Appkontroll för villkorsstyrd åtkomst i Microsoft Defender för Cloud Apps
På dagens arbetsplats räcker det inte att veta vad som har hänt i din molnmiljö i efterhand. Du måste också stoppa överträdelser och läckor i realtid och förhindra att anställda avsiktligt eller oavsiktligt utsätter dina data och din organisation för risker.
Du vill stödja användare i din organisation medan de använder de bästa tillgängliga molnapparna och ta med sina egna enheter till jobbet. Men du behöver också verktyg för att skydda din organisation mot dataläckor och stöld i realtid. Microsoft Defender för Cloud Apps integreras med valfri identitetsprovider (IdP) för att leverera det här skyddet med åtkomst- och sessionsprinciper .
Till exempel:
Använd åtkomstprinciper för att:
- Blockera åtkomst till Salesforce för användare som kommer från ohanterade enheter
- Blockera åtkomst till Dropbox för interna klienter.
Använd sessionsprinciper för att:
- Blockera nedladdningar av känsliga filer från OneDrive till ohanterade enheter
- Blockera uppladdningar av filer med skadlig kod till SharePoint Online
Microsoft Edge-användare drar nytta av direkt skydd i webbläsaren, vilket anges av låsikonen 
som visas i webbläsarens adressfält.
Användare av andra webbläsare omdirigeras via en omvänd proxy till Defender för Cloud Apps och visar ett *.mcas.ms suffix i länkens URL. Om app-URL:en till exempel är myapp.com uppdateras appens URL till myapp.com.mcas.ms.
Den här artikeln beskriver Defender för Cloud Apps appkontroll för villkorsstyrd åtkomst med Microsoft Entra-principer för villkorsstyrd åtkomst .
Appkontrollaktiviteter för villkorsstyrd åtkomst
Appkontroll för villkorsstyrd åtkomst använder åtkomstprinciper och sessionsprinciper för att övervaka och kontrollera åtkomst och sessioner för användarappar i realtid i hela organisationen.
Varje princip har villkor för att definiera vem (vilken användare eller grupp av användare), vad (vilka molnappar) och var (vilka platser och nätverk) principen tillämpas på. När du har fastställt villkoren dirigerar du användarna först till Defender for Cloud Apps, där du kan använda åtkomst- och sessionskontrollerna för att skydda dina data.
Åtkomst- och sessionsprinciper omfattar följande typer av aktiviteter:
| Aktivitet | beskrivning |
|---|---|
| Förhindra dataexfiltrering | Blockera nedladdning, klipp ut, kopiera och skriv ut känsliga dokument på till exempel ohanterade enheter. |
| Kräv autentiseringskontext | Omvärdera principer för villkorsstyrd åtkomst i Microsoft Entra när en känslig åtgärd inträffar i sessionen, till exempel att kräva multifaktorautentisering. |
| Skydda vid nedladdning | I stället för att blockera nedladdningen av känsliga dokument kräver du att dokument etiketteras och krypteras när du integrerar med Microsoft Purview Information Protection. Den här åtgärden säkerställer att dokumentet skyddas och att användaråtkomsten begränsas i en potentiellt riskfylld session. |
| Förhindra uppladdning av omärkta filer | Se till att omärkta filer med känsligt innehåll blockeras från att laddas upp tills användaren klassificerar innehållet. Innan en känslig fil laddas upp, distribueras och används av andra är det viktigt att se till att den känsliga filen har den etikett som definieras av organisationens princip. |
| Blockera potentiell skadlig kod | Skydda din miljö mot skadlig kod genom att blockera uppladdningen av potentiellt skadliga filer. Alla filer som laddas upp eller laddas ned kan genomsökas mot Microsofts hotinformation och blockeras omedelbart. |
| Övervaka användarsessioner för efterlevnad | Undersök och analysera användarbeteende för att förstå var och under vilka villkor sessionsprinciper ska tillämpas i framtiden. Riskfyllda användare övervakas när de loggar in på appar och deras åtgärder loggas inifrån sessionen. |
| Blockera åtkomst | Blockera detaljerad åtkomst för specifika appar och användare beroende på flera riskfaktorer. Du kan till exempel blockera dem om de använder klientcertifikat som en form av enhetshantering. |
| Blockera anpassade aktiviteter | Vissa appar har unika scenarier som medför risker, till exempel att skicka meddelanden med känsligt innehåll i appar som Microsoft Teams eller Slack. I den här typen av scenarier genomsöker du meddelanden efter känsligt innehåll och blockerar dem i realtid. |
Mer information finns i:
- Skapa åtkomstprinciper för Microsoft Defender för Cloud Apps
- Skapa sessionsprinciper för Microsoft Defender för Cloud Apps
Användbarhet
Appkontrollen för villkorsstyrd åtkomst kräver inte att du installerar något på enheten, vilket gör det idealiskt när du övervakar eller kontrollerar sessioner från ohanterade enheter eller partneranvändare.
Defender för Cloud Apps använder förstklassig, patenterad heuristik för att identifiera och kontrollera aktiviteter som utförs av användaren i målappen. Våra heuristiker är utformade för att optimera och balansera säkerhet med användbarhet.
I vissa sällsynta scenarier, när blockeringsaktiviteter på serversidan gör appen oanvändbar, skyddar vi endast dessa aktiviteter på klientsidan, vilket gör dem potentiellt mottagliga för utnyttjande av skadliga insiders.
Systemprestanda och datalagring
Defender för Cloud Apps använder Azure Data Centers runt om i världen för att ge optimerad prestanda via geoplats. Det innebär att en användares session kan finnas utanför en viss region, beroende på trafikmönster och deras plats. Men för att skydda din integritet lagras inga sessionsdata i dessa datacenter.
Defender för Cloud Apps-proxyservrar lagrar inte vilande data. När vi cachelagrar innehåll följer vi kraven i RFC 7234 (HTTP-cachelagring) och cachelagrar endast offentligt innehåll.
Appar och klienter som stöds
Använd session och åtkomst till kontroller för interaktiv enkel inloggning som använder SAML 2.0-autentiseringsprotokollet. Åtkomstkontroller stöds också för inbyggda mobilappar och skrivbordsklientappar.
Om du använder Microsoft Entra-ID-appar använder du dessutom sessions- och åtkomstkontroller för att:
- Alla interaktiva enkel inloggningar som använder autentiseringsprotokollet Open ID Connect.
- Appar som finns lokalt och konfigureras med Microsoft Entra-programproxyn.
Microsoft Entra-ID-appar registreras också automatiskt för appkontroll för villkorsstyrd åtkomst, medan appar som använder andra IP-adresser måste registreras manuellt.
Defender för Cloud Apps identifierar appar som använder data från molnappkatalogen. Om du har anpassat appar med plugin-program måste alla associerade anpassade domäner läggas till i relevant app i katalogen. Mer information finns i Arbeta med riskpoängen.
Kommentar
Installerade appar med icke-interaktiva inloggningsflöden, till exempel Authenticator-appen och andra inbyggda appar, kan inte användas med åtkomstkontroller. Vår rekommendation i så fall är att skapa en åtkomstprincip i Entra-ID-portalen utöver Åtkomstprinciper för Microsoft Defender för molnappar
Stödomfång för sessionskontroll
Sessionskontroller är byggda för att fungera med alla webbläsare på valfri större plattform på alla operativsystem, men vi stöder följande webbläsare:
- Microsoft Edge (senaste)
- Google Chrome (senaste)
- Mozilla Firefox (senaste)
- Apple Safari (senaste)
Microsoft Edge-användare drar nytta av webbläsarskydd utan att omdirigera till en omvänd proxy. Mer information finns i Webbläsarskydd med Microsoft Edge för företag (förhandsversion).
Appstöd för TLS 1.2+
Defender för Cloud Apps använder TLS-protokoll (Transport Layer Security) 1.2+ för att tillhandahålla förstklassig kryptering och inbyggda klientappar och webbläsare som inte stöder TLS 1.2+ är inte tillgängliga när de konfigureras med sessionskontroll.
SaaS-appar som använder TLS 1.1 eller lägre visas dock i webbläsaren som att använda TLS 1.2+ när de konfigureras med Defender for Cloud Apps.
Relaterat innehåll
Mer information finns i:
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för