Dela via


Rekommenderade principer för Microsoft Defender för molnet appar för SaaS-appar

Microsoft Defender för molnet Apps bygger på principer för villkorsstyrd åtkomst i Microsoft Entra för att möjliggöra övervakning och kontroll i realtid av detaljerade åtgärder med SaaS-appar, till exempel blockera nedladdningar, uppladdningar, kopiera och klistra in och skriva ut. Den här funktionen ger säkerhet till sessioner som medför inneboende risker, till exempel när företagsresurser nås från ohanterade enheter eller av gästanvändare.

Defender för molnet Apps integreras också internt med Microsoft Purview Information Protection, vilket ger innehållsgranskning i realtid för att hitta känsliga data baserat på typer av känslig information och känslighetsetiketter och vidta lämpliga åtgärder.

Den här vägledningen innehåller rekommendationer för dessa scenarier:

  • Ta med SaaS-appar i IT-hantering
  • Finjustera skydd för specifika SaaS-appar
  • Konfigurera Microsoft Purview dataförlustskydd (DLP) för att uppfylla dataskyddsreglerna

Ta med SaaS-appar i IT-hantering

Det första steget i att använda Defender för molnet Apps för att hantera SaaS-appar är att identifiera dessa och sedan lägga till dem i din Microsoft Entra-klientorganisation. Om du behöver hjälp med identifiering läser du Identifiera och hantera SaaS-appar i nätverket. När du har identifierat appar lägger du till dessa i din Microsoft Entra-klientorganisation.

Du kan börja hantera dessa genom att göra följande:

  1. I Microsoft Entra-ID skapar du först en ny princip för villkorlig åtkomst och konfigurerar den till "Använd appkontroll för villkorsstyrd åtkomst". Detta omdirigerar begäran till Defender för molnet Apps. Du kan skapa en princip och lägga till alla SaaS-appar i den här principen.
  2. I Defender för molnet Appar skapar du sedan sessionsprinciper. Skapa en princip för varje kontroll som du vill tillämpa.

Behörigheter till SaaS-appar baseras vanligtvis på företagets behov av åtkomst till appen. Dessa behörigheter kan vara mycket dynamiska. Med hjälp av Defender för molnet Apps-principer säkerställs skydd för appdata, oavsett om användare tilldelas till en Microsoft Entra-grupp som är associerad med startpunkt, företag eller specialiserat säkerhetsskydd.

För att skydda data i din samling av SaaS-appar illustrerar följande diagram den nödvändiga principen för villkorsstyrd åtkomst i Microsoft Entra plus föreslagna principer som du kan skapa i Defender för molnet-appar. I det här exemplet gäller principerna som skapats i Defender för molnet Appar för alla SaaS-appar som du hanterar. Dessa är utformade för att tillämpa lämpliga kontroller baserat på om enheter hanteras samt känslighetsetiketter som redan tillämpas på filer.

Diagram som visar principerna för att hantera SaaS-appar i Defender för molnet-appar.

I följande tabell visas den nya princip för villkorlig åtkomst som du måste skapa i Microsoft Entra-ID.

Skyddsnivå Policy Mer information
Alla skyddsnivåer Använda appkontroll för villkorsstyrd åtkomst i Defender för molnet-appar Detta konfigurerar din IdP (Microsoft Entra ID) för att fungera med Defender för molnet Apps.

I nästa tabell visas de exempelprinciper som visas ovan som du kan skapa för att skydda alla SaaS-appar. Se till att utvärdera dina egna affärs-, säkerhets- och efterlevnadsmål och skapa sedan principer som ger det lämpligaste skyddet för din miljö.

Skyddsnivå Policy
Utgångspunkt Övervaka trafik från ohanterade enheter

Lägga till skydd för filnedladdningar från ohanterade enheter

Stora företag Blockera nedladdning av filer märkta med känsliga eller klassificerade från ohanterade enheter (detta ger endast åtkomst till webbläsaren)
Specialiserad säkerhet Blockera nedladdning av filer märkta med klassificerade från alla enheter (detta ger endast åtkomst till webbläsaren)

Instruktioner från slutpunkt till slutpunkt för att konfigurera appkontroll för villkorsstyrd åtkomst finns i Distribuera appkontroll för villkorsstyrd åtkomst för aktuella appar. Den här artikeln beskriver hur du skapar den nödvändiga principen för villkorlig åtkomst i Microsoft Entra-ID och testar dina SaaS-appar.

Mer information finns i Skydda appar med Microsoft Defender för molnet Appkontroll för villkorlig åtkomst.

Finjustera skydd för specifika SaaS-appar

Du kanske vill använda ytterligare övervakning och kontroller för specifika SaaS-appar i din miljö. Defender för molnet Apps kan du göra detta. Om till exempel en app som Box används mycket i din miljö är det klokt att använda fler kontroller. Eller om din juridiska avdelning eller ekonomiavdelning använder en specifik SaaS-app för känsliga affärsdata kan du rikta extra skydd mot dessa appar.

Du kan till exempel skydda Din Box-miljö med dessa typer av inbyggda principmallar för avvikelseidentifiering:

  • Aktivitet från anonyma IP-adresser
  • Aktivitet från sällan förekommande land/region
  • Aktivitet från misstänkta IP-adresser
  • Omöjlig resa
  • Aktivitet som utförs av avslutad användare (kräver Microsoft Entra-ID som IdP)
  • Identifiering av skadlig kod
  • Flera misslyckade inloggningsförsök
  • Utpressningstrojanaktivitet
  • Riskfylld Oauth-app
  • Ovanlig filresursaktivitet

Det här är exempel. Ytterligare principmallar läggs till regelbundet. Exempel på hur du tillämpar ytterligare skydd på specifika appar finns i Skydda anslutna appar.

Hur Defender för molnet Apps hjälper till att skydda din Box-miljö visar vilka typer av kontroller som kan hjälpa dig att skydda dina affärsdata i Box och andra appar med känsliga data.

Konfigurera dataförlustskydd (DLP) för att uppfylla dataskyddsreglerna

Defender för molnet Appar kan vara ett värdefullt verktyg för att konfigurera skydd för efterlevnadsregler. I det här fallet skapar du specifika principer för att söka efter specifika data som en förordning gäller för och konfigurera varje princip för att vidta lämpliga åtgärder.

Följande bild och tabell innehåller flera exempel på principer som kan konfigureras för att följa den allmänna dataskyddsförordningen (GDPR). I de här exemplen letar principer efter specifika data. Baserat på känsligheten för data är varje princip konfigurerad för att vidta lämpliga åtgärder.

Diagram som visar sidan Defender för molnet Apps-principer för dataförlustskydd.

Skyddsnivå Exempelprinciper
Utgångspunkt Avisering när filer som innehåller den här typen av känslig information ("Kreditkortsnummer") delas utanför organisationen

Blockera nedladdningar av filer som innehåller den här typen av känslig information ("Kreditkortsnummer") till ohanterade enheter

Stora företag Skydda nedladdningar av filer som innehåller den här typen av känslig information ("Kreditkortsnummer") till hanterade enheter

Blockera nedladdningar av filer som innehåller den här typen av känslig information ("Kreditkortsnummer") till ohanterade enheter

Avisering när en fil med på dessa etiketter laddas upp till OneDrive för företag eller Box (Kunddata, Personal: Lönedata, Personal, Personal, Anställdas data)

Specialiserad säkerhet Avisering när filer med den här etiketten ("Högklassificerad") laddas ned till hanterade enheter

Blockera nedladdningar av filer med den här etiketten ("Högklassificerad") till ohanterade enheter

Nästa steg

Mer information om hur du använder Defender för molnet-appar finns i dokumentationen om Microsoft Defender för molnet Apps.