App-beheer voor voorwaardelijke toegang in Microsoft Defender for Cloud Apps
Op de werkplek van vandaag is het niet voldoende om te weten wat er daarna in uw cloudomgeving is gebeurd. U moet inbreuken en lekken in realtime stoppen. U moet ook voorkomen dat werknemers opzettelijk of per ongeluk uw gegevens en organisatie in gevaar brengen.
U wilt gebruikers in uw organisatie ondersteunen terwijl ze de beste cloud-apps gebruiken die beschikbaar zijn en hun eigen apparaten naar hun werk brengen. U hebt echter ook hulpprogramma's nodig om uw organisatie in realtime te beschermen tegen gegevenslekken en diefstal. Microsoft Defender for Cloud Apps integreert met elke id-provider (IdP) om deze beveiliging te bieden met toegangs- en sessiebeleid.
Bijvoorbeeld:
Gebruik toegangsbeleid om het volgende te doen:
- Toegang tot Salesforce blokkeren voor gebruikers van onbeheerde apparaten.
- Toegang tot Dropbox blokkeren voor systeemeigen clients.
Sessiebeleid gebruiken om het volgende te doen:
- Het downloaden van gevoelige bestanden van OneDrive naar onbeheerde apparaten blokkeren.
- Uploaden van malwarebestanden naar SharePoint Online blokkeren.
Microsoft Edge-gebruikers profiteren van directe, in-browserbeveiliging. Een vergrendelingspictogram 
op de adresbalk van de browser geeft deze beveiliging aan.
Gebruikers van andere browsers worden via omgekeerde proxy omgeleid naar Defender for Cloud Apps. Deze browsers geven een *.mcas.ms achtervoegsel weer in de URL van de koppeling. Als de app-URL bijvoorbeeld is, wordt myapp.comde app-URL bijgewerkt naar myapp.com.mcas.ms.
In dit artikel wordt het beheer van apps voor voorwaardelijke toegang in Defender for Cloud Apps beschreven via Microsoft Entra beleid voor voorwaardelijke toegang.
Activiteiten in app-beheer voor voorwaardelijke toegang
App-beheer voor voorwaardelijke toegang maakt gebruik van toegangsbeleid en sessiebeleid om de toegang van gebruikers-apps en sessies in realtime in uw organisatie te bewaken en te beheren.
Elk beleid heeft voorwaarden om te definiëren wie (welke gebruiker of groep gebruikers), welke (welke cloud-apps) en waar (welke locaties en netwerken) het beleid wordt toegepast. Nadat u de voorwaarden hebt bepaald, routeert u uw gebruikers eerst naar Defender for Cloud Apps. Daar kunt u de toegangs- en sessiebesturingselementen toepassen om uw gegevens te beschermen.
Toegangs- en sessiebeleid omvat de volgende typen activiteiten:
| Activiteit | Omschrijving |
|---|---|
| Gegevensexfiltratie voorkomen | Het downloaden, knippen, kopiëren en afdrukken van gevoelige documenten op (bijvoorbeeld) onbeheerde apparaten blokkeren. |
| Verificatiecontext vereisen | Evalueer Microsoft Entra beleid voor voorwaardelijke toegang opnieuw wanneer er een gevoelige actie plaatsvindt in de sessie, zoals het vereisen van meervoudige verificatie. |
| Beveiligen bij downloaden | In plaats van het downloaden van gevoelige documenten te blokkeren, moet u vereisen dat documenten worden gelabeld en versleuteld wanneer u integreert met Microsoft Purview Informatiebeveiliging. Deze actie helpt het document te beveiligen en de gebruikerstoegang te beperken in een mogelijk riskante sessie. |
| Uploaden van niet-gelabelde bestanden voorkomen | Zorg ervoor dat het uploaden van niet-gelabelde bestanden met gevoelige inhoud wordt geblokkeerd totdat de gebruiker de inhoud classificeert. Voordat een gebruiker een gevoelig bestand uploadt, distribueert of gebruikt, moet het bestand het label hebben dat door het beleid van uw organisatie is gedefinieerd. |
| Mogelijke malware blokkeren | Bescherm uw omgeving tegen malware door het uploaden van mogelijk schadelijke bestanden te blokkeren. Elk bestand dat een gebruiker probeert te uploaden of te downloaden, kan worden gescand op Basis van Microsoft Threat Intelligence en onmiddellijk worden geblokkeerd. |
| Gebruikerssessies controleren op naleving | Onderzoek en analyseer gebruikersgedrag om te begrijpen waar en onder welke voorwaarden sessiebeleid in de toekomst moet worden toegepast. Riskante gebruikers worden bewaakt wanneer ze zich aanmelden bij apps en hun acties worden geregistreerd vanuit de sessie. |
| Toegang blokkeren | De toegang voor specifieke apps en gebruikers gedetailleerd blokkeren, afhankelijk van verschillende risicofactoren. U kunt ze bijvoorbeeld blokkeren als ze clientcertificaten gebruiken als een vorm van apparaatbeheer. |
| Aangepaste activiteiten blokkeren | Sommige apps hebben unieke scenario's die risico's met zich meebrengen. Een voorbeeld is het verzenden van berichten met gevoelige inhoud in apps zoals Microsoft Teams of Slack. In dit soort scenario's scant u berichten op gevoelige inhoud en blokkeert u deze in realtime. |
Zie voor meer informatie:
- Toegangsbeleid voor Microsoft Defender for Cloud Apps maken
- Sessiebeleid voor Microsoft Defender for Cloud Apps maken
Bruikbaarheid
Voor app-beheer voor voorwaardelijke toegang hoeft u niets op het apparaat te installeren, dus het is ideaal wanneer u sessies van onbeheerde apparaten of partnergebruikers bewaakt of beheert.
Defender for Cloud Apps maakt gebruik van gepatenteerde heuristieken om gebruikersactiviteiten in de doel-app te identificeren en te beheren. De heuristieken zijn ontworpen om beveiliging te optimaliseren en te combineren met bruikbaarheid.
In sommige zeldzame scenario's maakt het blokkeren van activiteiten aan de serverzijde de app onbruikbaar, zodat organisaties deze activiteiten alleen aan de clientzijde beveiligen. Deze benadering maakt ze mogelijk vatbaar voor misbruik door kwaadwillende insiders.
Systeemprestaties en gegevensopslag
Defender for Cloud Apps maakt gebruik van Azure-datacenters over de hele wereld om geoptimaliseerde prestaties te bieden via geolocatie. De sessie van een gebruiker kan buiten een bepaalde regio worden gehost, afhankelijk van de verkeerspatronen en hun locatie. Om de privacy van gebruikers te beschermen, slaan deze datacenters echter geen sessiegegevens op.
Defender for Cloud Apps proxyservers slaan geen data-at-rest op. Wanneer we inhoud in de cache opslaan, volgen we de vereisten in RFC 7234 (HTTP-caching) en alleen openbare inhoud in de cache.
Ondersteunde apps en clients
Pas sessie- en toegangsbeheer toe op elke interactieve eenmalige aanmelding die gebruikmaakt van het SAML 2.0-verificatieprotocol. Toegangsbeheer wordt ook ondersteund voor ingebouwde mobiele en desktopclient-apps.
Als u bovendien Microsoft Entra ID-apps gebruikt, past u sessie- en toegangsbeheer toe op:
- Elke interactieve eenmalige aanmelding die gebruikmaakt van het OpenID Connect-verificatieprotocol.
- Apps die on-premises worden gehost en zijn geconfigureerd met de Microsoft Entra toepassingsproxy.
Microsoft Entra ID apps worden ook automatisch onboarding uitgevoerd voor app-beheer voor voorwaardelijke toegang, terwijl apps die gebruikmaken van andere IDP's handmatig moeten worden onboarden.
Defender for Cloud Apps identificeert apps met behulp van gegevens uit de catalogus met cloud-apps. Als u apps met invoegtoepassingen hebt aangepast, moet u eventuele gekoppelde aangepaste domeinen toevoegen aan de relevante app in de catalogus. Zie Uw cloud-app zoeken en risicoscores berekenen voor meer informatie.
Opmerking
U kunt geen geïnstalleerde apps gebruiken die niet-actieve aanmeldingsstromen hebben, zoals de Authenticator-app en andere ingebouwde apps, met toegangsbeheer. In dat geval wordt aangeraden om naast Microsoft Defender for Cloud Apps toegangsbeleid een toegangsbeleid op te maken in de Microsoft Entra-beheercentrum.
Ondersteuningsbereik voor sessiebeheer
Hoewel sessiebesturingselementen zijn gebouwd om te werken met elke browser op elk belangrijk platform op elk besturingssysteem, ondersteunen we de nieuwste versies van de volgende browsers:
Microsoft Edge-gebruikers profiteren van in-browserbeveiliging, zonder om te leiden naar een omgekeerde proxy. Zie In-browserbeveiliging met Microsoft Edge voor Bedrijven (preview) voor meer informatie.
App-ondersteuning voor TLS 1.2+
Defender for Cloud Apps maakt gebruik van TLS 1.2+-protocollen (Transport Layer Security) om versleuteling te bieden. Ingebouwde client-apps en browsers die tls 1.2+ niet ondersteunen, zijn niet toegankelijk wanneer u ze configureert met sessiebeheer.
SaaS-apps (Software as a Service) die tls 1.1 of eerder gebruiken, worden echter in de browser weergegeven als met TLS 1.2+ wanneer u deze configureert met Defender for Cloud Apps.