Styra identifierade appar med hjälp av Microsoft Defender för Endpoint

Den Microsoft Defender for Cloud Apps integreringen med Microsoft Defender för Endpoint ger en sömlös skugg-IT-synlighet och kontrolllösning. Vår integrering gör det möjligt för Defender for Cloud Apps administratörer att blockera slutanvändares åtkomst till molnappar genom att integrera Defender for Cloud Apps appstyrningskontroller med Microsoft Defender för Endpoint nätverksskydd. Administratörer kan också använda en mildare metod för att varna användare när de får åtkomst till riskfyllda molnappar.

Defender for Cloud Apps använder den inbyggda taggen Unsanctioned för att markera molnappar som förbjudna för användning, som är tillgängliga på sidorna Cloud Discovery och Cloud App Catalog. Genom att aktivera integrering med Defender för Endpoint kan du sömlöst blockera åtkomst till icke sanktionerade appar med ett enda klick i Defender for Cloud Apps-portalen.

Appar som markerats som Ej sanktionerade i Defender for Cloud Apps synkroniseras automatiskt till Defender för Endpoint. Mer specifikt sprids de domäner som används av dessa icke sanktionerade appar till slutpunktsenheter som ska blockeras av Microsoft Defender Antivirus i serviceavtalet för nätverksskydd.

Obs!

Tidsfördröjningen för att blockera en app via Defender för Endpoint är upp till tre timmar från det ögonblick då du markerar appen som osanktionerad i Defender for Cloud Apps tills appen blockeras på enheten. Detta beror på upp till en timmes synkronisering av Defender for Cloud Apps sanktionerade/icke sanktionerade appar till Defender för Endpoint och upp till två timmar för att push-överföra principen till enheterna för att blockera appen när indikatorn har skapats i Defender för Endpoint.

Förhandskrav

• En av följande licenser:

  • Defender for Cloud Apps (E5, AAD-P1m CAS-D) och Microsoft Defender för Endpoint Plan 2, med slutpunkter registrerade i Defender för Endpoint
  • Microsoft 365 E5

• Microsoft Defender Antivirus. Mer information finns i:

  • Realtidsskydd aktiverat
  • Molnlevererat skydd aktiverat
  • Nätverksskydd aktiverat och konfigurerat för blockeringsläge

• Något av följande operativsystem som stöds:

  • Windows: Windows version 10 18.09 (RS5) OS Build 1776.3, 11 och senare
  • Android: lägsta version 8.0: Mer information finns i: Microsoft Defender för Endpoint på Android
  • iOS: lägsta version 14.0: Mer information finns i: Microsoft Defender för Endpoint på iOS
  • macOS: lägsta version 11: Mer information finns i: Nätverksskydd för macOS
  • Systemkrav för Linux: Mer information finns i: Nätverksskydd för Linux

• Microsoft Defender för Endpoint har registrerats. Mer information finns i Publicera Defender for Cloud Apps med Defender för Endpoint.

• Administratörsåtkomst för att göra ändringar i Defender for Cloud Apps. Mer information finns i Hantera administratörsåtkomst.

Aktivera blockering av molnappar med Defender för Endpoint

Använd följande steg för att aktivera åtkomstkontroll för molnappar:

1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Cloud Discovery väljer du Microsoft Defender för Endpoint och sedan Framtvinga appåtkomst.

   

   Obs!

   Det kan ta upp till 30 minuter innan den här inställningen börjar gälla.

2. I Microsoft Defender XDR går du till Inställningar>Slutpunkter>Avancerade funktioner och väljer sedan Anpassade nätverksindikatorer. Information om nätverksindikatorer finns i Skapa indikatorer för IP-adresser och URL:er/domäner.

   På så sätt kan du använda Microsoft Defender Antivirus-nätverksskyddsfunktioner för att blockera åtkomst till en fördefinierad uppsättning URL:er med hjälp av Defender for Cloud Apps, antingen genom att manuellt tilldela apptaggar till specifika appar eller automatiskt använda en appidentifieringsprincip.

   

Utbilda användare vid åtkomst till blockerade appar & anpassa blockeringssidan

Administratörer kan nu konfigurera och bädda in en support-/hjälp-URL för blockeringssidor. Med den här konfigurationen kan administratörer utbilda användare när de får åtkomst till blockerade appar. Användare uppmanas att använda en anpassad omdirigeringslänk till en företagssida med appar som blockerats för användning och nödvändiga steg som ska följas för att skydda ett undantag på blocksidor. Slutanvändarna omdirigeras till den här URL:en som konfigureras av administratören när de klickar på "Besök supportsidan" på blockeringssidan.

Defender for Cloud Apps använder den inbyggda apptaggen Unsanctioned för att markera molnappar som blockerade för användning. Taggen är tillgänglig på sidorna Cloud Discovery och Cloud App Catalog . Genom att aktivera integrering med Defender för Endpoint kan du sömlöst utbilda användare om appar som blockerats för användning och steg för att skydda ett undantag med ett enda klick i Defender for Cloud Apps-portalen.

Appar som har markerats som Ej sanktionerade synkroniseras automatiskt med Defender för Endpoints anpassade URL-indikatorer, vanligtvis inom några minuter. Mer specifikt sprids de domäner som används av blockerade appar till slutpunktsenheter för att tillhandahålla ett meddelande från Microsoft Defender Antivirus i serviceavtalet för nätverksskydd.

Konfigurera den anpassade omdirigerings-URL:en för blockeringssidan

Använd följande steg för att konfigurera en anpassad hjälp-/support-URL som pekar på en företagswebbsida eller en sharepoint-länk där du kan utbilda anställda om varför de har blockerats från att komma åt programmet och ange en lista med steg för att skydda ett undantag eller dela företagets åtkomstprincip för att följa organisationens riskgodkännande.

1. I Microsoft Defender-portalen väljer du Inställningar>Cloud Apps>Cloud Discovery>Microsoft Defender för Endpoint.
2. I listrutan Aviseringar väljer du Information.
3. Under Användarvarningar>Meddelande-URL för blockerade appar anger du din URL. Till exempel:

Blockera appar för specifika enhetsgrupper

Gör följande för att blockera användning för specifika enhetsgrupper:

1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Molnidentifiering väljer du sedan Apptaggar och går till fliken Omfångsprofiler .

2. Välj Lägg till profil. Profilen anger entiteter som är begränsade till blockering/avblockering av appar.

3. Ange ett beskrivande profilnamn och en beskrivning.

4. Välj om profilen ska vara en Inkludera eller Exkludera profil.

   • Inkludera: endast den inkluderade uppsättningen entiteter påverkas av åtkomsttillämpningen. Profilen myContoso har till exempel Inkludera för enhetsgrupper A och B. Om du blockerar appen Y med profilen blockerar myContoso endast appåtkomst för grupperna A och B.

   • Exkludera: Den exkluderade uppsättningen entiteter påverkas inte av åtkomsttillämpningen. Profilen myContoso har till exempel Exkludera för enhetsgrupper A och B. Om du blockerar appen Y med profilen blockerar myContoso appåtkomst för hela organisationen förutom grupperna A och B.

5. Välj relevanta enhetsgrupper för profilen. Enhetsgrupper i listan hämtas från Microsoft Defender för Endpoint. Mer information finns i Skapa en enhetsgrupp.

6. Välj Spara.

   

Gör följande för att blockera en app:

1. I Microsoft Defender-portalen går du till Cloud Discovery under Cloud Apps och går till fliken Identifierade appar.

2. Välj den app som ska blockeras.

3. Tagga appen som Ej sanktionerad.

   

4. Om du vill blockera alla enheter i din organisation går du till dialogrutan Tagga som osanktionerad? och väljer Spara. Om du vill blockera specifika enhetsgrupper i dina organisationer väljer du Välj en profil att inkludera eller exkludera grupper från att blockeras. Välj sedan den profil som appen ska blockeras för och välj Spara.

   

   Dialogrutan Tagga som ej sanktionerad? visas bara när din klientorganisation har molnappen blockerad med Defender för Endpoint aktiverat och om du har administratörsåtkomst för att göra ändringar.

Obs!

• Tvingande förmåga baseras på Defender för Endpoints anpassade URL-indikatorer.
• Alla organisationsomfång som ställts in manuellt på indikatorer som skapades av Defender for Cloud Apps innan den här funktionen släpptes åsidosätts av Defender for Cloud Apps. Det nödvändiga omfånget ska anges från Defender for Cloud Apps upplevelse med hjälp av den begränsade profilupplevelsen.
• Om du vill ta bort en markerad omfångsprofil från en icke sanktionerad app tar du bort taggen som inte är sanktionerad och taggar sedan appen igen med den nödvändiga omfångsprofilen.
• Det kan ta upp till två timmar för appdomäner att spridas och uppdateras i slutpunktsenheterna när de har markerats med relevant tagg eller/och omfång.
• När en app taggas som Övervakad visas alternativet att tillämpa en omfångsprofil endast om den inbyggda datakällan Win10 Endpoint Users konsekvent har tagit emot data under de senaste 30 dagarna.

Utbilda användare vid åtkomst till riskfyllda appar

Administratörer har möjlighet att varna användare när de får åtkomst till riskfyllda appar. I stället för att blockera användare uppmanas de att ange ett meddelande som tillhandahåller en anpassad omdirigeringslänk till en företagssida med appar som godkänts för användning. Uppmaningen innehåller alternativ för användare att kringgå varningen och fortsätta till appen. Administratörer kan också övervaka antalet användare som kringgår varningsmeddelandet.

Defender for Cloud Apps använder den inbyggda taggen Övervakad app för att markera molnappar som riskfyllda för användning. Taggen är tillgänglig på sidorna Cloud Discovery och Cloud App Catalog . Genom att aktivera integrering med Defender för Endpoint kan du sömlöst varna användare om åtkomst till övervakade appar med ett enda klick i Defender for Cloud Apps-portalen.

Appar som markerats som Övervakade synkroniseras automatiskt med Defender för Endpoints anpassade URL-indikatorer, vanligtvis inom några minuter. Mer specifikt sprids de domäner som används av övervakade appar till slutpunktsenheter för att ge ett varningsmeddelande från Microsoft Defender Antivirus i serviceavtalet för nätverksskydd.

Konfigurera den anpassade omdirigerings-URL:en för varningsmeddelandet

Använd följande steg för att konfigurera en anpassad URL som pekar på en företagswebbsida där du kan utbilda anställda om varför de har varnats och ange en lista över alternativa godkända appar som följer organisationens riskgodkännande eller som redan hanteras av organisationen.

1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Cloud Discovery väljer du Microsoft Defender för Endpoint.

2. I rutan Meddelande-URL anger du din URL.

   

Konfigurera varaktighet för förbikoppling av användare

Eftersom användarna kan kringgå varningsmeddelandet kan du använda följande steg för att konfigurera varaktigheten för förbikopplingen. När varaktigheten har förflutit tillfrågas användarna med varningsmeddelandet nästa gång de kommer åt den övervakade appen.

1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Cloud Discovery väljer du Microsoft Defender för Endpoint.

2. I rutan Kringgå varaktighet anger du varaktigheten (timmar) för användarens förbikoppling.

   

Övervaka tillämpade appkontroller

När kontrollerna har tillämpats kan du övervaka appanvändningsmönster med de tillämpade kontrollerna (åtkomst, blockera, kringgå) med hjälp av följande steg.

1. I Microsoft Defender-portalen går du till Cloud Discovery under Cloud Apps och går sedan till fliken Identifierade appar. Använd filtren för att hitta relevant övervakad app.
2. Välj appens namn för att visa tillämpade appkontroller på appens översiktssida.

Nästa steg

Undersöka appar som identifierats av Microsoft Defender för Endpoint

Kontrollera molnappar med principer

Relaterade videor

Identifiera och blockera Skugg-IT med Hjälp av Defender för Endpoint

Skugg-IT-identifiering utanför företagsnätverket

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.