Microsoft Defender for Cloud Apps 中的条件访问应用控制

在当今的工作区中,知道云环境中幕后发生的情况是不够的。 需要实时阻止漏洞和泄漏。 还需要防止员工有意或无意地将数据和组织置于风险之中。

您希望支持组织中的用户,让他们使用可用的最佳云应用并自带设备工作。 但是,您还需要工具来实时保护您的组织免遭数据泄露和盗窃。 Microsoft Defender for Cloud Apps 与任何标识提供者 (IdP) 集成,通过访问会话策略提供此保护。

例如:

  • 使用访问策略可以:

    • 阻止非管理的设备用户访问 Salesforce。
    • 阻止本机客户端访问 Dropbox。
  • 使用会话策略可以

    • 阻止将敏感文件从 OneDrive 下载到非管理的设备。
    • 阻止将恶意软件文件上传到 SharePoint Online。

Microsoft Edge 用户受益于直接的浏览器内保护。 浏览器地址栏上的锁 图标指示此保护。

其他浏览器的用户通过反向代理被重定向到 Defender for Cloud Apps。 这些浏览器在链接的 URL 中显示 *.mcas.ms 后缀。 例如,如果应用 URL 为 myapp.com,则会将应用 URL 更新为 myapp.com.mcas.ms

本文通过 Microsoft Entra 条件访问策略介绍 Defender for Cloud Apps 中的条件访问应用控制。

条件访问应用控制中的活动

条件访问应用控制使用访问策略和会话策略在整个组织中实时监视和控制用户应用访问和会话。

每项策略都有条件来定义应用策略的人员(用户或用户组)、对象(哪个云应用程序)和位置(哪个位置和网络)。 确定条件后,先将用户路由到 Defender for Cloud Apps。 在那里,可以应用访问和会话控件来帮助保护数据。

访问和会话策略包括以下类型的活动:

活动 说明
阻止数据渗透 (例如)在非管理的设备上阻止下载、剪切、复制和打印敏感文档。
要求身份验证上下文 当会话中发生敏感操作(例如需要多重身份验证)时重新评估 Microsoft Entra 条件访问策略。
下载时保护 与 Microsoft Purview Information Protection 集成后,与其阻止下载敏感文档,不如要求对文档进行标记和加密。 此操作有助于保护文档,并在有潜在风险的会话中限制用户访问。
阻止上传未标记文件 在用户对内容进行分类之前,确保阻止上传具有敏感内容的不带标签的文件。 在用户上传、分发或使用敏感文件之前,该文件必须具有组织策略定义的标签。
阻止潜在的恶意软件 通过阻止上传潜在恶意文件来帮助保护环境免受恶意软件的侵害。 用户尝试上传或下载的文件都可以使用 Microsoft 威胁情报进行扫描并立即阻止。
监视用户会话的合规性 调查和分析用户的行为,以了解将来应在何处、在何种条件下应用会话策略。 有风险的用户在登录应用时会受到监视,并且在会话内记录其操作。
阻止访问 根据多种风险因素,以不同的粒度阻止特定应用和用户的访问。 例如,如果它们使用客户端证书作为设备管理的一种形式,则可以阻止它们。
阻止自定义活动 某些应用具有含风险的独特方案。 例如,在 Microsoft Teams 或 Slack 等应用中发送包含敏感内容的消息。 在此类场景中,扫描消息中的敏感内容并实时阻止。

有关详细信息,请参阅:

可用性

条件访问应用控制不需要在设备上安装任何内容,因此非常适合监视或控制来自非管理的设备或合作伙伴用户的会话。

Defender for Cloud 应用使用专利启发式方法来识别和控制目标应用中的用户活动。 启发式方法旨在优化和平衡安全性与可用性。

在某些罕见情况下,阻止服务器端的活动会使应用不可用,因此组织仅在客户端保护这些活动。 此方法使它们可能容易受到恶意内部人士的利用。

系统性能和数据存储

Defender for Cloud Apps 使用世界各地的 Azure 数据中心,通过地理位置提供优化的性能。 用户会话可能托管在某个特定区域之外,具体取决于流量模式及其位置。 但是,为了帮助保护用户隐私,这些数据中心不会存储任何会话数据。

Defender for Cloud Apps 代理服务器不会存储静态数据。 缓存内容时,我们遵循 RFC 7234(HTTP 缓存)中规定的要求,并且仅缓存公共内容。

受支持的应用和客户端

对使用 SAML 2.0 身份验证协议的任何交互式单一登录应用会话和访问权限。 内置移动和桌面客户端应用也支持访问控制。

此外,如果您使用的是 Microsoft Entra ID 应用,请将会话和访问控制应用于:

Microsoft Entra ID 应用也会自动加入条件访问应用控制,而使用其他 IdP 的应用必须手动加入

Defender for Cloud Apps 使用云应用目录中的数据标识应用。 如果已使用插件自定义应用,则必须将任何关联的自定义域添加到目录中的相关应用中。 有关详细信息,请参阅 查找云应用并计算风险分数

注意

不能将已安装的具有非交互式登录流(例如 Authenticator 应用和其他内置应用)的应用用于访问控制。 在这种情况下,建议除了 Microsoft Defender for Cloud Apps 访问策略外,还要在 Microsoft Entra 管理中心制定访问策略

会话控制支持范围

虽然会话控件旨在与任何操作系统上任何主要平台上的任何浏览器一起使用而构建的,但我们支持以下浏览器的最新版本:

Microsoft Edge 用户受益于浏览器内保护,而无需重定向到反向代理。 有关详细信息,请参阅 Microsoft Edge for Business (预览版)的浏览器内保护

TLS 1.2+ 的应用支持

Defender for Cloud Apps 使用传输层安全性(TLS)1.2+ 协议提供加密。 使用会话控制配置不支持 TLS 1.2+ 的内置客户端应用和浏览器时,将无法访问它们。

但是,使用 Defender for Cloud Apps 配置使用 TLS 1.1 或更低版本的软件即服务 (SaaS) 应用时,它们在浏览器中显示为使用 TLS 1.2+。