Empfohlene Defender for Cloud Apps-Richtlinien für SaaS-Apps

Microsoft Defender for Cloud Apps baut auf den Richtlinien von Microsoft Entra für bedingten Zugriff auf, um die Überwachung und Kontrolle granularer Aktionen mit SaaS-Anwendungen in Echtzeit zu ermöglichen, z. B. das Blockieren von Downloads, Uploads, Kopieren und Einfügen sowie Drucken. Diese Funktion erhöht die Sicherheit von Sitzungen, die ein inhärentes Risiko darstellen, z. B. wenn von nicht verwalteten Geräten oder von Gastbenutzerinnen und -benutzern auf Unternehmensressourcen zugegriffen wird.

Defender for Cloud Apps lässt sich außerdem nativ in Microsoft Purview Information Protection integrieren und ermöglicht so eine Inhaltsprüfung in Echtzeit, um vertrauliche Daten auf der Grundlage von Vertraulichkeitsbezeichnungen und -typen zu finden und entsprechende Maßnahmen zu ergreifen.

Dieser Leitfaden enthält Empfehlungen für diese Szenarien:

  • Integrieren von SaaS-Apps in die IT-Verwaltung
  • Optimieren des Schutzes für bestimmte SaaS-Apps
  • Konfigurieren von Microsoft Purview Data Loss Prevention (DLP) zur Einhaltung von Datenschutzbestimmungen

Integrieren von SaaS-Apps in die IT-Verwaltung

Der erste Schritt bei der Verwendung von Defender for Cloud Apps zur Verwaltung von SaaS-Anwendungen besteht darin, diese zu erkennen und dann zu Ihrem Microsoft Entra-Mandanten hinzuzufügen. Wenn Sie Hilfe bei der Ermittlung benötigen, lesen Sie Entdecken und Verwalten von SaaS-Apps in Ihrem Netzwerk. Nachdem Sie Apps entdeckt haben, fügen Sie diese ihrem Microsoft Entra-Mandanten hinzu.

Sie können damit beginnen, diese zu verwalten, indem Sie die folgenden Schritte ausführen:

  1. Erstellen Sie zunächst in Microsoft Entra ID eine neue Richtlinie für bedingten Zugriff, und konfigurieren Sie sie für „Verwenden der App-Steuerung für bedingten Zugriff“. Dadurch wird die Anforderung an Defender for Cloud Apps umgeleitet. Sie können eine Richtlinie erstellen und alle SaaS-Apps zu dieser Richtlinie hinzufügen.
  2. Erstellen Sie als nächstes Sitzungsrichtlinien in Defender for Cloud Apps. Erstellen Sie eine Richtlinie für jedes Steuerelement, das Sie verwenden möchten.

Die Berechtigungen für SaaS-Apps basieren in der Regel auf der Geschäftsanforderung für den Zugriff auf die App. Diese Berechtigungen können sehr dynamisch sein. Durch die Verwendung von Defender for Cloud Apps-Gerätezugriffsrichtlinien wird der Schutz für App-Daten sichergestellt, unabhängig davon, ob Benutzerinnen und Benutzern eine Microsoft Entra-Gruppe zugewiesen ist, die dem Startpunkt, dem Unternehmen oder dem speziellen Sicherheitsschutz zugeordnet ist.

Um Daten in Ihrer Sammlung von SaaS-Apps zu schützen, veranschaulicht das folgende Diagramm die erforderliche Microsoft Entra-Richtlinie für bedingten Zugriff sowie vorgeschlagene Richtlinien, die Sie in Defender for Cloud Apps erstellen können. In diesem Beispiel gelten die in Defender for Cloud Apps erstellten Richtlinien für alle SaaS-Apps, die Sie verwalten. Diese sind so konzipiert, dass sie geeignete Kontrollen anwenden, je nachdem, ob Geräte verwaltet werden und welche Vertraulichkeitsbezeichnungen bereits auf Dateien angewendet werden.

Abbildung der Richtlinien für die Verwaltung von SaaS-Apps in Defender for Cloud Apps.

In der folgenden Tabelle sind die neuen Richtlinien für den bedingten Zugriff aufgeführt, die Sie in Microsoft Entra ID erstellen müssen.

Schutzebene Policy Weitere Informationen
Alle Schutzebenen Verwenden der App-Steuerung für bedingten Zugriff in Defender for Cloud Apps Dadurch wird Ihr IdP (Microsoft Entra ID) für die Arbeit mit Defender for Cloud Apps konfiguriert.

In der nächsten Tabelle sind die oben gezeigten Beispielrichtlinien aufgeführt, die Sie erstellen können, um alle SaaS-Apps zu schützen. Achten Sie darauf, Ihre eigenen Geschäfts-, Sicherheits- und Complianceziele zu bewerten und dann Richtlinien zu erstellen, die den am besten geeigneten Schutz für Ihre Umgebung bieten.

Schutzebene Policy
Startpunkt Überwachen des Datenverkehrs von nicht verwalteten Geräten

Schutz für Dateidownloads von nicht verwalteten Geräten hinzufügen

Enterprise Blockieren des Downloads von Dateien mit der Bezeichnung „vertraulich“ oder „geheim“ von nicht verwalteten Geräten (dies ermöglicht nur den Zugriff über den Browser)
Spezialisierte Sicherheit Blockieren des Downloads von Dateien mit der Bezeichnung „geheim“ von allen Geräten (dies ermöglicht nur den Zugriff über den Browser)

End-to-End-Anweisungen zum Einrichten der App-Steuerung für bedingten Zugriff finden Sie unter Bereitstellen der App-Steuerung für bedingten Zugriff für empfohlene Apps. Dieser Artikel führt Sie durch den Prozess der Erstellung der erforderlichen Richtlinie für bedingten Zugriff in Microsoft Entra ID und zum Testen Ihrer SaaS-Apps.

Weitere Informationen finden Sie unter Schützen von Apps mit der App-Steuerung für bedingten Zugriff von Microsoft Defender for Cloud Apps.

Optimieren des Schutzes für bestimmte SaaS-Apps

Möglicherweise möchten Sie zusätzliche Überwachung und Kontrollen auf bestimmte SaaS-Apps in Ihrer Umgebung anwenden. Mit Defender for Cloud Apps können Sie dies erreichen. Wenn zum Beispiel eine Anwendung wie Box in Ihrer Umgebung intensiv genutzt wird, ist es sinnvoll, mehr Kontrollen anzuwenden. Wenn Ihre Rechts- oder Finanzabteilung eine bestimmte SaaS-App für vertrauliche Daten verwendet, können Sie diese Apps zusätzlich schützen.

Sie können zum Beispiel Ihre Box-Umgebung mit diesen Arten von integrierten Richtlinienvorlagen zur Erkennung von Anomalien schützen:

  • Aktivitäten von anonymen IP-Adressen
  • Aktivität aus seltenem/seltener Land/Region
  • Aktivität von verdächtigen IP-Adressen
  • Unmöglicher Ortswechsel
  • Aktivität, die vom beendeten Benutzer ausgeführt wird (erfordert Microsoft Entra-ID als IdP)
  • Malware detection
  • Mehrere fehlerhafte Anmeldeversuche
  • Ransomware-Aktivität
  • Riskante Oauth-App
  • Ungewöhnliche Dateifreigabeaktivität

Dies sind nur Beispiele. Zusätzliche Richtlinienvorlagen werden regelmäßig hinzugefügt. Beispiele zum Anwenden von zusätzlichem Schutz für bestimmte Apps finden Sie unter Schützen verbundener Apps.

Wie Defender for Cloud Apps dazu beiträgt, Ihre Box-Umgebung zu schützen, veranschaulicht die Arten von Kontrollen, mit denen Sie Ihre Geschäftsdaten in Box und anderen Apps mit vertraulichen Daten schützen können.

Konfigurieren der Data Loss Prevention (DLP) zur Einhaltung von Datenschutzbestimmungen

Defender for Cloud Apps kann ein wertvolles Tool zum Konfigurieren des Schutzes für Compliance-Vorschriften sein. In diesem Fall erstellen Sie spezifische Richtlinien, um nach bestimmten Daten zu suchen, für die eine Vorschrift gilt, und konfigurieren jede Richtlinie so, dass sie die entsprechenden Maßnahmen ergreift.

In der folgenden Abbildung und Tabelle finden Sie einige Beispiele für Richtlinien, die zur Einhaltung der Datenschutzgrundverordnung (DSGV) konfiguriert werden können. In diesen Beispielen achten die Richtlinien auf bestimmte Daten. Je nach Vertraulichkeit der Daten wird jede Richtlinie so konfiguriert, dass sie angemessene Maßnahmen ergreift.

Abbildung der Defender for Cloud Apps-Richtlinien für die Data Loss Prevention-Seite.

Schutzebene Beispielrichtlinien
Startpunkt Warnung, wenn Dateien, die diesen vertraulichen Informationstyp („Kreditkartennummer“) enthalten, außerhalb der Organisation weitergegeben werden

Blockieren von Downloads von Dateien mit diesem vertraulichen Informationstyp („Kreditkartennummer“) auf nicht verwaltete Geräte

Enterprise Schützen von Downloads von Dateien mit diesem vertraulichen Informationstyp („Kreditkartennummer“) auf verwaltete Geräte

Blockieren von Downloads von Dateien mit diesem vertraulichen Informationstyp („Kreditkartennummer“) auf nicht verwaltete Geräte

Warnung, wenn eine Datei mit einer dieser Bezeichnungen in OneDrive for Business oder Box hochgeladen wird (Kundendaten, Personalwesen: Gehaltsdaten, Personalwesen, Mitarbeiterdaten)

Spezialisierte Sicherheit Warnung, wenn Dateien mit dieser Bezeichnung („Streng geheim“) auf verwaltete Geräte heruntergeladen werden

Blockieren von Downloads von Dateien mit dieser Bezeichnung („Streng geheim“) auf nicht verwaltete Geräte

Nächste Schritte

Weitere Informationen zur Verwendung von Defender for Cloud Apps finden Sie in der Dokumentation zu Microsoft Defender for Cloud Apps.