使用 Microsoft Defender for Cloud Apps 条件访问应用控制保护应用

注意

  • 我们重命名了Microsoft Cloud App Security。 现在称为Microsoft Defender for Cloud Apps。 在接下来的几周内,我们将更新此处和相关页面中的屏幕截图和说明。 有关更改的详细信息,请参阅 此公告。 若要了解有关 Microsoft 安全服务最近重命名的详细信息,请参阅 Microsoft Ignite Security 博客

  • Microsoft Defender for Cloud Apps现在是Microsoft 365 Defender的一部分。 Microsoft 365 Defender门户允许安全管理员在一个位置执行其安全任务。 这将简化工作流,并添加其他Microsoft 365 Defender服务的功能。 Microsoft 365 Defender是监视和管理 Microsoft 标识、数据、设备、应用和基础结构安全性的主场。 有关这些更改的详细信息,请参阅Microsoft 365 Defender中的Microsoft Defender for Cloud Apps

在当今的工作场所中,在事实发生后,通常还不足以知道云环境中发生的情况。 你希望在员工有意或无意中将数据和组织置于风险中之前,就能够及时阻止安全漏洞和泄密。 使组织中的用户能够充分利用云应用中的服务和工具,并让他们将自己的设备用于工作,这一点很重要。 同时,需要工具来实时帮助保护组织免受数据泄漏、数据窃取的侵害。 Microsoft Defender for Cloud Apps与 IdP (的任何标识提供者集成) ,以通过访问和会话控制提供这些功能。 如果使用 Azure Active Directory (Azure AD) 作为 IdP,这些控件会集成和简化,以便基于 Azure AD 的条件访问工具构建的更简单、更定制部署。

注意

  • 除了有效的Defender for Cloud应用许可证外,若要使用Defender for Cloud应用条件访问应用控制,还需要Azure Active Directory P1 许可证或 IdP 解决方案所需的许可证。

工作原理

条件访问应用控制使用反向代理体系结构,并与 IdP 集成。 与 Azure AD 条件访问集成时,只需单击几下鼠标即可将应用配置为使用条件访问应用控制,以便根据条件访问中的任何条件轻松、有选择地强制实施对组织的应用的访问和会话控制。 条件定义 (用户或用户组) 以及 (哪些云应用) 以及 (哪些位置和网络) 应用条件访问策略的位置和网络。 确定条件后,可以将用户路由到Defender for Cloud应用,通过应用访问和会话控件,可以使用条件访问应用控制来保护数据。

借助条件访问应用控制,可以根据访问和会话策略实时监视与控制用户应用访问和会话。 访问和会话策略在 Defender for Cloud Apps 门户中用于进一步优化筛选器并设置要针对用户采取的操作。 使用访问和会话策略可以:

  • 防止数据外泄:可以阻止下载、剪切、复制和打印敏感文档,例如非托管设备。

  • 需要身份验证上下文:当会话中发生敏感操作时,可以重新评估 Azure AD 条件访问策略。 例如,在下载高度机密文件时需要多重身份验证。

  • 在下载时保护:无需阻止下载敏感文档,在与Microsoft Purview 信息保护集成时,可以要求对文档进行标记和加密。 此操作可确保文档受到保护,并在有潜在风险的会话中限制用户访问。

  • 防止上传未标记的文件:在其他人上传、分发和使用敏感文件之前,请务必确保敏感文件具有组织策略定义的标签。 在用户对内容进行分类之前,可以确保阻止上传包含敏感内容的不带标签的文件。

  • 阻止潜在的恶意软件:可以通过阻止上传潜在的恶意文件来保护环境免受恶意软件的侵害。 可以针对 Microsoft 威胁情报扫描上传或下载的任何文件,并即时阻止。

  • 监视用户会话以符合性:登录应用时会监视有风险的用户,并在会话中记录其操作。 可以调查和分析用户的行为,以了解将来应在何处、在何种条件下应用会话策略。

  • 阻止访问:可以根据多种风险因素,精细地阻止特定应用和用户的访问。 例如,如果它们使用客户端证书作为设备管理的一种形式,则可以阻止它们。

  • 阻止自定义活动:某些应用具有具有风险的独特方案,例如,在Microsoft Teams或 Slack 等应用中发送具有敏感内容的消息。 在此类场景中,可以扫描消息中的敏感内容并实时阻止。

会话控制的工作方式

使用条件访问应用控制创建会话策略使你能够控制用户会话,方法是通过反向代理重定向用户,而不是直接重定向到应用。 从此,用户请求和响应将通过Defender for Cloud应用而不是直接转到应用。

当会话受代理保护时,所有相关 URL 和 Cookie 都替换为Defender for Cloud应用。 例如,如果应用返回一个页面,其中包含其域结尾 myapp.com的链接,则链接的域后缀为类似 *.mcas.ms内容,如下所示:

应用 URL 替换的 URL
myapp.com myapp.com.mcas.ms

当监视或控制来自非托管设备或合作伙伴用户的会话时,此方法不需要在设备上安装任何内容。

注意

  • 我们的技术使用一流的专利启发法来识别和控制目标应用中用户执行的活动。 我们的启发式设计为优化和平衡安全性与可用性。 在一些极少数情况下,当服务器端阻止活动呈现应用不可用时,我们仅在客户端保护这些活动,这使得这些活动可能容易受到恶意内部人员的攻击。
  • Defender for Cloud应用利用世界各地的 Azure 数据中心通过地理位置提供优化的性能。 也就是说,用户会话可能会托管在特定区域之外,具体视流量模式及其位置而定。 不过,为了保护你的隐私,会话数据不会存储在这些数据中心内。
  • 我们的代理服务器不会静态存储数据。 缓存内容时,我们遵循 RFC 7234 (HTTP 缓存 ) 和仅缓存公共内容的要求。

受管理设备标识

利用条件访问应用控制可创建考虑设备是否受管理的策略。 若要确定设备的状态,可以配置访问和会话策略以检查:

  • Microsoft Intune合规设备 [仅适用于 Azure AD]
  • 加入了混合 Azure AD 的设备 [仅适合使用 Azure AD 的情况]
  • 受信任链中是否存在客户端证书

Intune合规和已加入混合 Azure AD 的设备

Azure AD 条件访问使Intune合规和混合 Azure AD 联接的设备信息直接传递到Defender for Cloud应用。 以后就可以制定使用设备状态作为筛选器的访问策略或会话策略。 有关详细信息,请参阅 Azure Active Directory 中的设备管理简介

注意

某些浏览器可能需要其他配置,例如安装扩展。 有关详细信息,请参阅 条件访问浏览器支持

经过客户端证书验证的设备

设备标识机制可使用客户端证书向相关设备请求身份验证。 可以使用已在组织中部署的现有客户端证书,也可以将新的客户端证书迁出到受管理设备。 确保客户端证书安装在用户存储中,而不是计算机存储中。 然后,就可以使用这些证书来设置访问和会话策略。

SSL 客户端证书通过信任链进行验证。 可以上传 X.509 根或中间证书颁发机构, (CA) 采用 PEM 证书格式。 这些证书必须包含 CA 的公钥,然后用于对会话期间提供的客户端证书进行签名。

上传证书并配置相关策略后,当适用的会话遍历条件访问应用控制时,Defender for Cloud应用终结点请求浏览器提供 SSL 客户端证书。 浏览器提供使用私钥安装的 SSL 客户端证书。 使用 PKCS #12 文件格式(通常是 .p12 或 .pfx)完成此证书和私钥的组合。

执行客户端证书检查后,Defender for Cloud应用会检查以下条件:

  1. 所选客户端证书有效,位于正确的根或中间 CA 下。
  2. 如果) 启用了 CRL,则证书不会 (吊销。

注意

大多数主要浏览器都支持执行客户端证书检查。 但是,移动和桌面应用通常利用可能不支持此检查的内置浏览器,从而影响这些应用的身份验证。

若要配置策略以通过客户端证书利用设备管理,请执行以下操作:

  1. 在Defender for Cloud应用中,在菜单栏中,选择设置齿轮settings icon.并选择设置

  2. 选择 “设备标识 ”选项卡。

  3. Upload所需的根证书或中间证书数。

    提示

    若要测试其工作原理,可以使用示例根 CA 和客户端证书,如下所示:

    1. 下载示例 根 CA客户端证书
    2. Upload根 CA 以Defender for Cloud应用。
    3. 将客户端证书 (密码=Microsoft) 安装到相关设备上。

上传证书后,可以根据 设备标记有效客户端证书创建访问和会话策略。

受支持的应用和客户端

会话和访问控制可以应用于任何交互式单一登录,使用 SAML 2.0 身份验证协议,或者,如果使用 Azure AD,则 Open ID 连接身份验证协议。 此外,如果应用配置了 Azure AD,还可以将这些控件应用于使用 Azure AD 应用代理配置的本地托管应用。 此外,访问控制可以应用于本机移动和桌面客户端应用。

Defender for Cloud应用使用其云应用目录中提供的信息标识应用。 某些组织和用户通过添加插件来自定义应用。 但是,为了使会话控件能够正确使用这些插件,必须将关联的自定义域添加到目录中的相应应用。

注意

Authenticator 应用和其他原生客户端应用登录流都使用非交互式登录流,不能与访问控制一起使用。

访问控制

许多组织选择使用云应用的会话控制来控制会话内活动,还应用访问控制来阻止同一组本机移动和桌面客户端应用,从而为应用提供全面的安全性。

可以通过将 客户端应用 筛选器设置为 “移动”和“桌面”来阻止访问本机移动和桌面客户端应用的访问权限。 某些本机客户端应用可以单独识别,而属于一组应用的其他应用只能标识为其顶级应用。 例如,只能通过创建应用于Office 365应用的访问策略来识别 SharePoint Online 等应用。

注意

除非 客户端应用 筛选器专门设置为 移动和桌面,否则生成的访问策略将仅适用于浏览器会话。 这样做的原因是防止无意中代理用户会话,这可能是使用此筛选器的副产品。 虽然大多数主要浏览器支持执行客户端证书检查,但某些移动和桌面应用使用可能不支持此检查的内置浏览器。 因此,使用此筛选器可能会影响这些应用的身份验证。

会话控制

虽然会话控件旨在与任何操作系统上任何主要平台上的任何浏览器配合使用,但我们支持Microsoft Edge (最新的) 、Google Chrome (最新) 、Mozilla Firefox (最新) 或 Apple Safari (最新) 。 还可以阻止或允许访问移动和桌面应用。

注意

  • Defender for Cloud应用使用传输层安全性 (TLS) 协议 1.2+ 来提供一流的加密。 使用会话控制配置时,不支持 TLS 1.2+ 的本机客户端应用和浏览器将无法访问。 但是,使用 TLS 1.1 或更低版本的 SaaS 应用会在浏览器中显示为使用 TLS 1.2+ 配置Defender for Cloud应用。
  • 若要将会话控件应用于 portal.office.com,必须载入Microsoft 365 管理中心。 有关载入应用的详细信息,请参阅 为任何应用载入和部署条件访问应用控制

预载入的应用

可以使用 前面提到的身份验证协议 配置的任何 Web 应用加入,以使用访问和会话控制。 此外,以下应用已载入 Azure Access Directory 的访问和会话控制。

注意

需要将所需应用程序路由到访问和会话控件,并执行第一次登录。

  • AWS
  • Box
  • Concur
  • CornerStone on Demand
  • DocuSign
  • Dropbox
  • Egnyte
  • GitHub
  • Google Workspace
  • HighQ
  • JIRA/Confluence
  • LinkedIn Learning
  • Microsoft Azure DevOps (Visual Studio Team Services)
  • Microsoft Azure 门户
  • Microsoft Dynamics 365 CRM
  • Microsoft Exchange Online
  • Microsoft OneDrive for Business
  • Microsoft Power BI
  • Microsoft Office SharePoint Online
  • Microsoft Teams
  • Microsoft Yammer
  • Salesforce
  • ServiceNow
  • Slack
  • Tableau
  • Workday
  • Workiva
  • 来自 Meta 的工作区

如果你对预载入的特定应用感兴趣, 请向我们发送有关该应用的详细信息。 请务必发送你有兴趣加入它的用例。

已知的限制

  • 可以使用嵌入式会话令牌绕过代理
    在应用程序本身在链接中嵌入令牌的情况下,可以绕过代理。 最终用户可以复制链接并直接访问该情况中的资源。

  • 可以使用开发人员工具绕过复制/剪切策略
    可以使用浏览器开发人员工具绕过定义的复制/剪切策略。 例如,在阻止内容复制Microsoft Word的策略中,可以使用开发人员工具查看内容,从那里复制内容,然后绕过代理。

  • 可以通过参数更改绕过代理
    可以通过修改参数绕过定义的会话策略。 例如,可以更改 URL 参数,并误导服务的方式绕过代理并启用敏感文件的下载。

  • 浏览器插件限制
    我们当前的条件访问应用控制会话限制强制解决方案不支持本机应用程序,因为它需要对基础应用程序代码进行一些修改。 浏览器扩展(类似于本机应用)在浏览器中预安装,因此不允许我们根据需要修改代码,并在令牌通过代理解决方案重定向令牌时中断。 作为管理员,可以在无法强制实施策略时定义默认系统行为,并在允许访问或完全阻止它之间进行选择。

  • 上下文丢失
    在以下应用程序中,我们遇到了导航到链接可能会导致链接的完整路径丢失,并且通常用户登录到应用的主页。

    • ArcGIS
    • GitHub
    • Microsoft Dynamics 365 CRM
    • Microsoft Power Automate
    • Microsoft Power Apps
    • Microsoft Power BI
    • Microsoft Yammer
    • 来自 Meta 的工作区
  • 检查策略对大小高达 5 MB 的文件有效,字符数为 100 万个字符

    应用基于内容检查阻止文件上传或下载的会话策略时,对小于 5 MB 且小于 100 万个字符的文件执行检查。

    例如,管理员可以定义以下会话策略之一:

    • 阻止文件上传包含社会安全号码 (SSN)
    • 阻止文件下载包含 PHI (受保护的运行状况信息的文件) 在这种情况下,不会扫描大于 5 MB 或 100 万个字符的文件,并且根据 始终应用所选操作的策略设置进行处理,即使无法扫描数据也是如此。

    下面是一些示例:

    • TXT 文件、1 MB 大小和 100 万个字符:将扫描
    • TXT 文件,2 MB 大小和 200 万个字符:不会扫描
    • 由图像和文本组成的 Word 文件,大小为 4 MB 和 400 K 个字符:将扫描
    • 由图像和文本组成的 Word 文件,大小为 4 MB 和 200 万个字符:不会扫描

    文件大小阈值最多可配置为 50 MB (从 5 MB) 。 这样,就可以扫描包含最多 100 万个字符的文本和非文本对象的文件。

    限制的原因是应扫描大量数据以检测敏感信息。 在这种情况下,Microsoft 的建议是测试具有有限数量的用户的策略,然后扩展到整个组织。

后续步骤

有关如何载入应用的说明,请参阅以下相应文档:

若遇到任何问题,可随时向我们寻求帮助。 若要获取帮助或支持以解决产品问题,请打开支持票证