Schützen Ihrer Daten und Apps mit der App-Steuerung für bedingten Zugriff
Cloud Discovery hilft Ihnen im Nachhinein zu verstehen, was in Ihrer Cloudumgebung passiert. Dieser Prozess ist zwar wichtig, aber Ihr primäres Ziel ist es, Sicherheitsverletzungen und Lecks in Echtzeit zu stoppen, bevor sie Ihr Unternehmen gefährden. Sie benötigen auch einen Weg, den Benutzern zu ermöglichen, ihre eigenen Geräte mit zur Arbeit zu bringen, Ihr Unternehmen aber gleichzeitig vor Datenlecks und Datendiebstahl zu schützen. Microsoft Defender for Cloud Apps lässt sich mit Identitätsanbietern (Identity Providers, IdPs) integrieren, um Ihre Daten und Geräte mit Zugriffskontrollen und Sitzungssteuerelementen durch die App-Steuerung für bedingten Zugriff zu schützen. Wenn Sie Microsoft Entra ID als IdP verwenden, werden diese Steuerelemente direkt in Defender for Cloud Apps integriert.
Mit App-Steuerung für bedingten Zugriff können Sie den Zugriff auf Benutzer-Apps und Sitzungen in Echtzeit überwachen und steuern. Durch die Integration in den bedingten Zugriff von Microsoft Entra ist es einfach, Apps für die App-Steuerung für bedingten Zugriff zu konfigurieren. Sie können die Zugriffskontrollen und Sitzungssteuerelemente für die Apps Ihrer Organisation basierend auf beliebigen Bedingungen in den Einstellungen für den bedingten Zugriff selektiv erzwingen. Sie können Bedingungen verwenden, die definieren, auf den (Benutzer oder Benutzergruppe), auf was (welche Cloud-Apps) und wo (welche Standorte und Netzwerke) eine Richtlinie für bedingten Zugriff angewendet wird. Nachdem Sie die Bedingungen festgelegt haben, können Sie Benutzer an Defender for Cloud Apps weiterleiten, wo die Daten mit der App-Steuerung für bedingten Zugriff durch Anwendung von Zugriffskontrollen und Sitzungssteuerelementen geschützt werden.
Microsoft Entra ID enthält integrierte Richtlinien, die Sie für eine einfache Bereitstellung konfigurieren können. Nachdem Sie die Bedingungen einer Richtlinie für bedingten Zugriff in Microsoft Entra ID konfiguriert haben, wählen Sie unter Zugriffssteuerungendie Option Sitzung aus, und klicken Sie auf App-Steuerung für bedingten Zugriff verwenden. Wenn Sie Benutzerdefinierte Steuerelementen verwenden auswählen, definieren Sie diese im Defender for Cloud Apps-Portal.
Mit Zugriffs- und Sitzungsrichtlinien im Defender for Cloud Apps-Portal können Sie Filter weiter verfeinern und Aktionen festlegen, die für einen Benutzer ausgeführt werden sollen. Mit den Zugriffs- und Sitzungsrichtlinien haben Sie folgende Möglichkeiten:
- Datenexfiltration verhindern: Blockieren Sie das Herunterladen, Ausschneiden, Kopieren und Drucken vertraulicher Dokumente auf z. B. nicht verwalteten Geräten.
- Beim Download schützen: Anstatt das Herunterladen vertraulicher Dokumente zu blockieren, können Sie verlangen, dass sie mit Azure Information Protection bezeichnet und geschützt werden. Durch diese Aktion wird sichergestellt, dass das Dokument geschützt und der Benutzerzugriff in einer potenziell riskanten Sitzung eingeschränkt wird.
- Upload nicht bezeichneter Dateien verhindern: Erzwingen Sie die Verwendung von Bezeichnungen. Bevor eine vertrauliche Datei hochgeladen, verteilt und von anderen Personen verwendet wird, ist es wichtig sicherzustellen, dass sie über die richtige Bezeichnung und angemessenen Schutz verfügt. Sie können einen Dateiupload blockieren, bis der Inhalt klassifiziert wurde.
- Benutzersitzungen auf Konformität überwachen: Überwachen Sie riskante Benutzer, wenn sie sich bei Apps anmelden, und protokollieren Sie deren Aktionen innerhalb der Sitzung. Sie können das Benutzerverhalten untersuchen und analysieren, um zu verstehen, wo und unter welchen Bedingungen Sitzungsrichtlinien künftig angewendet werden sollen.
- Zugriff blockieren: Sie können den Zugriff für bestimmte Apps und Benutzer abhängig von mehreren Risikofaktoren blockieren. Beispielsweise können Sie einen Benutzer blockieren, wenn ein Clientzertifikat als Form der Geräteverwaltung verwendet wird.
- Benutzerdefinierte Aktivitäten blockieren: Einige Apps bieten spezielle Szenarien, die Risiken mit sich bringen; beispielsweise das Senden von Nachrichten mit vertraulichen Inhalten in Apps wie Microsoft Teams oder Slack. In diesen Szenarien können Sie Nachrichten auf vertrauliche Inhalte überprüfen und in Echtzeit blockieren.
Erstellen wir beispielsweise eine Sitzungsrichtlinie in Microsoft Teams, die Chatnachrichten blockiert, die vertrauliche Inhalte enthalten. Angenommen, dass wir zuvor eine Richtlinie für bedingten Zugriff mit der Einstellung Benutzerdefinierte Steuerelemente verwenden unter App-Steuerung für bedingten Zugriff verwenden erstellt haben, dann beginnen wir mit der Erstellung einer neuen Sitzungsrichtlinie in Microsoft Defender for Cloud Apps.
Wir verwenden eine vorhandene Vorlage für unsere neue Sitzungsrichtlinie. Wählen Sie die Richtlinienvorlage Senden von Nachrichten basierend auf Echtzeit-Inhaltsüberprüfung blockieren aus.
Wählen Sie unter Aktivitätsquelle für die Sitzungsrichtlinie die Option Teams-Nachricht senden als Anwendung aus.
Anschließend aktivieren Sie Inhaltsuntersuchung, wo Sie die vertraulichen Informationen so definieren, dass sie mit einem vorhandenen Ausdruck, einem benutzerdefinierten Ausdruck oder einem beliebigen regulären Ausdruck übereinstimmen. Wenn die Ausdrücke definiert sind, wählen Sie unter Aktionen die Option Blockieren aus, um die Nachricht zu blockieren und Warnungen zur Benachrichtigung von Administratoren zu erstellen.
Wenn ein Benutzer nun versucht, eine vertrauliche Nachricht in Teams zu senden, wird eine Benachrichtigung angezeigt.