Controllo app per l'accesso condizionale in Microsoft Defender for Cloud Apps
Nell'ambiente di lavoro di oggi, non è sufficiente sapere cosa è successo nell'ambiente cloud dopo il fatto. È necessario arrestare violazioni e perdite in tempo reale. È anche necessario impedire ai dipendenti di mettere intenzionalmente o accidentalmente a rischio i dati e l'organizzazione.
Si vuole supportare gli utenti dell'organizzazione mentre usano le migliori app cloud disponibili e portano i propri dispositivi al lavoro. Tuttavia, sono necessari anche strumenti per proteggere l'organizzazione da perdite di dati e furti in tempo reale. Microsoft Defender for Cloud Apps si integra con qualsiasi provider di identità (IdP) per offrire questa protezione con criteri di accesso e sessione.
Ad esempio:
Usare i criteri di accesso per:
- Bloccare l'accesso a Salesforce per gli utenti di dispositivi non gestiti.
- Bloccare l'accesso a Dropbox per i client nativi.
Usare i criteri di sessione per:
- Bloccare i download di file sensibili da OneDrive a dispositivi non gestiti.
- Bloccare il caricamento di file malware in SharePoint Online.
Gli utenti di Microsoft Edge traggono vantaggio dalla protezione diretta nel browser. Un'icona di blocco 
sulla barra degli indirizzi del browser indica questa protezione.
Gli utenti di altri browser vengono reindirizzati tramite proxy inverso a Defender for Cloud Apps. Tali browser visualizzano un *.mcas.ms suffisso nell'URL del collegamento. Ad esempio, se l'URL dell'app è myapp.com, l'URL dell'app viene aggiornato a myapp.com.mcas.ms.
Questo articolo descrive il controllo delle app per l'accesso condizionale in Defender for Cloud Apps tramite criteri di accesso condizionale Microsoft Entra.
Attività nel controllo app per l'accesso condizionale
Il controllo app per l'accesso condizionale usa criteri di accesso e criteri di sessione per monitorare e controllare l'accesso e le sessioni delle app utente in tempo reale nell'intera organizzazione.
Ogni criterio ha le condizioni per definire chi (quale utente o gruppo di utenti), a quale (quali app cloud) e a quali posizioni e reti viene applicato il criterio. Dopo aver determinato le condizioni, instradare prima gli utenti a Defender for Cloud Apps. In questo caso, è possibile applicare i controlli di accesso e sessione per proteggere i dati.
I criteri di accesso e sessione includono i tipi di attività seguenti:
| Attività | Descrizione |
|---|---|
| Impedire l'esfiltrazione dei dati | Bloccare il download, tagliare, copiare e stampare documenti sensibili in dispositivi non gestiti, ad esempio. |
| Richiedi contesto di autenticazione | Rivalutare Microsoft Entra criteri di accesso condizionale quando si verifica un'azione sensibile nella sessione, ad esempio la richiesta di autenticazione a più fattori. |
| Protezione in fase di download | Invece di bloccare il download di documenti sensibili, è necessario etichettare e crittografare i documenti quando si esegue l'integrazione con Microsoft Purview Information Protection. Questa azione consente di proteggere il documento e limitare l'accesso degli utenti in una sessione potenzialmente rischiosa. |
| Impedisci caricamento di file senza etichetta | Assicurarsi che il caricamento di file senza etichetta con contenuto sensibile sia bloccato fino a quando l'utente non classifica il contenuto. Prima che un utente carichi, distribuiscano o usi un file sensibile, il file deve avere l'etichetta definita dai criteri dell'organizzazione. |
| Bloccare potenziali malware | Proteggere l'ambiente da malware bloccando il caricamento di file potenzialmente dannosi. Qualsiasi file che un utente tenta di caricare o scaricare può essere analizzato in Microsoft Threat Intelligence e bloccato istantaneamente. |
| Monitorare le sessioni utente per la conformità | Analizzare e analizzare il comportamento degli utenti per comprendere dove e in quali condizioni i criteri di sessione devono essere applicati in futuro. Gli utenti a rischio vengono monitorati quando accedono alle app e le loro azioni vengono registrate dall'interno della sessione. |
| Blocca accesso | Blocca in modo granulare l'accesso per app e utenti specifici, a seconda di diversi fattori di rischio. Ad esempio, è possibile bloccarli se usano certificati client come forma di gestione dei dispositivi. |
| Bloccare le attività personalizzate | Alcune app hanno scenari univoci che comportano rischi. Un esempio è l'invio di messaggi con contenuto sensibile in app come Microsoft Teams o Slack. In questi tipi di scenari, analizzare i messaggi alla ricerca di contenuti sensibili e bloccarli in tempo reale. |
Per altre informazioni, vedere:
- Creare criteri di accesso Microsoft Defender for Cloud Apps
- Creare criteri di sessione Microsoft Defender for Cloud Apps
Usabilità
Il controllo delle app per l'accesso condizionale non richiede l'installazione di elementi nel dispositivo, pertanto è ideale quando si monitora o si controllano le sessioni da dispositivi non gestiti o utenti partner.
Defender for Cloud Apps usa l'euristica brevettata per identificare e controllare le attività degli utenti nell'app di destinazione. L'euristica è progettata per ottimizzare e bilanciare la sicurezza con l'usabilità.
In alcuni rari scenari, il blocco delle attività sul lato server rende l'app inutilizzabile, in modo che le organizzazioni possano proteggere queste attività solo sul lato client. Questo approccio li rende potenzialmente soggetti allo sfruttamento da parte di utenti malintenzionati.
Prestazioni del sistema e archiviazione dei dati
Defender for Cloud Apps usa i data center di Azure in tutto il mondo per offrire prestazioni ottimizzate tramite la georilevazione. La sessione di un utente potrebbe essere ospitata all'esterno di una determinata area, a seconda dei modelli di traffico e della relativa posizione. Tuttavia, per proteggere la privacy degli utenti, questi data center non archivia i dati della sessione.
Defender for Cloud Apps server proxy non archivia i dati inattivi. Quando si memorizza nella cache il contenuto, vengono soddisfatti i requisiti definiti in RFC 7234 (memorizzazione nella cache HTTP) e vengono memorizzati nella cache solo i contenuti pubblici.
App e client supportati
Applicare controlli di sessione e di accesso a qualsiasi accesso Single Sign-On interattivo che usa il protocollo di autenticazione SAML 2.0. I controlli di accesso sono supportati anche per le app client per dispositivi mobili e desktop predefinite.
Inoltre, se si usano app Microsoft Entra ID, applicare i controlli di sessione e di accesso a:
- Qualsiasi accesso Single Sign-On interattivo che usa il protocollo di autenticazione OpenID Connect.
- App ospitate in locale e configurate con il proxy dell'applicazione Microsoft Entra.
Microsoft Entra ID le app vengono inoltre onboarding automatico per il controllo delle app di accesso condizionale, mentre le app che usano altri indirizzi IP devono essere caricate manualmente.
Defender for Cloud Apps identifica le app usando i dati del catalogo di app cloud. Se sono state personalizzate app con plug-in, è necessario aggiungere tutti i domini personalizzati associati all'app pertinente nel catalogo. Per altre informazioni, vedere Trovare l'app cloud e calcolare i punteggi di rischio.
Nota
Non è possibile usare app installate con flussi di accesso non interattivi , ad esempio l'app Authenticator e altre app predefinite, con controlli di accesso. In questo caso, è consigliabile creare criteri di accesso nel Interfaccia di amministrazione di Microsoft Entra oltre ai criteri di accesso Microsoft Defender for Cloud Apps.
Ambito del supporto per il controllo sessione
Anche se i controlli sessione sono creati per funzionare con qualsiasi browser in qualsiasi piattaforma principale in qualsiasi sistema operativo, sono supportate le versioni più recenti dei browser seguenti:
Gli utenti di Microsoft Edge traggono vantaggio dalla protezione nel browser, senza reindirizzare a un proxy inverso. Per altre informazioni, vedere Protezione nel browser con Microsoft Edge for Business (anteprima).
Supporto delle app per TLS 1.2+
Defender for Cloud Apps usa i protocolli TLS (Transport Layer Security) 1.2+ per fornire la crittografia. Le app client e i browser predefiniti che non supportano TLS 1.2+ non sono accessibili quando vengono configurati con il controllo sessione.
Tuttavia, le app SaaS (Software as a Service) che usano TLS 1.1 o versioni precedenti vengono visualizzate nel browser come usando TLS 1.2+ quando vengono configurate con Defender for Cloud Apps.