Řízení podmíněného přístupu k aplikacím v Microsoft Defender for Cloud Apps
Na dnešním pracovišti nestačí vědět, co se po této skutečnosti stalo ve vašem cloudovém prostředí. Porušení a úniky potřebujete zastavit v reálném čase. Je také potřeba zabránit zaměstnancům, aby záměrně nebo omylem ohrozili vaše data a organizaci.
Chcete podporovat uživatele ve vaší organizaci při používání nejlepších dostupných cloudových aplikací a používání vlastních zařízení do práce. Potřebujete ale také nástroje, které vaši organizaci ochrání před únikem dat a krádežemi v reálném čase. Microsoft Defender for Cloud Apps se integruje s libovolným zprostředkovatelem identity (IdP), aby tuto ochranu zajistil pomocí zásad přístupu a relací.
Příklady:
Zásady přístupu slouží k těmto:
- Zablokujte přístup k Salesforce pro uživatele nespravovaných zařízení.
- Blokovat přístup k Dropboxu pro nativní klienty
Zásady relací slouží k:
- Blokování stahování citlivých souborů z OneDrivu do nespravovaných zařízení
- Blokovat nahrávání souborů malwaru do SharePointu Online
Uživatelé aplikace Microsoft Edge těží z přímé ochrany v prohlížeči. Tuto ochranu označuje ikona zámku 
na panelu Adresa prohlížeče.
Uživatelé jiných prohlížečů jsou přes reverzní proxy přesměrovaní na Defender for Cloud Apps. Tyto prohlížeče zobrazují *.mcas.ms příponu v adrese URL odkazu. Pokud je myapp.comnapříklad adresa URL aplikace , adresa URL aplikace se aktualizuje na myapp.com.mcas.ms.
Tento článek popisuje řízení podmíněného přístupu k aplikacím v Defender for Cloud Apps prostřednictvím zásad podmíněného přístupu Microsoft Entra.
Aktivity v řízení podmíněného přístupu k aplikacím
Řízení podmíněného přístupu k aplikacím používá zásady přístupu a zásady relací k monitorování a řízení přístupu k uživatelským aplikacím a relacím v reálném čase v rámci vaší organizace.
Každá zásada má podmínky, které definují , kdo (který uživatel nebo skupina uživatelů), co (které cloudové aplikace) a kde (pro která umístění a sítě) se zásada použije. Po určení podmínek nejprve směrujte uživatele na Defender for Cloud Apps. Tam můžete použít řízení přístupu a relací, které vám pomůžou chránit vaše data.
Zásady přístupu a relací zahrnují následující typy aktivit:
| Activity | Popis |
|---|---|
| Zabránění exfiltraci dat | Blokovat stahování, vyjmutí, kopírování a tisk citlivých dokumentů na nespravovaných zařízeních (například). |
| Vyžadovat kontext ověřování | Pokud v relaci dojde k citlivé akci, například vyžadování vícefaktorového ověřování, znovu Microsoft Entra zásady podmíněného přístupu. |
| Ochrana při stahování | Při integraci s Microsoft Purview Information Protection místo blokování stahování citlivých dokumentů je potřeba, aby byly dokumenty označené a zašifrované. Tato akce pomáhá chránit dokument a omezit přístup uživatelů v potenciálně rizikové relaci. |
| Zabránit nahrávání neoznačeného souboru | Zajistěte, aby nahrávání neoznačené soubory s citlivým obsahem bylo blokováno, dokud uživatel obsah klasifikuje. Než uživatel nahraje, distribuuje nebo použije citlivý soubor, musí mít popisek definovaný zásadami vaší organizace. |
| Blokování potenciálního malwaru | Pomozte chránit své prostředí před malwarem blokováním nahrávání potenciálně škodlivých souborů. Všechny soubory, které se uživatel pokusí nahrát nebo stáhnout, je možné okamžitě zkontrolovat v nástroji Microsoft Threat Intelligence a zablokovat ho. |
| Monitorování dodržování předpisů uživatelskými relacemi | Prozkoumejte a analyzujte chování uživatelů, abyste pochopili, kde a za jakých podmínek by se zásady relací měly v budoucnu použít. Rizikoví uživatelé jsou monitorováni, když se přihlašují k aplikacím, a jejich akce se protokolují v rámci relace. |
| Blokovat přístup | Odstupňujte blokování přístupu pro konkrétní aplikace a uživatele v závislosti na několika rizikových faktorech. Můžete je například zablokovat, pokud používají klientské certifikáty jako formu správy zařízení. |
| Blokování vlastních aktivit | Některé aplikace mají jedinečné scénáře, které s sebou nesou riziko. Příkladem je odesílání zpráv s citlivým obsahem v aplikacích, jako je Microsoft Teams nebo Slack. V těchto typech scénářů můžete ve zprávách vyhledávat citlivý obsah a blokovat ho v reálném čase. |
Další informace najdete tady:
- Vytvoření zásad Microsoft Defender for Cloud Apps přístupu
- Vytvoření zásad relace Microsoft Defender for Cloud Apps
Použitelnost
Řízení podmíněného přístupu k aplikacím nevyžaduje, abyste na zařízení nic nainstalovali, takže je ideální, když monitorujete nebo řídíte relace nespravovaných zařízení nebo partnerských uživatelů.
Defender for Cloud Apps používá k identifikaci a řízení aktivit uživatelů v cílové aplikaci patentovanou heuristiku. Heuristika je navržená tak, aby optimalizovala a vyvažoval zabezpečení a použitelnost.
V některých vzácných scénářích se blokováním aktivit na straně serveru aplikace stane nepoužitelnou, takže organizace tyto aktivity zabezpečují jenom na straně klienta. Díky tomuto přístupu jsou potenciálně náchylní ke zneužití ze strany účastníků programu Insider se zlými úmysly.
Výkon systému a úložiště dat
Defender for Cloud Apps používá datacentra Azure po celém světě k zajištění optimalizovaného výkonu prostřednictvím geografické polohy. Relace uživatele může být hostovaná mimo konkrétní oblast v závislosti na vzorcích provozu a jeho umístění. Kvůli ochraně osobních údajů uživatelů ale tato datacentra neukládají žádná data relací.
Defender for Cloud Apps proxy servery neukládají neaktivní uložená data. Při ukládání obsahu do mezipaměti dodržujeme požadavky stanovené v dokumentu RFC 7234 (ukládání do mezipaměti HTTP) a ukládáme do mezipaměti pouze veřejný obsah.
Podporované aplikace a klienti
Použijte řízení relací a přístupu na jakékoli interaktivní jednotné přihlašování, které používá ověřovací protokol SAML 2.0. Řízení přístupu je také podporováno pro integrované mobilní a desktopové klientské aplikace.
Pokud navíc používáte Microsoft Entra ID aplikace, použijte řízení relací a přístupu na:
- Jakékoli interaktivní jednotné přihlašování, které používá ověřovací protokol OpenID Connect.
- Aplikace hostované místně a nakonfigurované pomocí Microsoft Entra proxy aplikací
Microsoft Entra ID aplikace se také automaticky onboardují pro řízení podmíněného přístupu aplikací, zatímco aplikace, které používají jiné zprostředkovatele identity, musí být onboardovány ručně.
Defender for Cloud Apps identifikuje aplikace pomocí dat z katalogu cloudových aplikací. Pokud jste aplikace přizpůsobili pomocí modulů plug-in, musíte do příslušné aplikace v katalogu přidat všechny přidružené vlastní domény. Další informace najdete v tématu Vyhledání cloudové aplikace a výpočet rizikových skóre.
Poznámka
Nemůžete používat nainstalované aplikace, které mají neinteraktivní toky přihlašování, jako je aplikace Authenticator a další integrované aplikace, s řízením přístupu. V takovém případě doporučujeme kromě zásad přístupu Microsoft Defender for Cloud Apps vytvořit zásady přístupu v Centrum pro správu Microsoft Entra.
Rozsah podpory pro řízení relací
Přestože jsou ovládací prvky relací vytvořené tak, aby fungovaly s libovolným prohlížečem na libovolné hlavní platformě operačního systému, podporujeme nejnovější verze následujících prohlížečů:
Uživatelé prohlížeče Microsoft Edge využívají ochranu v prohlížeči, aniž by museli přesměrovávat na reverzní proxy server. Další informace najdete v tématu Ochrana v prohlížeči pomocí Microsoft Edge pro firmy (Preview).
Podpora aplikací pro PROTOKOL TLS 1.2 nebo novější
Defender for Cloud Apps k poskytování šifrování používá protokoly TLS (Transport Layer Security) 1.2 nebo novější. Integrované klientské aplikace a prohlížeče, které nepodporují protokol TLS 1.2 nebo novější, nejsou dostupné, když pro ně nakonfigurujete řízení relací.
Aplikace saaS (software jako služba), které používají protokol TLS 1.1 nebo starší, se ale v prohlížeči zobrazí jako používající protokol TLS 1.2 nebo novější, když je nakonfigurujete pomocí Defender for Cloud Apps.