Kontrola aplikacji dostępu warunkowego w Microsoft Defender for Cloud Apps
W dzisiejszym miejscu pracy nie wystarczy wiedzieć, co się stało w środowisku chmury po fakcie. Należy zatrzymać naruszenia i przecieki w czasie rzeczywistym. Należy również uniemożliwić pracownikom celowe lub przypadkowe narażenie danych i organizacji na niebezpieczeństwo.
Chcesz obsługiwać użytkowników w organizacji, gdy korzystają oni z najlepszych dostępnych aplikacji w chmurze i działają na własnych urządzeniach. Jednak potrzebne są również narzędzia do ochrony organizacji przed wyciekami danych i kradzieżą w czasie rzeczywistym. Microsoft Defender for Cloud Apps integruje się z dowolnym dostawcą tożsamości (IdP), aby zapewnić tę ochronę za pomocą zasad dostępu i sesji.
Przykład:
Użyj zasad dostępu, aby:
- Blokuj dostęp do usługi Salesforce dla użytkowników urządzeń niezarządzanych.
- Blokuj dostęp do usługi Dropbox dla klientów natywnych.
Użyj zasad sesji, aby:
- Blokuj pobieranie poufnych plików z usługi OneDrive na urządzenia niezarządzane.
- Blokuj przekazywanie plików złośliwego oprogramowania do usługi SharePoint Online.
Użytkownicy przeglądarki Microsoft Edge korzystają z bezpośredniej ochrony w przeglądarce. Ikona blokady 
na pasku adresu przeglądarki wskazuje tę ochronę.
Użytkownicy innych przeglądarek są przekierowywani za pośrednictwem odwrotnego serwera proxy do Defender for Cloud Apps. Te przeglądarki wyświetlają sufiks *.mcas.ms w adresie URL linku. Jeśli na przykład adres URL aplikacji to myapp.com, adres URL aplikacji zostanie zaktualizowany do myapp.com.mcas.ms.
W tym artykule opisano kontrolę aplikacji dostępu warunkowego w Defender for Cloud Apps za pośrednictwem zasad dostępu warunkowego Microsoft Entra.
Działania w kontroli aplikacji dostępu warunkowego
Kontrola dostępu warunkowego aplikacji używa zasad dostępu i zasad sesji do monitorowania i kontrolowania dostępu do aplikacji użytkowników i sesji w czasie rzeczywistym w całej organizacji.
Każda zasada ma warunki określające , kto (który użytkownik lub grupa użytkowników), jakie (które aplikacje w chmurze) i gdzie (które lokalizacje i sieci) są stosowane do zasad. Po określeniu warunków przekieruj użytkowników najpierw do Defender for Cloud Apps. W tym miejscu można zastosować kontrolki dostępu i sesji, aby chronić dane.
Zasady dostępu i sesji obejmują następujące typy działań:
| Działanie | Opis |
|---|---|
| Zapobieganie eksfiltracji danych | Blokuj pobieranie, wycinanie, kopiowanie i drukowanie poufnych dokumentów na (na przykład) urządzeniach niezarządzanych. |
| Wymagaj kontekstu uwierzytelniania | Ponownie oceń Microsoft Entra zasad dostępu warunkowego, gdy w sesji wystąpi poufna akcja, na przykład wymagająca uwierzytelniania wieloskładnikowego. |
| Ochrona podczas pobierania | Zamiast blokować pobieranie poufnych dokumentów, należy wymagać, aby dokumenty były oznaczone etykietami i szyfrowane podczas integracji z Microsoft Purview Information Protection. Ta akcja pomaga chronić dokument i ograniczać dostęp użytkowników w potencjalnie ryzykownej sesji. |
| Zapobieganie przekazywaniu nieoznakowanych plików | Upewnij się, że przekazywanie nieoznakowanych plików, które mają poufną zawartość, jest blokowane, dopóki użytkownik nie zaklasyfikuje zawartości. Przed przekazaniem, dystrybucją lub użyciem pliku poufnego przez użytkownika plik musi mieć zdefiniowaną etykietę zasad organizacji. |
| Blokuj potencjalne złośliwe oprogramowanie | Pomóż chronić środowisko przed złośliwym oprogramowaniem, blokując przekazywanie potencjalnie złośliwych plików. Każdy plik, który użytkownik próbuje przekazać lub pobrać, może zostać zeskanowany pod kątem analizy zagrożeń firmy Microsoft i natychmiast zablokowany. |
| Monitorowanie sesji użytkowników pod kątem zgodności | Zbadaj i przeanalizuj zachowanie użytkownika, aby zrozumieć, gdzie i w jakich warunkach zasady sesji powinny być stosowane w przyszłości. Ryzykowni użytkownicy są monitorowane podczas logowania się do aplikacji, a ich akcje są rejestrowane z poziomu sesji. |
| Blokuj dostęp | Szczegółowe blokowanie dostępu dla określonych aplikacji i użytkowników w zależności od kilku czynników ryzyka. Na przykład można je zablokować, jeśli używają certyfikatów klienta jako formy zarządzania urządzeniami. |
| Blokuj działania niestandardowe | Niektóre aplikacje mają unikatowe scenariusze, które wiążą się z ryzykiem. Przykładem jest wysyłanie komunikatów, które mają poufną zawartość w aplikacjach takich jak Microsoft Teams lub Slack. W tego rodzaju scenariuszach skanuj komunikaty pod kątem poufnej zawartości i blokuj je w czasie rzeczywistym. |
Więcej informacji można znaleźć w następujących artykułach:
- Tworzenie zasad dostępu Microsoft Defender for Cloud Apps
- Tworzenie zasad sesji Microsoft Defender for Cloud Apps
Użyteczność
Kontrola aplikacji dostępu warunkowego nie wymaga zainstalowania niczego na urządzeniu, dlatego jest idealna, gdy monitorujesz lub kontrolujesz sesje z niezarządzanych urządzeń lub użytkowników partnerskich.
Defender for Cloud Apps używa opatentowanych heurystyki do identyfikowania i kontrolowania działań użytkowników w aplikacji docelowej. Heurystyka została zaprojektowana w celu optymalizacji i zrównoważenia zabezpieczeń przy użyciu użyteczności.
W niektórych rzadkich scenariuszach blokowanie działań po stronie serwera sprawia, że aplikacja jest bezużyteczna, więc organizacje zabezpieczają te działania tylko po stronie klienta. Takie podejście sprawia, że są one potencjalnie podatne na wykorzystywanie przez złośliwych wewnętrznych.
Wydajność systemu i magazyn danych
Defender for Cloud Apps korzysta z centrów danych platformy Azure na całym świecie w celu zapewnienia zoptymalizowanej wydajności za pośrednictwem geolokalizacji. Sesja użytkownika może być hostowana poza określonym regionem, w zależności od wzorców ruchu i jego lokalizacji. Jednak aby chronić prywatność użytkowników, te centra danych nie przechowują żadnych danych sesji.
Defender for Cloud Apps serwery proxy nie przechowują danych magazynowanych. Gdy buforujemy zawartość, spełniamy wymagania określone w dokumencie RFC 7234 (buforowanie HTTP) i buforujemy tylko zawartość publiczną.
Obsługiwane aplikacje i klienci
Zastosuj kontrolki sesji i dostępu do każdego interaktywnego logowania jednokrotnego używającego protokołu uwierzytelniania SAML 2.0. Mechanizmy kontroli dostępu są również obsługiwane w przypadku wbudowanych aplikacji klienckich dla urządzeń przenośnych i klasycznych.
Ponadto, jeśli używasz aplikacji Tożsamość Microsoft Entra, zastosuj mechanizmy kontroli sesji i dostępu do:
- Każde interaktywne logowanie jednokrotne używające protokołu uwierzytelniania OpenID Connect.
- Aplikacje hostowane lokalnie i skonfigurowane przy użyciu serwera proxy aplikacji Microsoft Entra.
Tożsamość Microsoft Entra aplikacje są również automatycznie dołączane do kontroli aplikacji dostępu warunkowego, natomiast aplikacje korzystające z innych adresów IP muszą zostać dołączone ręcznie.
Defender for Cloud Apps identyfikuje aplikacje przy użyciu danych z katalogu aplikacji w chmurze. Jeśli dostosowano aplikacje z wtyczkami, musisz dodać wszystkie skojarzone domeny niestandardowe do odpowiedniej aplikacji w katalogu. Aby uzyskać więcej informacji, zobacz Znajdowanie aplikacji w chmurze i obliczanie wyników ryzyka.
Uwaga
Nie można używać zainstalowanych aplikacji, które mają nieinteraktywne przepływy logowania, takie jak aplikacja Authenticator i inne wbudowane aplikacje , z kontrolkami dostępu. W takim przypadku zalecamy utworzenie zasad dostępu w centrum administracyjne Microsoft Entra oprócz zasad dostępu Microsoft Defender for Cloud Apps.
Zakres obsługi kontroli sesji
Mimo że kontrolki sesji są tworzone do pracy z dowolną przeglądarką na dowolnej platformie głównej w dowolnym systemie operacyjnym, obsługujemy najnowsze wersje następujących przeglądarek:
Użytkownicy przeglądarki Microsoft Edge korzystają z ochrony w przeglądarce bez przekierowywania do odwrotnego serwera proxy. Aby uzyskać więcej informacji, zobacz Ochrona w przeglądarce za pomocą Microsoft Edge for Business (wersja zapoznawcza).
Obsługa aplikacji dla protokołu TLS 1.2+
Defender for Cloud Apps używa protokołów TLS (Transport Layer Security) 1.2+ do zapewnienia szyfrowania. Wbudowane aplikacje klienckie i przeglądarki, które nie obsługują protokołu TLS 1.2 lub nowszego, nie są dostępne podczas konfigurowania ich za pomocą kontroli sesji.
Jednak aplikacje typu oprogramowanie jako usługa (SaaS) korzystające z protokołu TLS 1.1 lub starszego są wyświetlane w przeglądarce jako używające protokołu TLS 1.2 lub nowszego podczas konfigurowania ich przy użyciu Defender for Cloud Apps.