Microsoft Defender for Cloud Apps 中的條件式存取應用程控
在現今的工作場所中,還不足以知道在事實之後您的雲端環境中發生什麼事。 您必須即時停止缺口和外洩。 您也必須防止員工刻意或不小心將您的數據和組織置於風險中。
您想要支援組織中的使用者,同時使用最佳的雲端應用程式,並讓自己的裝置能夠運作。 不過,您也需要工具來保護貴組織免於實時數據外泄和竊取。 Microsoft Defender for Cloud Apps 與任何識別提供者整合 (IdP) ,以使用存取和會話原則來提供此保護。
例如:
使用存取原則來:
- 封鎖非受控裝置使用者對 Salesforce 的存取。
- 封鎖原生用戶端的Dropbox存取。
使用會話原則來:
- 封鎖將敏感性檔案從 OneDrive 下載到 Unmanaged 裝置。
- 封鎖將惡意代碼檔案上傳至 SharePoint Online。
Microsoft Edge 使用者可受益於 直接的瀏覽器內保護。 瀏覽器網址列上的鎖定 
圖示表示這項保護。
其他瀏覽器的用戶會透過反向 Proxy 重新導向至 Defender for Cloud Apps。 這些瀏覽器會在連結的 URL 中顯示 *.mcas.ms 後綴。 例如,如果應用程式 URL 是 myapp.com,則應用程式 URL 會更新為 myapp.com.mcas.ms。
本文說明透過 Microsoft Entra 條件式存取原則在 Defender for Cloud Apps 中的條件式存取應用程控。
條件式存取應用程控中的活動
條件式存取應用程控會使用存取原則和會話原則,即時監視及控制整個組織的使用者應用程式存取和會話。
每個原則都有條件可定義 ( 哪些使用者或使用者群組 ) 、 ( 哪些雲端應用程式) ,以及 ( 套用原則) 哪些位置和網路。 判斷條件之後,請先將使用者路由傳送至 Defender for Cloud Apps。 您可以在該處套用存取和會話控制項,以協助保護您的數據。
存取和工作階段原則包含下列類型的活動:
| 活動 | 描述 |
|---|---|
| 防止數據外流 | 封鎖 (上敏感性文件的下載、剪下、複製和列印,例如) 非受控裝置。 |
| 需要驗證內容 | 在會話中發生敏感性動作時,重新評估 Microsoft Entra 條件式存取原則,例如要求多重要素驗證。 |
| 在下載時保護 | 與 Microsoft Purview 資訊保護 整合時,您不需要封鎖敏感性文件的下載,而是需要標記和加密檔。 此動作有助於保護檔,並限制使用者在有潛在風險的會話中的存取權。 |
| 防止上傳未標記的檔案 | 請確定在使用者分類內容之前,已封鎖上傳具有敏感性內容的未標記檔案。 在用戶上傳、散發或使用敏感性檔案之前,檔案必須已定義您組織的原則標籤。 |
| 封鎖潛在的惡意代碼 | 封鎖潛在惡意檔案的上傳,協助保護您的環境免於惡意代碼。 用戶嘗試上傳或下載的任何檔案都可以針對Microsoft威脅情報進行掃描,並立即封鎖。 |
| 監視用戶會話的合規性 | 調查和分析用戶行為,以瞭解未來應該套用會話原則的位置和條件。 有風險的使用者在登入應用程式時會受到監視,而且其動作會從會話內記錄。 |
| 封鎖存取 | 根據數個風險因素,細微地封鎖特定應用程式和使用者的存取。 例如,如果客戶端憑證是以裝置管理的形式使用,您可以加以封鎖。 |
| 封鎖自定義活動 | 某些應用程式具有具有風險的獨特案例。 其中一個範例是傳送在應用程式中具有敏感性內容的訊息,例如Microsoft Teams 或 Slack。 在這類案例中,掃描訊息中是否有敏感性內容,並即時加以封鎖。 |
如需詳細資訊,請參閱:
可用性
條件式存取應用程控不需要您在裝置上安裝任何專案,因此當您監視或控制來自非受控裝置或合作夥伴使用者的會話時,這是理想的選擇。
Defender for Cloud Apps 使用專利啟發學習法來識別及控制目標應用程式中的用戶活動。 啟發學習法的設計目的是要優化及平衡安全性與可用性。
在某些罕見的情況下,在伺服器端封鎖活動會使應用程式無法使用,因此組織只會在客戶端保護這些活動。 這種方法可能會讓他們容易受到惡意測試人員的惡意攻擊。
系統效能和數據記憶體
Defender for Cloud Apps 會使用世界各地的 Azure 資料中心,透過地理位置提供優化的效能。 使用者的會話可能會裝載在特定區域之外,視流量模式及其位置而定。 不過,為了協助保護用戶隱私權,這些數據中心不會儲存任何會話數據。
Defender for Cloud Apps Proxy 伺服器不會儲存待用數據。 當我們快取內容時,我們會遵循 RFC 7234 中所述的需求 (HTTP 快取) ,並只快取公用內容。
支援的應用程式和用戶端
將會話和訪問控制套用至任何使用 SAML 2.0 驗證通訊協定的互動式單一登錄。 內建行動裝置和桌面用戶端應用程式也支援訪問控制。
此外,如果您使用 Microsoft Entra ID 應用程式,請將會話和訪問控制套用至:
- 任何使用 OpenID Connect 驗證通訊協定的互動式單一登錄。
- 裝載於內部部署且使用 Microsoft Entra 應用程式 Proxy 設定的應用程式。
Microsoft Entra ID 應用程式也會自動上線以進行條件式存取應用程控,而使用其他 IDP 的應用程式則必須手動上線。
Defender for Cloud Apps 使用雲端應用程式目錄中的數據來識別應用程式。 如果您使用外掛程式自定義應用程式,則必須將任何相關聯的自定義網域新增至目錄中的相關應用程式。 如需詳細資訊,請 參閱尋找您的雲端應用程式並計算風險分數。
注意事項
您無法使用具有 非互動式 登入流程的已安裝應用程式,例如 Authenticator 應用程式和其他內建應用程式,以及存取控制。 在此情況下,我們的建議是在 Microsoft Entra 系統管理中心 中建立存取原則,以及 Microsoft Defender for Cloud Apps 存取原則。
會話控制的支援範圍
雖然會話控制項是建置來與任何作業系統上任何主要平臺上的任何瀏覽器搭配使用,但我們支援下列瀏覽器的最新版本:
Microsoft Edge 用戶可從瀏覽器內保護獲益,而不需要重新導向至反向 Proxy。 如需詳細資訊,請參閱 商務用 Microsoft Edge (預覽) 的瀏覽器內保護。
TLS 1.2+ 的應用程式支援
Defender for Cloud Apps 使用傳輸層安全性 (TLS) 1.2+ 通訊協定來提供加密。 當您使用工作階段控制進行設定時,無法存取不支援 TLS 1.2+ 的內建用戶端應用程式和瀏覽器。
不過,使用 TLS 1.1 或更早版本 (SaaS) 應用程式的軟體即服務會在瀏覽器中顯示為使用 TLS 1.2+,當您使用 Defender for Cloud Apps 進行設定時。