Controllo delle app per l'accesso condizionale nelle app di Microsoft Defender per il cloud

Nell'ambiente di lavoro di oggi non è sufficiente sapere cosa è successo nell'ambiente cloud dopo il fatto. È necessario arrestare le violazioni e le perdite in tempo reale. È anche necessario impedire ai dipendenti di mettere intenzionalmente o accidentalmente a rischio i dati e l'organizzazione.

Si vuole supportare gli utenti dell'organizzazione mentre usano le migliori app cloud disponibili e portare i propri dispositivi per funzionare. Tuttavia, sono necessari anche strumenti per proteggere l'organizzazione da perdite di dati e furti in tempo reale. Microsoft Defender per il cloud App si integra con qualsiasi provider di identità (IdP) per offrire questa protezione con criteri di accesso e sessione.

Ad esempio:

  • Usare i criteri di accesso per:

    • Bloccare l'accesso a Salesforce per gli utenti di dispositivi non gestiti.
    • Bloccare l'accesso a Dropbox per i client nativi.
  • Usare i criteri di sessione per:

    • Blocca i download di file sensibili da OneDrive a dispositivi non gestiti.
    • Bloccare i caricamenti di file malware in SharePoint Online.

Gli utenti di Microsoft Edge traggono vantaggio dalla protezione diretta nel browser. Un'icona di blocco sulla barra degli indirizzi del browser indica questa protezione.

Gli utenti di altri browser vengono reindirizzati tramite proxy inverso alle app di Defender per il cloud. Questi browser visualizzano un *.mcas.ms suffisso nell'URL del collegamento. Ad esempio, se l'URL dell'app è myapp.com, l'URL dell'app viene aggiornato a myapp.com.mcas.ms.

Questo articolo descrive il controllo delle app per l'accesso condizionale in Defender per il cloud app tramite i criteri di accesso condizionale di Microsoft Entra.

Attività nel controllo delle app per l'accesso condizionale

Il controllo delle app per l'accesso condizionale usa criteri di accesso e criteri di sessione per monitorare e controllare l'accesso e le sessioni delle app utente in tempo reale nell'intera organizzazione.

Ogni criterio ha condizioni per definire a chi (utente o gruppo di utenti), a quali app cloud e dove (a quali percorsi e reti) vengono applicati i criteri. Dopo aver determinato le condizioni, indirizzare gli utenti prima a Defender per il cloud App. È possibile applicare i controlli di accesso e sessione per proteggere i dati.

I criteri di accesso e sessione includono i tipi di attività seguenti:

Impegno Descrizione
Impedire l'esfiltrazione di dati Bloccare il download, tagliare, copiare e stampare documenti sensibili nei dispositivi non gestiti (ad esempio).
Richiedi contesto di autenticazione Rivalutare i criteri di accesso condizionale di Microsoft Entra quando si verifica un'azione sensibile nella sessione, ad esempio richiedere l'autenticazione a più fattori.
Proteggere in caso di download Invece di bloccare il download di documenti sensibili, è necessario che i documenti vengano etichettati e crittografati quando si esegue l'integrazione con Microsoft Purview Information Protection. Questa azione consente di proteggere il documento e limitare l'accesso degli utenti in una sessione potenzialmente rischiosa.
Impedire il caricamento di file senza etichetta Assicurarsi che il caricamento di file senza etichetta con contenuto sensibile venga bloccato fino a quando l'utente non classifica il contenuto. Prima che un utente carichi, distribuisca o usi un file sensibile, il file deve avere l'etichetta definita dai criteri dell'organizzazione.
Bloccare potenziali malware Proteggere l'ambiente da malware bloccando il caricamento di file potenzialmente dannosi. Qualsiasi file che un utente tenta di caricare o scaricare può essere analizzato in Microsoft Threat Intelligence e bloccato istantaneamente.
Monitorare le sessioni utente per la conformità Analizzare e analizzare il comportamento dell'utente per comprendere dove e in quali condizioni devono essere applicati i criteri di sessione in futuro. Gli utenti a rischio vengono monitorati quando accedono alle app e le relative azioni vengono registrate dall'interno della sessione.
Blocca accesso Bloccare in modo granulare l'accesso per app e utenti specifici, a seconda di diversi fattori di rischio. Ad esempio, è possibile bloccarli se usano certificati client come forma di gestione dei dispositivi.
Bloccare le attività personalizzate Alcune app hanno scenari univoci che comportano rischi. Un esempio è l'invio di messaggi con contenuto sensibile nelle app come Microsoft Teams o Slack. In questi tipi di scenari, analizzare i messaggi per individuare contenuti sensibili e bloccarli in tempo reale.

Per altre informazioni, vedi:

Usabilità

Il controllo delle app per l'accesso condizionale non richiede l'installazione di alcun elemento nel dispositivo, quindi è ideale quando si esegue il monitoraggio o il controllo delle sessioni da dispositivi non gestiti o utenti partner.

Defender per il cloud App usa euristica brevettata per identificare e controllare le attività degli utenti nell'app di destinazione. L'euristica è progettata per ottimizzare e bilanciare la sicurezza con l'usabilità.

In alcuni rari scenari, il blocco delle attività sul lato server rende inutilizzabile l'app, quindi le organizzazioni proteggono queste attività solo sul lato client. Questo approccio li rende potenzialmente vulnerabili allo sfruttamento da parte di utenti malintenzionati.

Prestazioni del sistema e archiviazione dei dati

Defender per il cloud App usa data center di Azure in tutto il mondo per offrire prestazioni ottimizzate tramite la georilevazione. La sessione di un utente potrebbe essere ospitata all'esterno di una determinata area, a seconda dei modelli di traffico e della relativa posizione. Tuttavia, per proteggere la privacy degli utenti, questi data center non archiviano dati di sessione.

Defender per il cloud i server proxy delle app non archiviano i dati inattivi. Quando si memorizza nella cache il contenuto, vengono soddisfatti i requisiti definiti in RFC 7234 (memorizzazione nella cache HTTP) e si memorizzano nella cache solo il contenuto pubblico.

App e client supportati

Applicare controlli di sessione e accesso a qualsiasi accesso Single Sign-On interattivo che usa il protocollo di autenticazione SAML 2.0. I controlli di accesso sono supportati anche per le app client per dispositivi mobili e desktop predefinite.

Inoltre, se si usano app Microsoft Entra ID, applicare controlli di sessione e accesso a:

  • Qualsiasi accesso Single Sign-On interattivo che usa il protocollo di autenticazione OpenID Connect.
  • App ospitate in locale e configurate con il proxy dell'applicazione Microsoft Entra.

Anche le app Microsoft Entra ID vengono caricate automaticamente per il controllo delle app per l'accesso condizionale, mentre le app che usano altri provider di identità devono essere caricate manualmente.

Defender per il cloud App identifica le app usando i dati del catalogo delle app cloud. Se le app personalizzate con plug-in, è necessario aggiungere eventuali domini personalizzati associati all'app pertinente nel catalogo. Per altre informazioni, vedere Trovare l'app cloud e calcolare i punteggi di rischio.

Nota

Non è possibile usare app installate con flussi di accesso non interattivi , ad esempio l'app Authenticator e altre app predefinite, con controlli di accesso. In tal caso, è consigliabile creare criteri di accesso nell'interfaccia di amministrazione di Microsoft Entra oltre ai criteri di accesso alle app di Microsoft Defender per il cloud.

Ambito del supporto per il controllo sessione

Anche se i controlli sessione sono creati per funzionare con qualsiasi browser in qualsiasi piattaforma principale in qualsiasi sistema operativo, sono supportate le versioni più recenti dei browser seguenti:

Gli utenti di Microsoft Edge traggono vantaggio dalla protezione nel browser, senza reindirizzare a un proxy inverso. Per altre informazioni, vedere Protezione nel browser con Microsoft Edge for Business (anteprima).

Supporto delle app per TLS 1.2+

Defender per il cloud App usa protocolli TLS (Transport Layer Security) 1.2+ per fornire la crittografia. Le app client e i browser predefiniti che non supportano TLS 1.2+ non sono accessibili quando vengono configurati con il controllo sessione.

Tuttavia, le app SaaS (Software as a Service) che usano TLS 1.1 o versioni precedenti vengono visualizzate nel browser come con TLS 1.2+ quando vengono configurate con app Defender per il cloud.