Microsoft Defender for Cloud Apps'de Koşullu Erişim uygulama denetimi
Günümüzün iş yerinde, bu gerçeğin ardından bulut ortamınızda neler olduğunu bilmek yeterli değildir. İhlalleri ve sızıntıları gerçek zamanlı olarak durdurmanız gerekir. Ayrıca çalışanların verilerinizi ve kuruluşunuzu kasıtlı olarak veya yanlışlıkla riske atmasını da engellemeniz gerekir.
Kuruluşunuzdaki kullanıcıları mümkün olan en iyi bulut uygulamalarını kullanırken ve kendi cihazlarını çalışır duruma getirirken desteklemek istiyorsunuz. Ancak, kuruluşunuzu gerçek zamanlı olarak veri sızıntılarından ve hırsızlıklardan korumak için araçlara da ihtiyacınız vardır. Microsoft Defender for Cloud Apps, erişim ve oturum ilkeleriyle bu korumayı sağlamak için herhangi bir kimlik sağlayıcısıyla (IdP) tümleştirilir.
Örneğin:
Erişim ilkelerini kullanarak:
- Yönetilmeyen cihazların kullanıcıları için Salesforce erişimini engelleyin.
- Yerel istemciler için Dropbox erişimini engelleyin.
Oturum ilkelerini kullanarak:
- OneDrive'dan yönetilmeyen cihazlara hassas dosyaların indirilmelerini engelleyin.
- Kötü amaçlı yazılım dosyalarının SharePoint Online'a yüklenmesini engelleyin.
Microsoft Edge kullanıcıları doğrudan, tarayıcı içi korumadan yararlanan kullanıcılardır. Tarayıcının adres çubuğundaki kilit 
simgesi bu korumayı gösterir.
Diğer tarayıcıların kullanıcıları ters ara sunucu aracılığıyla Defender for Cloud Apps yönlendirilir. Bu tarayıcılar, bağlantının URL'sinde bir *.mcas.ms sonek görüntüler. Örneğin, uygulama URL'si ise myapp.com, uygulama URL'si olarak myapp.com.mcas.msgüncelleştirilir.
Bu makalede, Microsoft Entra Koşullu Erişim ilkeleri aracılığıyla Defender for Cloud Apps'da Koşullu Erişim uygulama denetimi açıklanır.
Koşullu Erişim uygulama denetimindeki etkinlikler
Koşullu Erişim uygulama denetimi, kuruluşunuz genelinde kullanıcı uygulaması erişimini ve oturumlarını gerçek zamanlı olarak izlemek ve denetlemek için erişim ilkelerini ve oturum ilkelerini kullanır.
Her ilkenin, ilkenin kimlere (hangi kullanıcı veya kullanıcı grubuna), nelere (hangi bulut uygulamalarına) ve nereye (hangi konumlara ve ağlara) uygulanacağını tanımlama koşulları vardır. Koşulları belirledikten sonra, önce kullanıcılarınızı Defender for Cloud Apps yönlendirin. Burada, verilerinizi korumaya yardımcı olmak için erişim ve oturum denetimlerini uygulayabilirsiniz.
Erişim ve oturum ilkeleri aşağıdaki etkinlik türlerini içerir:
| Etkinlik | Açıklama |
|---|---|
| Veri sızdırmayı önleme | Yönetilmeyen cihazlarda (örneğin) hassas belgelerin indirilmesini, kesilmesini, kopyalanmasını ve yazdırilmesini engelleyin. |
| Kimlik doğrulama bağlamı gerektir | Oturumda çok faktörlü kimlik doğrulaması gerektirme gibi hassas bir eylem gerçekleştiğinde Koşullu Erişim ilkelerini Microsoft Entra yeniden değerlendirin. |
| İndirmede koruma | Hassas belgelerin indirilmesini engellemek yerine, Microsoft Purview Bilgi Koruması ile tümleştirildiğinde belgelerin etiketlenmesini ve şifrelenmesini gerektirir. Bu eylem, belgenin korunmasına ve riskli olabilecek bir oturumda kullanıcı erişiminin kısıtlanmasına yardımcı olur. |
| Etiketsiz dosyaların karşıya yüklenmesini engelleme | Kullanıcı içeriği sınıflandırana kadar hassas içeriğe sahip etiketlenmemiş dosyaların karşıya yüklenmesinin engellendiğinden emin olun. Bir kullanıcı hassas bir dosyayı karşıya yüklemeden, dağıtmadan veya kullanmadan önce, dosyada kuruluşunuzun ilkesinin tanımladığı etiket bulunmalıdır. |
| Olası kötü amaçlı yazılımları engelleme | Kötü amaçlı olabilecek dosyaların karşıya yüklenmesini engelleyerek ortamınızı kötü amaçlı yazılımlardan korumaya yardımcı olun. Kullanıcının karşıya yüklemeye veya indirmeye çalıştığı tüm dosyalar Microsoft Tehdit Bilgileri'ne karşı taranabilir ve anında engellenebilir. |
| Uyumluluk için kullanıcı oturumlarını izleme | Gelecekte oturum ilkelerinin nerede ve hangi koşullarda uygulanması gerektiğini anlamak için kullanıcı davranışını araştırın ve analiz edin. Riskli kullanıcılar uygulamalarda oturum açtıklarında izlenir ve eylemleri oturum içinden günlüğe kaydedilir. |
| Erişimi engelle | Çeşitli risk faktörlerine bağlı olarak belirli uygulamalar ve kullanıcılar için erişimi ayrıntılı olarak engelleyin. Örneğin, cihaz yönetimi biçimi olarak istemci sertifikalarını kullanıyorlarsa bunları engelleyebilirsiniz. |
| Özel etkinlikleri engelleme | Bazı uygulamaların risk taşıyan benzersiz senaryoları vardır. Microsoft Teams veya Slack gibi uygulamalarda hassas içeriğe sahip iletiler göndermeye örnek olarak gösteriliyor. Bu tür senaryolarda iletileri hassas içerik için tarayın ve gerçek zamanlı olarak engelleyin. |
Daha fazla bilgi için bkz.:
- Microsoft Defender for Cloud Apps erişim ilkeleri oluşturma
- Microsoft Defender for Cloud Apps oturum ilkeleri oluşturma
Kullanılabilir -lik
Koşullu Erişim uygulama denetimi, cihaza herhangi bir şey yüklemenizi gerektirmez, bu nedenle yönetilmeyen cihazlardan veya iş ortağı kullanıcılarından gelen oturumları izlerken veya denetlerken idealdir.
Defender for Cloud Apps, hedef uygulamadaki kullanıcı etkinliklerini belirlemek ve denetlemek için patentli buluşsal yöntemler kullanır. Buluşsal yöntemler, güvenliği kullanılabilirlik ile iyileştirmek ve dengelemek için tasarlanmıştır.
Bazı nadir senaryolarda, sunucu tarafında engelleyici etkinlikler uygulamayı kullanılamaz hale getirir, bu nedenle kuruluşlar bu etkinlikleri yalnızca istemci tarafında güvenli hale getirir. Bu yaklaşım, onları kötü niyetli insider'lar tarafından kötüye kullanımlara karşı savunmasız hale getirir.
Sistem performansı ve veri depolama
Defender for Cloud Apps coğrafi konum aracılığıyla iyileştirilmiş performans sağlamak için dünyanın dört bir yanındaki Azure veri merkezlerini kullanır. Bir kullanıcının oturumu, trafik desenlerine ve konumuna bağlı olarak belirli bir bölgenin dışında barındırılabilir. Ancak, kullanıcı gizliliğini korumaya yardımcı olmak için bu veri merkezleri hiçbir oturum verisi depolamaz.
Defender for Cloud Apps proxy sunucuları bekleyen verileri depolamaz. İçeriği önbelleğe aldığımızda RFC 7234 'te (HTTP önbelleğe alma) ve yalnızca genel içeriği önbelleğe almada belirtilen gereksinimleri uygularız.
Desteklenen uygulamalar ve istemciler
SAML 2.0 kimlik doğrulama protokollerini kullanan etkileşimli bir çoklu oturum açma işlemine oturum ve erişim denetimleri uygulayın. Erişim denetimleri, yerleşik mobil ve masaüstü istemci uygulamaları için de desteklenir.
Ayrıca, Microsoft Entra ID uygulamaları kullanıyorsanız oturum ve erişim denetimlerini aşağıdakilere uygulayın:
- OpenID Connect kimlik doğrulama protokollerini kullanan tüm etkileşimli çoklu oturum açmalar.
- Şirket içinde barındırılan ve Microsoft Entra uygulama ara sunucusuyla yapılandırılan uygulamalar.
Microsoft Entra ID uygulamalar da Koşullu Erişim uygulama denetimi için otomatik olarak eklenirken, diğer IdP'leri kullanan uygulamaların el ile eklenmelidir.
Defender for Cloud Apps, bulut uygulaması kataloğundaki verileri kullanarak uygulamaları tanımlar. Uygulamaları eklentilerle özelleştirdiyseniz, katalogdaki ilgili uygulamaya ilişkili özel etki alanlarını eklemeniz gerekir. Daha fazla bilgi için bkz. Bulut uygulamanızı bulma ve risk puanlarını hesaplama.
Not
Authenticator uygulaması ve diğer yerleşik uygulamalar gibi , etkileşimsiz oturum açma akışlarına sahip yüklü uygulamaları erişim denetimleriyle kullanamazsınız. Bu durumda önerimiz, Microsoft Defender for Cloud Apps erişim ilkelerine ek olarak Microsoft Entra yönetim merkezi bir erişim ilkesi oluşturmaktır.
Oturum denetimi için destek kapsamı
Oturum denetimleri, herhangi bir işletim sistemindeki herhangi bir ana platformdaki herhangi bir tarayıcıyla çalışacak şekilde oluşturulmuş olsa da, aşağıdaki tarayıcıların en son sürümlerini destekliyoruz:
Microsoft Edge kullanıcıları, ters ara sunucuya yönlendirilmeden tarayıcı içi korumadan yararlanıyor. Daha fazla bilgi için bkz. İş için Microsoft Edge ile tarayıcı içi koruma (önizleme).
TLS 1.2+ için uygulama desteği
Defender for Cloud Apps şifreleme sağlamak için Aktarım Katmanı Güvenliği (TLS) 1.2+ protokollerini kullanır. TLS 1.2+ desteği olmayan yerleşik istemci uygulamalarına ve tarayıcılara, oturum denetimiyle yapılandırdığınızda erişilemez.
Ancak, TLS 1.1 veya önceki sürümlerini kullanan hizmet olarak yazılım (SaaS) uygulamaları, Defender for Cloud Apps ile yapılandırdığınızda tarayıcıda TLS 1.2+ kullanıyor olarak görünür.