Microsoft Defender for Cloud Apps 中的条件访问应用控制
在当今的工作场所中,仅仅知道事后在云环境中发生了什么是不够的。 你需要实时阻止违规和泄漏。 你还需要防止员工有意或意外地将你的数据和组织置于风险之中。
你希望支持组织中的用户,同时他们使用可用的最佳云应用,并自带设备工作。 但是,你还需要工具来实时保护组织免受数据泄露和盗窃的侵害。 Microsoft Defender for Cloud Apps与任何标识提供者 (IdP) 集成,以便通过访问和会话策略提供此保护。
例如:
使用访问策略可以:
- 阻止非托管设备的用户访问 Salesforce。
- 阻止本机客户端访问 Dropbox。
使用会话策略可以:
- 阻止将敏感文件从 OneDrive 下载到非托管设备。
- 阻止将恶意软件文件上传到 SharePoint Online。
Microsoft Edge 用户受益于 直接的浏览器内保护。 浏览器地址栏上的锁 
图标指示此保护。
其他浏览器的用户通过反向代理重定向到Defender for Cloud Apps。 这些浏览器在链接的 URL 中显示后 *.mcas.ms 缀。 例如,如果应用 URL 为 myapp.com,则应用 URL 将更新为 myapp.com.mcas.ms。
本文介绍通过Microsoft Entra条件访问策略Defender for Cloud Apps中的条件访问应用控制。
条件访问应用控件中的活动
条件访问应用控制使用访问策略和会话策略在整个组织中实时监视和控制用户应用访问和会话。
每个策略都有一些条件来定义 谁 () 的用户或用户组、 哪些 (哪些云应用) ,以及 ( 应用策略) 哪些位置和网络。 确定条件后,首先将用户路由到Defender for Cloud Apps。 在那里,可以应用访问和会话控制来帮助保护数据。
访问和会话策略包括以下类型的活动:
| 活动 | 说明 |
|---|---|
| 防止数据外泄 | 阻止在 (上下载、剪切、复制和打印敏感文档,例如) 非托管设备。 |
| 需要身份验证上下文 | 当会话中发生敏感操作(例如要求多重身份验证)时,重新计算Microsoft Entra条件访问策略。 |
| 下载时保护 | 与 Microsoft Purview 信息保护 集成时,要求对文档进行标记和加密,而不是阻止敏感文档的下载。 此操作有助于保护文档,并限制用户在具有潜在风险的会话中的访问。 |
| 阻止上传未标记的文件 | 确保在用户对内容进行分类之前阻止上传具有敏感内容的未标记文件。 在用户上传、分发或使用敏感文件之前,该文件必须具有组织策略定义的标签。 |
| 阻止潜在的恶意软件 | 通过阻止上传潜在的恶意文件,帮助保护环境免受恶意软件的侵害。 用户尝试上传或下载的任何文件都可以针对Microsoft威胁情报进行扫描并立即阻止。 |
| 监视用户会话的合规性 | 调查和分析用户行为,以了解将来应在何处以及哪些条件下应用会话策略。 风险用户登录应用时会受到监视,并且会从会话中记录其操作。 |
| 阻止访问 | 根据多种风险因素,精细地阻止特定应用和用户的访问。 例如,如果他们使用客户端证书作为设备管理的形式,则可以阻止它们。 |
| 阻止自定义活动 | 某些应用具有具有风险的独特方案。 例如,在 Microsoft Teams 或 Slack 等应用中发送包含敏感内容的消息。 在这些类型的方案中,扫描消息中的敏感内容并实时阻止它们。 |
有关更多信息,请参阅:
可用性
条件访问应用控制不要求你在设备上安装任何内容,因此在监视或控制来自非托管设备或合作伙伴用户的会话时,这是理想之选。
Defender for Cloud Apps使用专利试探法来识别和控制目标应用中的用户活动。 启发式分析旨在优化和平衡安全性和可用性。
在某些极少数情况下,在服务器端阻止活动会使应用不可用,因此组织只能在客户端保护这些活动。 这种方法使他们可能容易受到恶意内部人员的利用。
系统性能和数据存储
Defender for Cloud Apps使用世界各地的 Azure 数据中心通过地理位置提供优化的性能。 用户的会话可能托管在特定区域之外,具体取决于流量模式及其位置。 但是,为了帮助保护用户隐私,这些数据中心不存储任何会话数据。
Defender for Cloud Apps代理服务器不静态存储数据。 缓存内容时,我们遵循 RFC 7234 (HTTP 缓存) 和仅缓存公共内容的要求。
支持的应用和客户端
将会话和访问控制应用于使用 SAML 2.0 身份验证协议的任何交互式单一登录。 内置移动和桌面客户端应用也支持访问控制。
此外,如果使用Microsoft Entra ID应用,请对:
- 使用 OpenID Connect 身份验证协议的任何交互式单一登录。
- 在本地托管并使用 Microsoft Entra 应用程序代理配置的应用。
Microsoft Entra ID应用也会自动载入条件访问应用控制,而使用其他 IdP 的应用必须手动加入。
Defender for Cloud Apps使用云应用目录中的数据标识应用。 如果使用插件自定义应用,则必须将任何关联的自定义域添加到目录中的相关应用。 有关详细信息,请参阅 查找云应用和计算风险分数。
注意
不能使用具有 非交互式 登录流的已安装应用(例如 Authenticator 应用和其他内置应用)和访问控制。 在这种情况下,我们建议除了Microsoft Defender for Cloud Apps访问策略外,还要在Microsoft Entra 管理中心中制定访问策略。
会话控制支持范围
尽管会话控件是针对任何操作系统上任何主要平台上的任何浏览器而构建的,但我们支持以下浏览器的最新版本:
Microsoft Edge 用户受益于浏览器内保护,而无需重定向到反向代理。 有关详细信息,请参阅使用 Microsoft Edge 商业版 (预览版) 的浏览器内保护。
对 TLS 1.2+ 的应用支持
Defender for Cloud Apps使用传输层安全性 (TLS) 1.2+ 协议来提供加密。 使用会话控制配置不支持 TLS 1.2+ 的内置客户端应用和浏览器时,无法访问它们。
但是,使用 TLS 1.1 或更早版本的 SaaS (SaaS) 应用的软件即服务在浏览器中显示为使用 TLS 1.2+ Defender for Cloud Apps。