通过

适用于 SaaS 应用的推荐Microsoft Defender for Cloud Apps 策略

  • 项目

Microsoft Defender for Cloud Apps 基于 Microsoft Entra 条件访问策略构建,通过 SaaS 应用实时监视和控制精细操作,例如阻止下载、上传、复制和粘贴以及打印。 此功能为具有固有风险的会话(例如,从非托管设备或来宾访问公司资源时)增加了安全性。

Defender for Cloud Apps 还与 Microsoft Purview 信息保护进行原生集成,提供实时内容检查,以便根据敏感信息类型和敏感度标签查找敏感数据,并采取适当措施。

本指南包括针对这些方案的建议:

  • 将 SaaS 应用引入 IT 管理
  • 优化特定 SaaS 应用的保护
  • 配置 Microsoft Purview 数据丢失防护 (DLP) 以帮助遵守数据保护法规

将 SaaS 应用引入 IT 管理

使用 Defender for Cloud Apps 管理 SaaS 应用的第一步是发现这些应用,然后将其添加到 Microsoft Entra 组织。 如需有关发现方面的帮助,请参阅 在网络中发现和管理 SaaS 应用。 发现应用后,将它们添加到 Microsoft Entra 组织

可以通过执行以下步骤开始管理这些应用:

  1. 在 Microsoft Entra ID 中,创建新的条件访问策略并将其配置为使用 条件访问应用控制。 此配置将请求重定向到 Defender for Cloud Apps。 可以创建一个策略,并将所有 SaaS 应用添加到此策略。
  2. 在 Defender for Cloud Apps 中,创建会话策略。 为要应用的每个控件创建一个策略。

SaaS 应用的权限通常基于业务对应用访问的需求。 这些权限可以是高度动态的。 使用 Defender for Cloud Apps 策略可确保保护应用数据,无论用户是分配到与起点、企业还是专用安全保护关联的Microsoft Entra 组。

为了保护 SaaS 应用集合中的数据,下图说明了必要的Microsoft Entra 条件访问策略以及可在 Defender for Cloud Apps 中创建的建议策略。 在此示例中,Defender for Cloud Apps 中创建的策略适用于所管理的所有 SaaS 应用。 这些策略旨在根据设备是否进行管理以及已应用于文件的敏感度标签来应用适当的控制。

关系图,显示用于在 Defender for Cloud Apps 中管理 SaaS 应用的策略。

下表列出了必须在 Microsoft Entra ID 中创建的新条件访问策略:

保护级别 政策 详细信息
所有保护级别 在 Defender for Cloud Apps 中使用条件访问应用控制 将 Microsoft Entra ID(IdP)配置为与 Defender for Cloud Apps 搭配使用。

下表列出了上一个表中的示例策略,可以创建这些策略来保护所有 SaaS 应用。 请务必评估业务、安全性和合规性目标,然后创建为环境提供最适当的保护的策略。

保护级别 政策
起点 监视来自非托管设备的网络流量

向来自非管理的设备的文件下载添加保护
企业 阻止从非托管设备下载被标记为敏感或机密的文件(只能通过浏览器访问)
专业化安全 阻止从所有设备下载标记为机密的文件(结果是仅限浏览器访问)

有关设置条件访问应用控制的端到端说明,请参阅 Microsoft Defender for Cloud Apps 中的条件访问应用控制。 本文指导你完成在 Microsoft Entra ID 中创建必要的条件访问策略并测试 SaaS 应用的过程。

有关详细信息,请参阅 使用 Microsoft Defender for Cloud Apps 条件访问应用控制保护应用。

优化特定 SaaS 应用的保护

你可能想要将其他监视和控制应用到特定的 SaaS 应用,可以在 Defender for Cloud Apps 中执行此操作。 例如,如果您的组织对 Box 的依赖程度很高,那么实施更多的控制措施是有意义的。 或者,如果你的法律或财务部门对敏感数据使用特定的 SaaS 应用,则可以针对这些应用设定额外的保护目标。

例如,可以使用以下类型的 内置异常情况检测策略模板来保护 Box 环境

  • 来自匿名 IP 地址的活动
  • 来自不常见的国家/地区的活动
  • 来自可疑 IP 地址的活动
  • Impossible travel
  • 已离职用户执行的活动(需要 Microsoft Entra ID 作为 IdP)
  • 恶意软件检测
  • 多次失败的登录尝试
  • 勒索软件活动
  • 有风险的 OAuth 应用
  • 异常文件共享活动

定期添加异常情况检测策略模板。 有关如何将更多保护应用于特定应用的示例,请参阅 连接应用,以便通过 Microsoft Defender for Cloud Apps获取可见性和控制。

Defender for Cloud Apps 如何帮助保护 Box 环境演示了有助于在 Box 和其他具有敏感数据的应用中保护业务数据的控制措施类型。

配置 DLP 以帮助遵守数据保护法规

Defender for Cloud Apps 是配置符合性法规保护的宝贵工具。 创建特定策略来查找受管制的数据,并配置每个策略以采取适当的措施。

下图和表提供了几个策略示例,你可以配置这些策略来帮助遵守一般数据保护条例(GDPR)。 根据数据的敏感度,将每个策略配置为采取适当的操作。

图示显示了 Defender for Cloud Apps 的数据丢失防护策略页面。

保护级别 示例策略
起点 当包含信用卡号敏感信息类型的文件在组织外部共享时发出警报。

阻止包含 信用卡号这一 敏感信息类型的文件下载到非托管设备。
企业 保护下载包含 信用卡号 敏感信息类型的文件到托管设备。

阻止将包含信用卡号敏感信息类型的文件下载到非管理的设备。

将具有以下标签之一的文件上传到 OneDrive 或 Box 时发出警报:客户数据人力资源:工资数据人力资源、员工数据
专业安全 将具有 高度分类 标签的文件下载到托管设备时发出警报。

阻止将标记为 高度机密 的文件下载到非托管设备。

后续步骤

有关使用 Defender for Cloud Apps 的详细信息,请参阅 Microsoft Defender for Cloud Apps 文档