigheten för förbikopplingen. När varaktigheten har förflutit uppmanas användarna att skicka varningsmeddelandet nästa gång de kommer åt den övervakade appen.

1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Cloud Discovery väljer du Microsoft Defender för Endpoint.

2. I rutan Kringgå varaktighet anger du varaktigheten (timmar) för användarens förbikoppling.

   

Övervaka tillämpade appkontroller

När kontrollerna har tillämpats kan du övervaka appanvändningsmönster med hjälp av de tillämpade kontrollerna (åtkomst, blockera, kringgå) med hjälp av följande steg.

1. I Microsoft Defender-portalen går du till Cloud Apps och går sedan till fliken Identifierade appar. Använd filtren för att hitta relevant övervakad app.
2. Välj appens namn för att visa tillämpade appkontroller på appens översiktssida.

Nästa steg

Undersöka appar som identifierats av Microsoft Defender för Endpoint

Kontrollera molnappar med principer

Relaterade videor

Identifiera och blockera Skugg-IT med Hjälp av Defender för Endpoint

Skugg-IT-identifiering utanför företagets nätverk

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.