Управление приложениями условного доступа в приложениях Microsoft Defender для облака

На современном рабочем месте недостаточно знать, что произошло в облачной среде после факта. Необходимо остановить нарушения и утечки в режиме реального времени. Кроме того, необходимо запретить сотрудникам намеренно или случайно поставить данные и организацию под угрозу.

Вы хотите поддерживать пользователей в организации, пока они используют лучшие облачные приложения и предоставляют свои собственные устройства для работы. Однако вам также нужны средства для защиты организации от утечки данных и кражи в режиме реального времени. Microsoft Defender для облака Приложения интегрируются с любым поставщиком удостоверений (IdP) для обеспечения этой защиты с политиками доступа и сеансов.

Например:

  • Используйте политики доступа для:

    • Блокировать доступ к Salesforce для пользователей неуправляемых устройств.
    • Блокировать доступ к Dropbox для собственных клиентов.
  • Использование политик сеанса для:

    • Блокировать скачивание конфиденциальных файлов из OneDrive на неуправляемые устройства.
    • Блокировать отправку файлов вредоносных программ в SharePoint Online.

Пользователи Microsoft Edge получают преимущества прямой защиты в браузере. Значок блокировки в адресной строке браузера указывает на эту защиту.

Пользователи других браузеров перенаправляются через обратный прокси-сервер в Defender для облака Приложения. Эти браузеры отображают *.mcas.ms суффикс в URL-адресе ссылки. Например, если URL-адрес приложения равен myapp.com, URL-адрес приложения обновляется на myapp.com.mcas.ms.

В этой статье описывается управление приложениями условного доступа в Defender для облака Apps с помощью политик условного доступа Microsoft Entra.

Действия в элементе управления условным доступом

Управление приложениями условного доступа использует политики доступа и политики сеансов для мониторинга и контроля доступа пользователей и сеансов в режиме реального времени в организации.

Каждая политика имеет условия для определения того, кто (какой пользователь или группа пользователей), какие (какие облачные приложения) и где (к каким расположениям и сетям) применяется политика. После определения условий сначала перенаправьте пользователей в Defender для облака Приложения. Там можно применить элементы управления доступом и сеансом, чтобы защитить данные.

Политики доступа и сеанса включают следующие типы действий:

Действие (Activity) Description
Предотвращение кражи данных Блокировать скачивание, вырезание, копирование и печать конфиденциальных документов на неуправляемых устройствах.
Требовать контекст проверки подлинности Повторное вычисление политик условного доступа Microsoft Entra при возникновении конфиденциального действия в сеансе, например требование многофакторной проверки подлинности.
Защита при скачивании Вместо блокировки скачивания конфиденциальных документов необходимо, чтобы документы были помечены и зашифрованы при интеграции с Защита информации Microsoft Purview. Это действие помогает защитить документ и ограничить доступ пользователей в потенциально рискованном сеансе.
Предотвращение отправки неназначенных файлов Убедитесь, что отправка неназначенных файлов с конфиденциальным содержимым блокируется до тех пор, пока пользователь не классифицирует содержимое. Перед отправкой пользователем, распространением или использованием конфиденциального файла файл должен иметь метку, определенную политикой вашей организации.
Блокировать потенциальные вредоносные программы Помогите защитить среду от вредоносных программ, блокируя отправку потенциально вредоносных файлов. Любой файл, который пользователь пытается отправить или скачать, может быть сканирован в microsoft Threat Intelligence и заблокирован мгновенно.
Мониторинг сеансов пользователей для соответствия требованиям Изучите и проанализируйте поведение пользователя, чтобы понять, где и в каких условиях следует применять политики сеансов в будущем. Рискованные пользователи отслеживаются при входе в приложения, а их действия регистрируются в сеансе.
Заблокировать доступ Детально блокируйте доступ для конкретных приложений и пользователей в зависимости от нескольких факторов риска. Например, можно включить блокировку, если используются сертификаты клиента для управления устройством.
Блокировать пользовательские действия Некоторые приложения имеют уникальные сценарии, которые несут риск. Примером является отправка сообщений с конфиденциальным содержимым в таких приложениях, как Microsoft Teams или Slack. В таких сценариях сканируйте сообщения для конфиденциального содержимого и блокируйте их в режиме реального времени.

Дополнительные сведения см. в разделе:

Удобство использования

Управление приложениями условного доступа не требует установки ничего на устройстве, поэтому это идеально подходит при мониторинге или управлении сеансами с неуправляемых устройств или пользователей партнеров.

Defender для облака Приложения используют патентованная эвристика для выявления и контроля действий пользователей в целевом приложении. Эвристики предназначены для оптимизации и балансировки безопасности с удобством использования.

В некоторых редких сценариях блокировка действий на стороне сервера отрисовывает приложение непригодным для использования, поэтому организации защищают эти действия только на стороне клиента. Такой подход делает их потенциально уязвимыми к эксплуатации злоумышленниками- инсайдерами.

Производительность системы и хранилище данных

Defender для облака Приложения используют центры обработки данных Azure по всему миру для обеспечения оптимизированной производительности с помощью географического расположения. Сеанс пользователя может размещаться за пределами определенного региона в зависимости от шаблонов трафика и их расположения. Однако для защиты конфиденциальности пользователей эти центры обработки данных не хранят данные сеанса.

Defender для облака прокси-серверы приложений не хранят неактивных данных. При кэшировании содержимого мы следуйте требованиям, изложенным в RFC 7234 (кэширование HTTP) и кэшируем только общедоступное содержимое.

Поддерживаемые приложения и клиенты

Применение элементов управления сеансом и доступом к любому интерактивному единому входу, использующим протокол проверки подлинности SAML 2.0. Элементы управления доступом также поддерживаются для встроенных мобильных и классических клиентских приложений.

Кроме того, если вы используете приложения Идентификатора Майкрософт, примените к ним элементы управления сеансом и доступом:

  • Любой интерактивный единый вход, использующий протокол проверки подлинности OpenID Connect.
  • Приложения, размещенные в локальной среде и настроенные с помощью прокси приложения Microsoft Entra.

Приложения идентификатора Microsoft Entra также автоматически подключены для управления приложениями условного доступа, в то время как приложения, использующие другие поставщики удостоверений, должны быть подключены вручную.

Defender для облака Приложения определяют приложения с помощью данных из каталога облачных приложений. Если вы настроили приложения с подключаемыми модулями, необходимо добавить все связанные пользовательские домены в соответствующее приложение в каталоге. Дополнительные сведения см. в статье "Поиск облачного приложения" и вычисление показателей риска.

Примечание.

Не удается использовать установленные приложения с неинтерактивными потоками входа, такими как приложение Authenticator и другие встроенные приложения, с элементами управления доступом. Наша рекомендация в этом случае заключается в создании политики доступа в Центре администрирования Microsoft Entra в дополнение к политикам доступа к приложениям Microsoft Defender для облака.

Область поддержки элемента управления сеансом

Хотя элементы управления сеансами созданы для работы с любым браузером на любой основной платформе в любой операционной системе, мы поддерживаем последние версии следующих браузеров:

Пользователи Microsoft Edge получают преимущества от защиты в браузере, не перенаправляясь на обратный прокси-сервер. Дополнительные сведения см. в статье "Защита в браузере с помощью Microsoft Edge для бизнеса (предварительная версия)".

Поддержка приложений для TLS 1.2+

Defender для облака Приложения используют протоколы TLS 1.2+ для обеспечения шифрования. Встроенные клиентские приложения и браузеры, которые не поддерживают TLS 1.2+ недоступны при настройке их с помощью элемента управления сеансом.

Однако приложения saaS, использующие TLS 1.1 или более ранние версии, отображаются в браузере как использование TLS 1.2+ при настройке приложений Defender для облака.