Appkontroll for betinget tilgang i Microsoft Defender for Cloud Apps
På dagens arbeidsplass er det ikke nok å vite hva som skjedde i skymiljøet etter det faktum. Du må stoppe brudd og lekkasjer i sanntid. Du må også hindre ansatte i å sette dataene og organisasjonen i fare ved et uhell.
Du vil støtte brukere i organisasjonen mens de bruker de beste skyappene som er tilgjengelige, og tar med sine egne enheter til å fungere. Du trenger imidlertid også verktøy for å beskytte organisasjonen mot datalekkasjer og tyveri i sanntid. Microsoft Defender for Cloud Apps integreres med en hvilken som helst identitetsleverandør (IdP) for å levere denne beskyttelsen med tilgangs- og øktpolicyer.
Eksempel:
Bruk tilgangspolicyer til å:
- Blokker tilgang til Salesforce for brukere av uadministrerte enheter.
- Blokker tilgang til Dropbox for opprinnelige klienter.
Bruk øktpolicyer til å:
- Blokker nedlastinger av sensitive filer fra OneDrive til uadministrerte enheter.
- Blokker opplastinger av filer med skadelig programvare til SharePoint Online.
Microsoft Edge-brukere drar nytte av direkte beskyttelse i nettleseren. Et låseikon 
på adresselinjen i nettleseren angir denne beskyttelsen.
Brukere av andre nettlesere omdirigeres via omvendt proxy til Defender for Cloud Apps. Disse nettleserne viser et *.mcas.ms suffiks i koblingens nettadresse. Hvis nettadressen for appen for eksempel er myapp.com, oppdateres nettadressen for appen til myapp.com.mcas.ms.
Denne artikkelen beskriver appkontroll for betinget tilgang i Defender for Cloud Apps gjennom policyer for Microsoft Entra betinget tilgang.
Aktiviteter i appkontroll for betinget tilgang
Appkontroll for betinget tilgang bruker tilgangspolicyer og øktpolicyer til å overvåke og kontrollere brukerapptilgang og -økter i sanntid, på tvers av organisasjonen.
Hver policy har betingelser for å definere hvem (hvilken bruker eller gruppe brukere), hva (hvilke skyapper) og hvor (hvilke plasseringer og nettverk) policyen brukes på. Når du har bestemt betingelsene, kan du rute brukerne først til Defender for Cloud Apps. Der kan du bruke tilgangs- og øktkontrollene for å beskytte dataene dine.
Access- og øktpolicyer omfatter følgende typer aktiviteter:
| Aktivitet | Beskrivelse |
|---|---|
| Forhindre dataeksfiltrering | Blokker nedlasting, klipp ut, kopier og skriv ut sensitive dokumenter på (for eksempel) uadministrerte enheter. |
| Krev godkjenningskontekst | Revurdere Microsoft Entra policyer for betinget tilgang når det oppstår en sensitiv handling i økten, for eksempel krever godkjenning med flere faktorer. |
| Beskytt ved nedlasting | I stedet for å blokkere nedlastingen av sensitive dokumenter, må du kreve at dokumenter merkes og krypteres når du integrerer med Microsoft Purview informasjonsbeskyttelse. Denne handlingen bidrar til å beskytte dokumentet og begrense brukertilgang i en potensielt risikabel økt. |
| Hindre opplasting av filer som ikke er merket | Kontroller at opplastingen av umerkede filer som har sensitivt innhold, blokkeres til brukeren klassifiserer innholdet. Før en bruker laster opp, distribuerer eller bruker en sensitiv fil, må filen ha etiketten som organisasjonens policy er definert for. |
| Blokker potensiell skadelig programvare | Bidra til å beskytte miljøet mot skadelig programvare ved å blokkere opplastingen av potensielt skadelige filer. Alle filer som en bruker prøver å laste opp eller laste ned, kan skannes mot Microsoft Threat Intelligence og blokkeres øyeblikkelig. |
| Overvåk brukerøkter for samsvar | Undersøk og analyser brukeratferd for å forstå hvor, og under hvilke betingelser, bør øktpolicyer brukes i fremtiden. Risikable brukere overvåkes når de logger seg på apper, og handlingene loggføres fra økten. |
| Blokker tilgang | Blokker tilgangen detaljert for bestemte apper og brukere, avhengig av flere risikofaktorer. Du kan for eksempel blokkere dem hvis de bruker klientsertifikater som en form for enhetsbehandling. |
| Blokker egendefinerte aktiviteter | Noen apper har unike scenarioer som medfører risiko. Et eksempel er å sende meldinger som har sensitivt innhold i apper som Microsoft Teams eller Slack. I slike scenarioer kan du skanne meldinger for sensitivt innhold og blokkere dem i sanntid. |
Hvis du vil ha mer informasjon, kan du se:
- Opprett Microsoft Defender for Cloud Apps tilgangspolicyer
- Opprette Microsoft Defender for Cloud Apps øktpolicyer
Brukervennlighet
Appkontroll for betinget tilgang krever ikke at du installerer noe på enheten, så den er ideell når du overvåker eller kontrollerer økter fra uadministrerte enheter eller partnerbrukere.
Defender for Cloud Apps bruker patenterte heuristikker til å identifisere og kontrollere brukeraktiviteter i målappen. Heuristikken er utformet for å optimalisere og balansere sikkerhet med brukervennlighet.
I noen sjeldne tilfeller gjør blokkering av aktiviteter på serversiden appen ubrukelig, slik at organisasjoner sikrer disse aktivitetene bare på klientsiden. Denne tilnærmingen gjør dem potensielt utsatt for utnyttelse av ondsinnede innsidere.
Systemytelse og datalagring
Defender for Cloud Apps bruker Azure-datasentre over hele verden til å gi optimalisert ytelse gjennom geolokasjon. En brukers økt kan driftes utenfor et bestemt område, avhengig av trafikkmønstre og plasseringen deres. For å beskytte brukernes personvern lagrer imidlertid ikke disse datasentrene noen øktdata.
Defender for Cloud Apps proxy-servere lagrer ikke inaktive data. Når vi bufrer innhold, følger vi kravene som er angitt i RFC 7234 (HTTP-hurtigbufring), og hurtigbufrer bare offentlig innhold.
Støttede apper og klienter
Bruk økt- og tilgangskontroller på en interaktiv enkel pålogging som bruker SAML 2.0-godkjenningsprotokollen. Tilgangskontroller støttes også for innebygde mobil- og skrivebordsklientapper.
I tillegg, hvis du bruker Microsoft Entra ID apper, kan du bruke økt- og tilgangskontroller på:
- Alle interaktive enkel pålogging som bruker OpenID Connect-godkjenningsprotokollen.
- Apper driftes lokalt og konfigureres med programproxyen Microsoft Entra.
Microsoft Entra ID apper inkluderes også automatisk for appkontroll for betinget tilgang, mens apper som bruker andre IDP-er, må være innebygd manuelt.
Defender for Cloud Apps identifiserer apper ved hjelp av data fra skyappkatalogen. Hvis du har tilpasset apper med plugin-moduler, må du legge til eventuelle tilknyttede egendefinerte domener i den aktuelle appen i katalogen. Hvis du vil ha mer informasjon, kan du se Finne skyappen og beregne risikoresultater.
Obs!
Du kan ikke bruke installerte apper som har ikke-interaktive påloggingsflyter, for eksempel Authenticator-appen og andre innebygde apper, med tilgangskontroller. Vår anbefaling er i så fall å utforme en tilgangspolicy i Microsoft Entra administrasjonssenter i tillegg til å Microsoft Defender for Cloud Apps tilgangspolicyer.
Omfanget av støtte for øktkontroll
Selv om øktkontroller er bygget for å fungere med alle nettlesere på en hvilken som helst større plattform på ethvert operativsystem, støtter vi de nyeste versjonene av følgende nettlesere:
Microsoft Edge-brukere drar nytte av beskyttelse i nettleseren, uten å omdirigere til en omvendt proxy. Hvis du vil ha mer informasjon, kan du se Beskyttelse i nettleseren med Microsoft Edge for bedrifter (forhåndsvisning).
Appstøtte for TLS 1.2+
Defender for Cloud Apps bruker Transport Layer Security (TLS) 1.2+-protokoller til å gi kryptering. Innebygde klientapper og nettlesere som ikke støtter TLS 1.2+ er ikke tilgjengelige når du konfigurerer dem med øktkontroll.
Programvare som tjenesteapper (SaaS) som bruker TLS 1.1 eller tidligere, vises imidlertid i nettleseren som å bruke TLS 1.2+ når du konfigurerer dem med Defender for Cloud Apps.