Ehdollisten käyttöoikeuksien sovellusten hallinta Microsoft Defender for Cloud Apps
Nykypäivän työpaikalla ei riitä, että tietää, mitä pilviympäristössäsi tapahtui sen jälkeen. Sinun täytyy lopettaa rikkomukset ja vuodot reaaliajassa. Sinun on myös estettävä työntekijöitä vaarantamasta tietojasi ja organisaatiotasi tahallisesti tai vahingossa.
Haluat tukea organisaatiosi käyttäjiä, kun he käyttävät parhaita saatavilla olevia pilvisovelluksia ja tuovat omat laitteensa toimimaan. Tarvitset kuitenkin myös työkaluja, joilla voit suojata organisaatiosi tietovuodoilta ja varkauksilta reaaliajassa. Microsoft Defender for Cloud Apps integroituu mihin tahansa tunnistetietopalveluun (IdP), jotta suojaus voidaan tarjota käyttöoikeus- ja istuntokäytäntöjen avulla.
Esimerkki:
Käytä käyttöoikeuskäytäntöjä seuraaviin:
- Estä Salesforce-käyttö hallitsemattomien laitteiden käyttäjiltä.
- Estä Dropboxin käyttö alkuperäisten asiakkaiden kohdalla.
Käytä istuntokäytäntöjä seuraaviin toimintoihin:
- Estä luottamuksellisten tiedostojen lataaminen OneDrivesta hallitsemattomiin laitteisiin.
- Estä haittaohjelmatiedostojen lataaminen SharePoint Onlineen.
Microsoft Edgen käyttäjät hyötyvät suorasta selaimessa olevasta suojauksesta. Selaimen osoiterivin lukituskuvake 
ilmaisee tämän suojauksen.
Muiden selainten käyttäjät ohjataan käänteisen välityspalvelimen kautta Defender for Cloud Apps. Kyseisten selainten linkin URL-osoitteessa näkyy *.mcas.ms jälkiliite. Jos sovelluksen URL-osoite on myapp.comesimerkiksi , sovelluksen URL-osoite päivitetään osoitteeksi myapp.com.mcas.ms.
Tässä artikkelissa kuvataan ehdollisten käyttöoikeuksien sovellusten hallinta Defender for Cloud Apps ehdollisten käyttöoikeuskäytäntöjen Microsoft Entra kautta.
Aktiviteetit ehdollisten käyttöoikeuksien sovelluksen hallinnassa
Ehdollinen Access-sovelluksen hallinta käyttää käyttöoikeuskäytäntöjä ja istuntokäytäntöjä valvoakseen ja hallitakseen käyttäjäsovelluksen käyttöoikeuksia ja istuntoja reaaliaikaisesti koko organisaatiossasi.
Kullakin käytännöllä on ehtoja, joiden mukaan määritetään , kelle käyttäjälle tai käyttäjäryhmälle, mitä (mitä pilvisovelluksia) ja missä (missä sijainneissa ja verkoissa) käytäntöä käytetään. Kun olet määrittänut ehdot, reititä käyttäjät ensin Defender for Cloud Apps. Siellä voit käyttää käyttöoikeuksien ja istunnon ohjausobjekteja tietojesi suojaamiseksi.
Käyttöoikeus- ja istuntokäytännöt sisältävät seuraavantyyppisiä toimintoja:
| Toiminta | Kuvaus |
|---|---|
| Estä tietojen suodatus | Estä luottamuksellisten asiakirjojen lataaminen, leikkaaminen, kopioiminen ja tulostaminen (esimerkiksi) hallitsemattomille laitteille. |
| Vaadi todennuskonteksti | Arvioi uudelleen Microsoft Entra ehdollisten käyttöoikeuksien käytäntöjä, kun istunnossa tapahtuu arkaluonteinen toiminto, kuten monimenetelmäisen todentamisen edellyttäminen. |
| Suojaa latauksen aikana | Sen sijaan, että estät luottamuksellisten asiakirjojen lataamisen, edellytä, että asiakirjat merkitään ja salataan, kun integroit Microsoft Purview Information Protection. Tämä toiminto auttaa suojaamaan asiakirjaa ja rajoittamaan käyttäjien käyttöoikeuksia mahdollisesti riskialttiissa istunnossa. |
| Estä merkitsemättömien tiedostojen lataaminen palvelimeen | Varmista, että luottamuksellista sisältöä käyttävien nimittämättömien tiedostojen lataaminen on estetty, kunnes käyttäjä luokittelee sisällön. Ennen kuin käyttäjä lataa, jakaa tai käyttää arkaluontoista tiedostoa, tiedostolla on oltava organisaatiosi käytännön määrittämä tunniste. |
| Estä mahdollinen haittaohjelma | Suojaa ympäristösi haittaohjelmilta estämällä mahdollisesti haitallisten tiedostojen lataaminen. Kaikki tiedostot, joita käyttäjä yrittää ladata tai ladata, voidaan skannata Microsoft Threat Intelligencen avulla, ja ne voidaan estää välittömästi. |
| Valvo käyttäjien istuntoja yhteensopivuuden varmistamiseksi | Tutki ja analysoi käyttäjän toimintaa ymmärtääksesi, missä ja missä olosuhteissa istuntokäytäntöjä tulisi käyttää tulevaisuudessa. Riskialttiita käyttäjiä valvotaan, kun he kirjautuvat sisään sovelluksiin, ja heidän toimintonsa kirjataan istunnon sisältä. |
| Käytön estäminen | Estä tiettyjen sovellusten ja käyttäjien käyttö yksityiskohtaisesti useista riskitekijöistä riippuen. Voit esimerkiksi estää ne, jos he käyttävät asiakasvarmenteita laitehallinnan muotona. |
| Estä mukautetut aktiviteetit | Joissakin sovelluksissa on ainutlaatuisia skenaarioita, jotka sisältävät riskejä. Esimerkki on sellaisen viestin lähettäminen, jossa on arkaluontoista sisältöä esimerkiksi Microsoft Teamsissa tai Slackissä. Tällaisissa tilanteissa voit lukea viestistä arkaluontoista sisältöä ja estää sen reaaliaikaisesti. |
Lisätietoja on seuraavissa artikkeleissa:
- Luo Microsoft Defender for Cloud Apps käyttöoikeuskäytäntöjä
- Microsoft Defender for Cloud Apps istuntokäytäntöjen luominen
Käytettävyys
Ehdollisen Access-sovelluksen ohjausobjekti ei edellytä, että asennat mitään laitteeseen, joten se on ihanteellinen, kun valvot tai hallitset istuntoja hallitsemattomista laitteista tai kumppanikäyttäjistä.
Defender for Cloud Apps käyttää patentoitua heuristiikkoa käyttäjätoimintojen tunnistamiseen ja hallitsemiseen kohdesovelluksessa. Heuristiikko on suunniteltu optimoimaan ja tasapainottamaan suojausta käytettävyyden kanssa.
Joissakin harvinaisissa tilanteissa toimintojen estäminen palvelinpuolella tekee sovelluksesta käyttökelvottoman, joten organisaatiot suojaavat nämä toiminnot vain asiakaspuolella. Tämä lähestymistapa tekee heistä mahdollisesti alttiita pahantahtoisten sisäpiiriläisten hyväksikäytölle.
Järjestelmän suorituskyky ja tallennustila
Defender for Cloud Apps käyttää Azure-palvelinkeskuksia ympäri maailmaa optimoidun suorituskyvyn tarjoamiseen maantieteellisen sijainnin kautta. Käyttäjän istuntoa voidaan isännöidä tietyn alueen ulkopuolella liikennekuvioiden ja niiden sijainnin mukaan. Nämä palvelinkeskukset eivät kuitenkaan tallenna istuntotietoja käyttäjien tietosuojan suojaamiseksi.
Defender for Cloud Apps välityspalvelimet eivät tallenna tietoja levossa. Kun tallennamme sisältöä välimuistiin, noudatamme RFC 7234:ssä (HTTP-välimuistitallennus) asetettuja vaatimuksia ja tallennamme vain julkista sisältöä välimuistiin.
Tuetut sovellukset ja asiakkaat
Käytä istunnon ja käyttöoikeuksien ohjausobjekteja mihin tahansa vuorovaikutteiseen kertakirjautumiseen, joka käyttää SAML 2.0 -todennusprotokollaa. Käyttöoikeuksien ohjausobjekteja tuetaan myös sisäisissä mobiili- ja työpöytäasiakassovelluksissa.
Jos käytät Microsoft Entra ID-sovelluksia, ota käyttöön istunnon ja käyttöoikeuksien hallinta:
- Mikä tahansa vuorovaikutteinen kertakirjautuminen, joka käyttää OpenID Connect -todennusprotokollaa.
- Paikallisesti isännöity ja Microsoft Entra sovellusvälityspalvelimen kanssa määritetyt sovellukset.
Microsoft Entra ID sovellukset otetaan automaattisesti käyttöön myös ehdollisten käyttöoikeuksien sovellusten hallinnassa, kun taas sovelluksia, jotka käyttävät muita idp-tunnuksia, on otettava käyttöön manuaalisesti.
Defender for Cloud Apps tunnistaa sovellukset käyttämällä pilvipalvelusovellusluettelon tietoja. Jos mukautat sovelluksia, joissa on laajennuksia, sinun on lisättävä siihen liittyvät mukautetut toimialueet luettelon asianmukaiseen sovellukseen. Lisätietoja on kohdassa Pilvisovelluksen etsiminen ja riskipisteiden laskeminen.
Huomautus
Et voi käyttää asennettuja sovelluksia, joissa on ei-passiivisia kirjautumistyönkulkuja, kuten Authenticator-sovellusta ja muita sisäisiä sovelluksia, käyttöoikeusohjausobjekteilla. Siinä tapauksessa suosituksemme on luoda Microsoft Entra -hallintakeskus käyttöoikeuskäytäntö Microsoft Defender for Cloud Apps käyttöoikeuskäytäntöjen lisäksi.
Istunnon hallinnan tuen laajuus
Vaikka istunnon ohjausobjektit on rakennettu toimimaan minkä tahansa selaimen kanssa missä tahansa käyttöjärjestelmän pääympäristössä, tuemme seuraavien selainten uusimpia versioita:
Microsoft Edgen käyttäjät hyötyvät selaimen suojauksesta ilman uudelleenohjausta käänteiseen välityspalvelimeen. Lisätietoja on artikkelissa Selaimen suojaus Microsoft Edge for Business (esikatselu) avulla.
TLS 1.2+:n sovellustuki
Defender for Cloud Apps käyttää TLS (Transport Layer Security) 1.2+ -protokollia salauksen tarjoamiseen. Sisäiset asiakassovellukset ja selaimet, jotka eivät tue TLS 1.2+:a, eivät ole käytettävissä, kun määrität ne istunnonhallinnalla.
TLS 1.1:tä tai aiempaa käyttävä ohjelmisto palveluna (SaaS) -sovellukset näkyvät kuitenkin selaimessa TLS 1.2+:n käytössä, kun määrität niille Defender for Cloud Apps.