使用条件访问应用控件保护数据和应用
Cloud Discovery 可以帮助你在事后了解云环境中发生了什么。 虽然这个过程很重要,但主要目标是在违规和泄漏给贵组织带来风险之前,实时阻止它们。 在使用户能够在保护组织免受数据泄漏和数据盗窃的同时,还需要一种使设备正常工作的方法。 Microsoft Defender for Cloud Apps 与标识提供者 (IdP) 集成,通过条件访问应用控制的访问和会话控制来保护数据和设备。 如果使用 Microsoft Entra ID 作为 IdP,则这些控件将直接集成到 Defender for Cloud Apps。
条件访问应用控制允许你实时监视和控制用户应用程序访问和会话。 通过与 Microsoft Entra 条件访问集成,可以轻松地将应用配置为使用条件访问应用控制。 它允许你根据条件访问中的任何条件对组织的应用选择性地强制执行访问和会话控制。 可使用条件来定义应用条件访问策略的用户(用户或用户组)、内容(哪些云应用)和位置(哪些位置和网络)。 确定条件后,可以将用户路由到 Microsoft Defender for Cloud Apps,在其中通过应用访问和会话控制,使用条件访问应用控制来保护数据。
Microsoft Entra ID包括内置策略,你可以为轻松部署配置这些策略。 在 Microsoft Entra ID 中配置条件访问策略的条件后,选择“访问控制”下的“会话”,然后单击“使用条件访问应用控制”。 如果选择使用自定义控件,将在 Microsoft Defender for Cloud Apps 门户中定义它们。
可以使用 Microsoft Defender for Cloud Apps 门户中的访问和会话策略来进一步优化筛选器并设置要对用户执行的操作。 使用访问和会话策略,您可以:
- 防止数据外泄:阻止在非托管设备上下载、剪切、复制和打印敏感文档。
- 下载时保护:可以要求使用 Azure 信息保护对敏感文档进行标记和保护,而不是阻止敏感文档的下载。 此操作可确保文档受到保护,并且在可能有风险的会话中限制用户访问。
- 防止上传未标记的文件:强制使用标签。 在上传、分发敏感文件并供他人使用之前,确保该文件具有正确的标签和保护非常重要。 直到内容被分类前,你可以阻止文件上载。
- 监视用户会话的遵从性:当有风险的用户登录到应用时监视他们,并在会话中记录其操作。 可以调查和分析用户行为,以了解将来在何处以及在什么条件下应用会话策略。
- 阻止访问:可以根据多种风险因素阻止特定应用和用户的访问。 例如,如果用户使用客户端证书作为设备管理的一种形式,则可以阻止该用户。
- 阻止自定义活动:某些应用具有带风险的独特方案;例如,在Microsoft Teams 或 Slack 等应用中发送带有敏感内容的消息。 在这种情况下,可以扫描邮件中的敏感内容并实时阻止它们。
例如,在 Microsoft Teams 中创建阻止包含敏感内容的即时消息会话策略。 假设以前创建了条件访问策略,并在“使用条件访问应用控制”下设置了“使用自定义控件”,那么需要首先在 Microsoft Defender for Cloud Apps 中创建新会话策略。
将为新会话策略使用现有模板。 选择“根据实时内容检查阻止发送消息”策略模板。
在会话策略的“活动源”下,选择“发送 Teams 消息“作为应用。
然后启用内容检查,将敏感信息定义为匹配当前表达式、自定义表达式或任何正则表达式。 定义表达式后,选择“操作”下的“阻止”以阻止消息,并创建通知管理员的警报。
现在,当用户尝试在 Teams 中发送敏感消息时,他们将看到通知。