управление приложениями условного доступа Microsoft Defender для облака
На сегодняшнем рабочем месте недостаточно знать, что произошло в облачной среде после того, как это произошло. Кроме того, необходимо остановить нарушения и утечки в режиме реального времени и запретить сотрудникам намеренно или случайно поставить данные и организацию под угрозу.
Вы хотите поддерживать пользователей в организации, пока они используют лучшие облачные приложения и предоставляют свои собственные устройства для работы. Однако вам также нужны средства для защиты организации от утечки данных и кражи в режиме реального времени. Microsoft Defender для облака Приложения интегрируются с любым поставщиком удостоверений (IdP) для обеспечения этой защиты с политиками доступа и сеансов.
Например:
Используйте политики доступа для:
- Блокировка доступа к Salesforce для пользователей, поступающих с неуправляемых устройств
- Блокировать доступ к Dropbox для собственных клиентов.
Использование политик сеанса для:
- Блокировать скачивание конфиденциальных файлов из OneDrive на неуправляемые устройства
- Блокировка отправки вредоносных файлов в SharePoint Online
Пользователи Microsoft Edge получают выгоду от прямой защиты в браузере, указанной значком блокировки 
, показанным в адресной строке браузера.
Пользователи других браузеров перенаправляются через обратный прокси-сервер для Defender для облака Apps и отображают *.mcas.ms суффикс в URL-адресе ссылки. Например, если URL-адрес приложения myapp.com, URL-адрес приложения обновляется до myapp.com.mcas.ms.
В этой статье описывается Defender для облака управление приложениями условного доступа с помощью политик условного доступа Microsoft Entra.
Действия управления условным доступом к приложениям
Управление приложениями условного доступа использует политики доступа и политики сеансов для мониторинга и контроля доступа пользователей и сеансов в режиме реального времени в организации.
Каждая политика имеет условия для определения того, кто (какой пользователь или группа пользователей), какие (какие облачные приложения) и где (к каким расположениям и сетям) применяется политика. После определения условий сначала перенаправьте пользователей в Defender для облака Приложения, где можно применить элементы управления доступом и сеансом для защиты данных.
Политики доступа и сеанса включают следующие типы действий:
| Действие (Activity) | Description |
|---|---|
| Предотвращение кражи данных | Блокировать скачивание, вырезать, копировать и печатать конфиденциальные документы на неуправляемых устройствах. |
| Требовать контекст проверки подлинности | Повторное вычисление политик условного доступа Microsoft Entra при возникновении конфиденциального действия в сеансе, например требование многофакторной проверки подлинности. |
| Защита при скачивании | Вместо блокировки скачивания конфиденциальных документов необходимо, чтобы документы были помечены и зашифрованы при интеграции с Защита информации Microsoft Purview. Это действие гарантирует защиту документа и доступ пользователей ограничен в потенциально рискованном сеансе. |
| Предотвращение отправки неназначенных файлов | Убедитесь, что неназначенные файлы с конфиденциальным содержимым блокируются до тех пор, пока пользователь не классифицирует содержимое. Перед отправкой, распространением и использованием конфиденциальных файлов другими пользователями важно убедиться, что конфиденциальный файл имеет метку, определенную политикой вашей организации. |
| Блокировать потенциальные вредоносные программы | Защитите среду от вредоносных программ, блокируя отправку потенциально вредоносных файлов. Любой файл, загруженный или скачанный, можно сканировать в отношении аналитики угроз Майкрософт и блокироваться мгновенно. |
| Мониторинг сеансов пользователей для соответствия требованиям | Изучите и проанализируйте поведение пользователя, чтобы понять, где и в каких условиях следует применять политики сеансов в будущем. При входе в приложение ненадежных пользователей осуществляется их мониторинг, а все их действия в рамках сеанса регистрируются. |
| Заблокировать доступ | Детально блокируйте доступ для конкретных приложений и пользователей в зависимости от нескольких факторов риска. Например, можно включить блокировку, если используются сертификаты клиента для управления устройством. |
| Блокировать пользовательские действия | Некоторые приложения имеют уникальные сценарии, которые несут риск, например отправку сообщений с конфиденциальным содержимым в таких приложениях, как Microsoft Teams или Slack. В таких сценариях сканируйте сообщения для конфиденциального содержимого и блокируйте их в режиме реального времени. |
Дополнительные сведения см. в разделе:
- Создание политик доступа к приложениям Microsoft Defender для облака
- Создание политик сеансов Microsoft Defender для облака Приложений
Удобство использования
Управление приложениями условного доступа не требует установки ничего на устройстве, что делает его идеальным при мониторинге или управлении сеансами с неуправляемых устройств или пользователей партнеров.
Defender для облака Приложения используют лучшие в классе, патентованная эвристика для выявления и контроля действий, выполняемых пользователем в целевом приложении. Наши эвристики предназначены для оптимизации и балансировки безопасности с удобством использования.
В некоторых редких сценариях при блокировке действий на стороне сервера отрисовывает приложение непригодным для использования, мы защитим эти действия только на стороне клиента, что делает их потенциально уязвимыми к эксплуатации злоумышленниками.
Производительность системы и хранилище данных
Defender для облака приложения используют центры обработки данных Azure по всему миру для обеспечения оптимизированной производительности с помощью географического расположения. Это означает, что сеанс пользователя может размещаться вне определенного региона в зависимости от шаблонов трафика и их расположения. Однако для защиты конфиденциальности данные сеанса не хранятся в этих центрах обработки данных.
Defender для облака прокси-серверы приложений не хранят неактивных данных. При кэшировании содержимого мы следуйте требованиям, изложенным в RFC 7234 (кэширование HTTP) и кэшируем только общедоступное содержимое.
Поддерживаемые приложения и клиенты
Применение сеанса и доступа к элементам управления для любого интерактивного единого входа, использующего протокол проверки подлинности SAML 2.0. Элементы управления доступом также поддерживаются для встроенных мобильных и классических клиентских приложений.
Кроме того, если вы используете приложения Идентификатора Майкрософт, примените к ним элементы управления сеансом и доступом:
- Любой интерактивный единый вход, использующий протокол проверки подлинности Open ID Connect.
- Приложения, размещенные в локальной среде и настроенные с помощью прокси приложения Microsoft Entra.
Приложения идентификатора Microsoft Entra также автоматически подключены для управления приложениями условного доступа, а приложения, использующие другие поставщики удостоверений, должны быть подключены вручную.
Defender для облака Приложения идентифицируют приложения с помощью данных из каталога облачных приложений. Если вы настроили приложения с подключаемыми модулями, все связанные пользовательские домены необходимо добавить в соответствующее приложение в каталоге. Дополнительные сведения: Работа с оценкой рисков.
Примечание.
Установленные приложения с неинтерактивными потоками входа, такими как приложение Authenticator и другие встроенные приложения, нельзя использовать с элементами управления доступом. Наша рекомендация в этом случае заключается в создании политики доступа на портале идентификатора записи в дополнение к политикам доступа к облачным приложениям в Microsoft Defender
Область поддержки элемента управления сеансами
Хотя элементы управления сеансами созданы для работы с любым браузером на любой основной платформе в любой операционной системе, мы поддерживаем следующие браузеры:
- Microsoft Edge (последняя версия)
- Google Chrome (последняя версия)
- Mozilla Firefox (последняя версия)
- Apple Safari (последняя версия)
Пользователи Microsoft Edge получают преимущества от защиты в браузере, не перенаправляясь на обратный прокси-сервер. Дополнительные сведения см. в статье "Защита в браузере с помощью Microsoft Edge для бизнеса (предварительная версия)".
Поддержка приложений для TLS 1.2+
Defender для облака приложения используют протоколы TLS 1.2+ для обеспечения оптимального шифрования в классе, а также встроенных клиентских приложений и браузеров, которые не поддерживают ПРОТОКОЛ TLS 1.2+ недоступны при настройке с помощью элемента управления сеансами.
Однако приложения SaaS, использующие TLS 1.1 или более поздней версии, будут отображаться в браузере как использование TLS 1.2+ при настройке с помощью приложений Defender для облака.
Связанный контент
Дополнительные сведения см. в разделе: