Управление условным доступом к приложениям в Microsoft Defender for Cloud Apps
На современном рабочем месте недостаточно знать, что произошло в облачной среде. Необходимо остановить нарушения и утечки в режиме реального времени. Кроме того, необходимо не допустить, чтобы сотрудники намеренно или случайно подвергали риску ваши данные и организацию.
Вы хотите поддерживать пользователей в вашей организации, пока они используют лучшие доступные облачные приложения и используют собственные устройства для работы. Однако вам также потребуются средства для защиты организации от утечки данных и кражи в режиме реального времени. Microsoft Defender for Cloud Apps интегрируется с любым поставщиком удостоверений (IdP) для обеспечения этой защиты с помощью политик доступа и сеансов.
Например:
Используйте политики доступа, чтобы:
- Блокировать доступ к Salesforce для пользователей неуправляемых устройств.
- Блокировка доступа к Dropbox для собственных клиентов.
Используйте политики сеансов, чтобы:
- Блокировать скачивание конфиденциальных файлов из OneDrive на неуправляемые устройства.
- Блокировать отправку файлов вредоносных программ в SharePoint Online.
Пользователи Microsoft Edge получают преимущества прямой защиты в браузере. Значок блокировки 
в адресной строке браузера указывает на эту защиту.
Пользователи других браузеров перенаправляются через обратный прокси-сервер в Defender for Cloud Apps. Эти браузеры отображают суффикс *.mcas.ms в URL-адресе ссылки. Например, если URL-адрес приложения — myapp.com, URL-адрес приложения обновляется на myapp.com.mcas.ms.
В этой статье описывается управление условным доступом к приложениям в Defender for Cloud Apps с помощью политик условного доступа Microsoft Entra.
Действия в элементе управления условным доступом к приложениям
Управление условным доступом к приложениям использует политики доступа и политики сеансов для мониторинга и управления доступом и сеансами пользователей в режиме реального времени в организации.
Каждая политика имеет условия, определяющие , к кому (к какому пользователю или группе пользователей), к чему (к каким облачным приложениям) и к каким расположениям и сетям применяется политика. После определения условий сначала перенаправьте пользователей на Defender for Cloud Apps. Там вы можете применить элементы управления доступом и сеансами для защиты данных.
Политики доступа и сеансов включают следующие типы действий:
| Действие | Описание |
|---|---|
| Предотвращение кражи данных | Блокировать скачивание, вырезание, копирование и печать конфиденциальных документов на (например) неуправляемых устройствах. |
| Требовать контекст проверки подлинности | Переоценка политик условного доступа Microsoft Entra, когда в сеансе выполняется конфиденциальное действие, например требуется многофакторная проверка подлинности. |
| Защита от скачивания | Вместо того чтобы блокировать скачивание конфиденциальных документов, требуйте, чтобы документы были помечены и зашифрованы при интеграции с Защита информации Microsoft Purview. Это действие помогает защитить документ и ограничить доступ пользователей в сеансе, потенциально опасном. |
| Запретить отправку файлов без меток | Убедитесь, что отправка файлов без меток с конфиденциальным содержимым блокируется до тех пор, пока пользователь не классифицирует содержимое. Перед отправкой, распространением или использованием конфиденциального файла пользователь должен иметь метку, определенную политикой вашей организации. |
| Блокировка потенциальной вредоносной программы | Помогите защитить среду от вредоносных программ, заблокировав отправку потенциально вредоносных файлов. Любой файл, который пользователь пытается передать или скачать, можно проверить на наличие Microsoft Threat Intelligence и мгновенно заблокировать. |
| Мониторинг сеансов пользователей на соответствие требованиям | Изучите и проанализируйте поведение пользователей, чтобы понять, где и при каких условиях политики сеансов должны применяться в будущем. Пользователи с рисками отслеживаются при входе в приложения, а их действия регистрируются в сеансе. |
| Заблокировать доступ | Детализированное блокирование доступа для определенных приложений и пользователей в зависимости от нескольких факторов риска. Например, их можно заблокировать, если они используют сертификаты клиента в качестве формы управления устройствами. |
| Блокировка пользовательских действий | Некоторые приложения имеют уникальные сценарии, которые несут риск. Примером является отправка сообщений с конфиденциальным содержимым в таких приложениях, как Microsoft Teams или Slack. В таких сценариях проверяйте сообщения на наличие конфиденциального содержимого и блокируйте их в режиме реального времени. |
Дополнительные сведения см. в разделе:
- Создание политик доступа Microsoft Defender for Cloud Apps
- Создание политик сеанса Microsoft Defender for Cloud Apps
Удобство использования
Для управления условным доступом к приложениям не требуется устанавливать что-либо на устройстве, поэтому он идеально подходит для мониторинга или управления сеансами с неуправляемых устройств или пользователей-партнеров.
Defender for Cloud Apps использует запатентованную эвристика для идентификации и контроля действий пользователей в целевом приложении. Эвристика предназначена для оптимизации и балансировки безопасности с удобством использования.
В некоторых редких случаях блокировка действий на стороне сервера делает приложение непригодным для использования, поэтому организации защищают эти действия только на стороне клиента. Такой подход делает их потенциально уязвимыми для использования вредоносными инсайдерами.
Производительность системы и хранение данных
Defender for Cloud Apps использует центры обработки данных Azure по всему миру для обеспечения оптимизированной производительности за счет географического расположения. Сеанс пользователя может быть размещен за пределами определенного региона в зависимости от шаблонов трафика и их расположения. Однако для защиты конфиденциальности пользователей в этих центрах обработки данных не хранятся данные сеанса.
Defender for Cloud Apps прокси-серверы не хранят неактивные данные. При кэшировании содержимого мы соблюдаем требования, изложенные в RFC 7234 (кэширование HTTP), и кэшируем только общедоступное содержимое.
Поддерживаемые приложения и клиенты
Применяйте элементы управления сеансом и доступом к любому интерактивному единому входу, использующим протокол проверки подлинности SAML 2.0. Элементы управления доступом также поддерживаются для встроенных мобильных и классических клиентских приложений.
Кроме того, если вы используете приложения Microsoft Entra ID, примените элементы управления сеансом и доступом к следующим элементам:
- Любой интерактивный единый вход, использующий протокол проверки подлинности OpenID Connect.
- Приложения, размещенные локально и настроенные с помощью прокси-сервера приложения Microsoft Entra.
Microsoft Entra ID приложения также автоматически подключены к управлению условным доступом, тогда как приложения, использующие другие поставщики удостоверений, должны быть подключены вручную.
Defender for Cloud Apps определяет приложения с помощью данных из каталога облачных приложений. Если вы настроили приложения с помощью подключаемых модулей, необходимо добавить все связанные личные домены в соответствующее приложение в каталоге. Дополнительные сведения см. в статье Поиск облачного приложения и вычисление оценок риска.
Примечание.
С элементами управления доступом нельзя использовать установленные приложения, которые имеют неинтерактивные потоки входа, такие как приложение Authenticator и другие встроенные приложения. В этом случае мы рекомендуем создать политику доступа в Центр администрирования Microsoft Entra в дополнение к политикам доступа Microsoft Defender for Cloud Apps.
Область поддержки управления сеансами
Хотя элементы управления сеансом созданы для работы с любым браузером на любой крупной платформе в любой операционной системе, мы поддерживаем последние версии следующих браузеров:
Пользователи Microsoft Edge получают преимущества защиты в браузере, не перенаправляясь на обратный прокси-сервер. Дополнительные сведения см. в разделе Защита в браузере с помощью Microsoft Edge для бизнеса (предварительная версия).
Поддержка приложений для TLS 1.2+
Defender for Cloud Apps использует протоколы TLS 1.2 и более поздних версий для обеспечения шифрования. Встроенные клиентские приложения и браузеры, которые не поддерживают TLS 1.2+, недоступны при настройке их с помощью управления сеансами.
Однако приложения SaaS, использующие ПРОТОКОЛ TLS 1.1 или более ранних версий, отображаются в браузере как использующие TLS 1.2+ при настройке Defender for Cloud Apps.