Appkontrol med betinget adgang i Microsoft Defender for Cloud Apps
På nutidens arbejdsplads er det ikke nok at vide, hvad der skete i dit cloudmiljø efter det. Du skal stoppe brud og lækager i realtid. Du skal også forhindre medarbejdere i bevidst eller utilsigtet at udsætte dine data og din organisation for fare.
Du vil gerne understøtte brugerne i din organisation, mens de bruger de bedste tilgængelige cloudapps og får deres egne enheder til at fungere. Du skal dog også bruge værktøjer til at beskytte din organisation mod datalækager og tyveri i realtid. Microsoft Defender for Cloud Apps integreres med en hvilken som helst idP (Identitetsudbyder) for at levere denne beskyttelse med adgangs- og sessionspolitikker.
Det kan f.eks. være:
Brug adgangspolitikker til at:
- Bloker adgang til Salesforce for brugere af ikke-administrerede enheder.
- Bloker adgang til Dropbox for oprindelige klienter.
Brug sessionspolitikker til at:
- Bloker downloads af følsomme filer fra OneDrive til ikke-administrerede enheder.
- Bloker upload af malwarefiler til SharePoint Online.
Microsoft Edge-brugere drager fordel af direkte beskyttelse i browseren. Et låseikon 
på browserens adresselinje angiver denne beskyttelse.
Brugere af andre browsere omdirigeres via omvendt proxy til Defender for Cloud Apps. Disse browsere viser et *.mcas.ms suffiks i linkets URL-adresse. Hvis appens URL-adresse f.eks. er myapp.com, opdateres URL-adressen til appen til myapp.com.mcas.ms.
I denne artikel beskrives kontrolelementet Betinget adgang i Defender for Cloud Apps via Microsoft Entra politikker for betinget adgang.
Aktiviteter i appen Betinget adgang
Kontrolelementet Betinget adgang bruger adgangspolitikker og sessionspolitikker til at overvåge og styre brugerappadgang og -sessioner i realtid på tværs af din organisation.
Hver politik har betingelser til at definere , hvem (hvilken bruger eller gruppe af brugere), hvad (hvilke cloudapps) og hvor (hvilke placeringer og netværk) politikken anvendes på. Når du har fastlagt betingelserne, skal du først dirigere dine brugere til Defender for Cloud Apps. Der kan du anvende adgangs- og sessionskontrolelementerne for at beskytte dine data.
Adgangs- og sessionspolitikker omfatter følgende typer aktiviteter:
| Aktivitet | Beskrivelse |
|---|---|
| Undgå dataudfyldning | Bloker download, klip, kopiér og udskriv af følsomme dokumenter på f.eks. ikke-administrerede enheder. |
| Kræv godkendelseskontekst | Revaluer Microsoft Entra politikker for betinget adgang, når der forekommer en følsom handling i sessionen, f.eks. kræver multifaktorgodkendelse. |
| Beskyt ved download | I stedet for at blokere hentningen af følsomme dokumenter skal du kræve, at dokumenter forsynes med mærkater og krypteres, når du integrerer med Microsoft Purview Information Protection. Denne handling hjælper med at beskytte dokumentet og begrænse brugeradgang i en session, der kan være risikabel. |
| Undgå upload af filer, der ikke er navngivet | Sørg for, at upload af filer, der ikke er navngivet, og som har følsomt indhold, blokeres, indtil brugeren klassificerer indholdet. Før en bruger overfører, distribuerer eller bruger en følsom fil, skal filen have det navn, som organisationens politik er defineret for. |
| Bloker potentiel malware | Hjælp med at beskytte dit miljø mod malware ved at blokere upload af potentielt skadelige filer. Alle filer, som en bruger forsøger at uploade eller downloade, kan scannes mod Microsoft Threat Intelligence og blokeres øjeblikkeligt. |
| Overvåg brugersessioner for overholdelse af angivne standarder | Undersøg og analysér brugeradfærd for at forstå, hvor og under hvilke betingelser sessionspolitikker skal anvendes i fremtiden. Risikable brugere overvåges, når de logger på apps, og deres handlinger logføres fra sessionen. |
| Bloker adgang | Bloker detaljeret adgang for bestemte apps og brugere, afhængigt af flere risikofaktorer. Du kan f.eks. blokere dem, hvis de bruger klientcertifikater som en form for enhedshåndtering. |
| Bloker brugerdefinerede aktiviteter | Nogle apps har unikke scenarier, der udgør en risiko. Et eksempel er at sende meddelelser, der har følsomt indhold i apps, f.eks. Microsoft Teams eller Slack. I disse scenarier kan du scanne meddelelser for følsomt indhold og blokere dem i realtid. |
Du kan finde flere oplysninger under:
- Opret Microsoft Defender for Cloud Apps adgangspolitikker
- Opret Microsoft Defender for Cloud Apps sessionspolitikker
Brugervenlighed
Kontrolelementet Betinget adgang kræver ikke, at du installerer noget på enheden, så det er ideelt, når du overvåger eller styrer sessioner fra ikke-administrerede enheder eller partnerbrugere.
Defender for Cloud Apps bruger patenterede heuristik til at identificere og styre brugeraktiviteter i målappen. Heuristik er designet til at optimere og balancere sikkerhed med anvendelighed.
I nogle sjældne scenarier vil blokering af aktiviteter på serversiden gøre appen ubrugelig, så organisationer kun sikrer disse aktiviteter på klientsiden. Denne fremgangsmåde gør dem potentielt sårbare over for udnyttelse af ondsindede insidere.
Systemets ydeevne og datalager
Defender for Cloud Apps bruger Azure-datacentre over hele verden til at levere optimeret ydeevne via geoplacering. En brugers session kan være hostet uden for et bestemt område, afhængigt af trafikmønstre og vedkommendes placering. Men for at beskytte brugernes personlige oplysninger gemmer disse datacentre ikke nogen sessionsdata.
Defender for Cloud Apps proxyservere gemmer ikke hviledata. Når vi cachelagrer indhold, følger vi kravene i RFC 7234 (HTTP-cachelagring) og cachelagrer kun offentligt indhold.
Understøttede apps og klienter
Anvend sessions- og adgangskontrolelementer på alle interaktive single sign-on, der bruger SAML 2.0-godkendelsesprotokollen. Adgangskontrolelementer understøttes også for indbyggede klientapps til mobilenheder og stationære computere.
Hvis du bruger Microsoft Entra ID apps, kan du desuden anvende sessions- og adgangskontrolelementer på:
- Alle interaktive enkeltlogon, der bruger OpenID Connect-godkendelsesprotokollen.
- Apps, der hostes i det lokale miljø og er konfigureret med Microsoft Entra programproxy.
Microsoft Entra ID apps onboardes også automatisk til appkontrolelementet Betinget adgang, hvorimod apps, der bruger andre id'er, skal onboardes manuelt.
Defender for Cloud Apps identificerer apps ved hjælp af data fra kataloget over cloudapps. Hvis du har tilpasset apps med plug-ins, skal du føje tilknyttede brugerdefinerede domæner til den relevante app i kataloget. Du kan finde flere oplysninger under Find din cloudapp, og beregn risikoscores.
Bemærk!
Du kan ikke bruge installerede apps, der har ikke-interaktive logonflows, f.eks. godkenderappen og andre indbyggede apps, med adgangskontrol. Vores anbefaling i dette tilfælde er at udforme en adgangspolitik i Microsoft Entra-administrationscenter ud over Microsoft Defender for Cloud Apps adgangspolitikker.
Omfanget af understøttelse af sessionskontrol
Selvom sessionskontrolelementer er bygget til at fungere sammen med en hvilken som helst browser på en hvilken som helst større platform på et hvilket som helst operativsystem, understøtter vi de nyeste versioner af følgende browsere:
Microsoft Edge-brugere drager fordel af beskyttelse i browseren uden at omdirigere til en omvendt proxy. Du kan få flere oplysninger under Beskyttelse i browseren med Microsoft Edge for Business (prøveversion).
Appsupport til TLS 1.2+
Defender for Cloud Apps bruger TLS 1.2+-protokoller (Transport Layer Security) til kryptering. Indbyggede klientapps og browsere, der ikke understøtter TLS 1.2+, er ikke tilgængelige, når du konfigurerer dem med sessionskontrol.
SaaS-apps (Software as a Service), der bruger TLS 1.1 eller tidligere, vises dog i browseren som at bruge TLS 1.2+, når du konfigurerer dem med Defender for Cloud Apps.