App-Steuerung für bedingten Zugriff in Microsoft Defender for Cloud Apps
Am heutigen Arbeitsplatz reicht es nicht aus, nach der Tat zu wissen, was in Ihrer Cloudumgebung passiert ist. Sie müssen Sicherheitsverletzungen und Lecks in Echtzeit beenden. Sie müssen auch verhindern, dass Mitarbeiter Absichtlich oder versehentlich Ihre Daten und organization gefährden.
Sie möchten Benutzer in Ihrem organization unterstützen, während sie die besten verfügbaren Cloud-Apps verwenden und ihre eigenen Geräte verwenden. Sie benötigen jedoch auch Tools, um Ihre organization in Echtzeit vor Datenlecks und Diebstahl zu schützen. Microsoft Defender for Cloud Apps kann mit jedem Identitätsanbieter (IdP) integriert werden, um diesen Schutz mit Zugriffs- und Sitzungsrichtlinien bereitzustellen.
Zum Beispiel:
Verwenden Sie Zugriffsrichtlinien für Folgendes:
- Blockieren des Zugriffs auf Salesforce für Benutzer von nicht verwalteten Geräten.
- Blockieren sie den Zugriff auf Dropbox für native Clients.
Verwenden Sie Sitzungsrichtlinien für Folgendes:
- Blockieren von Downloads vertraulicher Dateien von OneDrive auf nicht verwaltete Geräte.
- Blockieren von Uploads von Schadsoftwaredateien in SharePoint Online.
Microsoft Edge-Benutzer profitieren vom direkten In-Browser-Schutz. Ein Sperrsymbol 
in der Adressleiste des Browsers zeigt diesen Schutz an.
Benutzer anderer Browser werden über den Reverseproxy an Defender for Cloud Apps umgeleitet. Diese Browser zeigen ein *.mcas.ms Suffix in der URL des Links an. Wenn die App-URL beispielsweise lautet myapp.com, wird die App-URL auf myapp.com.mcas.msaktualisiert.
In diesem Artikel wird die App-Steuerung für bedingten Zugriff in Defender for Cloud Apps durch Microsoft Entra Richtlinien für bedingten Zugriff beschrieben.
Aktivitäten in der App-Steuerung für bedingten Zugriff
Die App-Steuerung für bedingten Zugriff verwendet Zugriffsrichtlinien und Sitzungsrichtlinien, um den Zugriff auf Benutzer-Apps und Sitzungen in Echtzeit in Ihrem organization zu überwachen und zu steuern.
Jede Richtlinie verfügt über Bedingungen, mit denen definiert werden kann, wer (welcher Benutzer oder welche Benutzergruppe), was (welche Cloud-Apps) und wo (auf welche Standorte und Netzwerke) die Richtlinie angewendet wird. Nachdem Sie die Bedingungen festgelegt haben, leiten Sie Ihre Benutzer zuerst an Defender for Cloud Apps weiter. Dort können Sie die Zugriffs- und Sitzungssteuerungen anwenden, um Ihre Daten zu schützen.
Zugriffs- und Sitzungsrichtlinien umfassen die folgenden Arten von Aktivitäten:
| Aktivität | Beschreibung |
|---|---|
| Verhindern der Datenexfiltration | Blockieren Des Herunterladens, Ausschneidens, Kopierens und Druckens vertraulicher Dokumente auf (z. B.) nicht verwalteten Geräten. |
| Authentifizierungskontext erforderlich | Werten Sie Microsoft Entra Richtlinien für bedingten Zugriff neu aus, wenn eine vertrauliche Aktion in der Sitzung auftritt, z. B. die Anforderung einer mehrstufigen Authentifizierung. |
| Schutz beim Herunterladen | Anstatt das Herunterladen vertraulicher Dokumente zu blockieren, müssen Dokumente bei der Integration mit Microsoft Purview Information Protection gekennzeichnet und verschlüsselt werden. Diese Aktion trägt dazu bei, das Dokument zu schützen und den Benutzerzugriff in einer potenziell riskanten Sitzung einzuschränken. |
| Verhindern des Hochladens von Dateien ohne Bezeichnung | Stellen Sie sicher, dass das Hochladen von Dateien ohne Bezeichnung, die vertrauliche Inhalte enthalten, blockiert wird, bis der Benutzer den Inhalt klassifiziert. Bevor ein Benutzer eine vertrauliche Datei hochlädt, verteilt oder verwendet, muss die Datei über die Bezeichnung verfügen, die die Richtlinie Ihres organization definiert hat. |
| Blockieren potenzieller Schadsoftware | Schützen Sie Ihre Umgebung vor Schadsoftware, indem Sie den Upload potenziell schädlicher Dateien blockieren. Jede Datei, die ein Benutzer hoch- oder herunterladen möchte, kann gegen Microsoft Threat Intelligence gescannt und sofort blockiert werden. |
| Überwachen von Benutzersitzungen auf Konformität | Untersuchen und analysieren Sie das Benutzerverhalten, um zu verstehen, wo und unter welchen Bedingungen Sitzungsrichtlinien in Zukunft angewendet werden sollten. Riskante Benutzer werden überwacht, wenn sie sich bei Apps anmelden, und ihre Aktionen werden innerhalb der Sitzung protokolliert. |
| Zugriff blockieren | Präzises Blockieren des Zugriffs für bestimmte Apps und Benutzer, abhängig von mehreren Risikofaktoren. Sie können sie beispielsweise blockieren, wenn sie Clientzertifikate als Form der Geräteverwaltung verwenden. |
| Blockieren von benutzerdefinierten Aktivitäten | Einige Apps verfügen über einzigartige Szenarien, die Risiken mit sich bringen. Ein Beispiel ist das Senden von Nachrichten, die vertrauliche Inhalte in Apps wie Microsoft Teams oder Slack enthalten. In diesen Szenarien können Sie Nachrichten auf vertrauliche Inhalte überprüfen und in Echtzeit blockieren. |
Weitere Informationen finden Sie unter:
- Erstellen von Microsoft Defender for Cloud Apps Zugriffsrichtlinien
- Erstellen von Microsoft Defender for Cloud Apps Sitzungsrichtlinien
Benutzerfreundlichkeit
Die App-Steuerung für bedingten Zugriff erfordert keine Installation auf dem Gerät. Daher ist es ideal, wenn Sie Sitzungen von nicht verwalteten Geräten oder Partnerbenutzern überwachen oder steuern.
Defender for Cloud Apps verwendet patentierte Heuristiken, um Benutzeraktivitäten in der Ziel-App zu identifizieren und zu steuern. Die Heuristiken wurden entwickelt, um Sicherheit und Benutzerfreundlichkeit zu optimieren und in Einklang zu bringen.
In einigen seltenen Szenarien wird die App durch blockierende Aktivitäten auf serverseitiger Seite unbrauchbar, sodass Organisationen diese Aktivitäten nur auf clientseitiger Seite schützen. Dieser Ansatz macht sie potenziell anfällig für die Ausnutzung durch böswillige Insider.
Systemleistung und Datenspeicherung
Defender for Cloud Apps verwendet Azure-Rechenzentren auf der ganzen Welt, um eine optimierte Leistung durch Geolocation bereitzustellen. Die Sitzung eines Benutzers kann je nach Datenverkehrsmustern und seinem Standort außerhalb einer bestimmten Region gehostet werden. Um jedoch die Privatsphäre der Benutzer zu schützen, speichern diese Rechenzentren keine Sitzungsdaten.
Defender for Cloud Apps Proxyserver speichern keine ruhenden Daten. Beim Zwischenspeichern von Inhalten befolgen wir die Anforderungen von RFC 7234 (HTTP-Zwischenspeicherung) und speichern nur öffentliche Inhalte zwischen.
Unterstützte Apps und Clients
Wenden Sie Sitzungs- und Zugriffssteuerungen auf jedes interaktive einmalige Anmelden an, das das SAML 2.0-Authentifizierungsprotokoll verwendet. Zugriffssteuerungen werden auch für integrierte mobile und Desktopclient-Apps unterstützt.
Wenn Sie Microsoft Entra ID-Apps verwenden, wenden Sie außerdem Sitzungs- und Zugriffssteuerungen auf Folgendes an:
- Jedes interaktive einmalige Anmelden, das das OpenID Connect-Authentifizierungsprotokoll verwendet.
- Apps, die lokal gehostet und mit dem Microsoft Entra Anwendungsproxy konfiguriert sind.
Microsoft Entra ID Apps werden auch automatisch für die App-Steuerung mit bedingtem Zugriff integriert, während Apps, die andere IdPs verwenden, manuell integriert werden müssen.
Defender for Cloud Apps identifiziert Apps mithilfe von Daten aus dem Cloud-App-Katalog. Wenn Sie Apps mit Plug-Ins angepasst haben, müssen Sie der relevanten App im Katalog alle zugeordneten benutzerdefinierten Domänen hinzufügen. Weitere Informationen finden Sie unter Suchen Ihrer Cloud-App und Berechnen von Risikobewertungen.
Hinweis
Sie können keine installierten Apps mit nicht interaktiven Anmeldeflows verwenden, z. B. die Authenticator-App und andere integrierte Apps mit Zugriffssteuerungen. In diesem Fall wird empfohlen, zusätzlich zu Microsoft Defender for Cloud Apps Zugriffsrichtlinien eine Zugriffsrichtlinie im Microsoft Entra Admin Center zu erstellen.
Umfang der Unterstützung für die Sitzungssteuerung
Sitzungssteuerelemente sind zwar so aufgebaut, dass sie mit jedem Browser auf jeder wichtigen Plattform unter jedem Betriebssystem funktionieren, aber wir unterstützen die neuesten Versionen der folgenden Browser:
Microsoft Edge-Benutzer profitieren vom In-Browser-Schutz, ohne an einen Reverseproxy umzuleiten. Weitere Informationen finden Sie unter In-Browser-Schutz mit Microsoft Edge for Business (Vorschau).
App-Unterstützung für TLS 1.2 und höher
Defender for Cloud Apps verwendet TLS 1.2+-Protokolle (Transport Layer Security) für die Verschlüsselung. Auf integrierte Client-Apps und Browser, die TLS 1.2 und höher nicht unterstützen, kann nicht zugegriffen werden, wenn Sie sie mit der Sitzungssteuerung konfigurieren.
SaaS-Apps (Software-as-a-Service), die TLS 1.1 oder früher verwenden, werden jedoch im Browser als TLS 1.2 und höher angezeigt, wenn Sie sie mit Defender for Cloud Apps konfigurieren.