Appkontroll för villkorsstyrd åtkomst i Microsoft Defender för molnet-appar

På dagens arbetsplats räcker det inte att veta vad som hände i molnmiljön i efterhand. Du måste stoppa överträdelser och läckor i realtid. Du måste också förhindra att anställda avsiktligt eller oavsiktligt utsätter dina data och din organisation för risker.

Du vill stödja användare i din organisation medan de använder de bästa tillgängliga molnapparna och ta med sina egna enheter till jobbet. Men du behöver också verktyg för att skydda din organisation mot dataläckor och stöld i realtid. Microsoft Defender för molnet Apps integreras med alla identitetsprovider (IdP) för att leverera det här skyddet med åtkomst- och sessionsprinciper.

Till exempel:

  • Använd åtkomstprinciper för att:

    • Blockera åtkomst till Salesforce för användare av ohanterade enheter.
    • Blockera åtkomst till Dropbox för interna klienter.
  • Använd sessionsprinciper för att:

    • Blockera nedladdningar av känsliga filer från OneDrive till ohanterade enheter.
    • Blockera uppladdningar av filer med skadlig kod till SharePoint Online.

Microsoft Edge-användare drar nytta av direkt skydd i webbläsaren. En låsikon i webbläsarens adressfält anger det här skyddet.

Användare av andra webbläsare omdirigeras via omvänd proxy till Defender för molnet Apps. Dessa webbläsare visar ett *.mcas.ms suffix i länkens URL. Om app-URL:en till exempel är myapp.comuppdateras appens URL till myapp.com.mcas.ms.

I den här artikeln beskrivs appkontroll för villkorsstyrd åtkomst i Defender för molnet-appar via Principer för villkorsstyrd åtkomst i Microsoft Entra.

Aktiviteter i appkontrollen för villkorsstyrd åtkomst

Appkontroll för villkorsstyrd åtkomst använder åtkomstprinciper och sessionsprinciper för att övervaka och kontrollera åtkomst och sessioner för användarappar i realtid i hela organisationen.

Varje princip har villkor för att definiera vem (vilken användare eller grupp av användare), vad (vilka molnappar) och var (vilka platser och nätverk) principen tillämpas på. När du har fastställt villkoren dirigerar du användarna först till Defender för molnet Appar. Där kan du använda åtkomst- och sessionskontrollerna för att skydda dina data.

Åtkomst- och sessionsprinciper omfattar följande typer av aktiviteter:

Aktivitet beskrivning
Förhindra dataexfiltrering Blockera nedladdning, klipp ut, kopiera och skriv ut känsliga dokument på (till exempel) ohanterade enheter.
Kräv autentiseringskontext Omvärdera principer för villkorsstyrd åtkomst i Microsoft Entra när en känslig åtgärd inträffar i sessionen, till exempel att kräva multifaktorautentisering.
Skydda vid nedladdning I stället för att blockera nedladdningen av känsliga dokument kräver du att dokument etiketteras och krypteras när du integrerar med Microsoft Purview Information Protection. Den här åtgärden hjälper till att skydda dokumentet och begränsa användaråtkomsten i en potentiellt riskfylld session.
Förhindra uppladdning av omärkta filer Se till att uppladdningen av omärkta filer som har känsligt innehåll blockeras tills användaren klassificerar innehållet. Innan en användare laddar upp, distribuerar eller använder en känslig fil måste filen ha den etikett som organisationens princip har definierat.
Blockera potentiell skadlig kod Skydda din miljö mot skadlig kod genom att blockera uppladdningen av potentiellt skadliga filer. Alla filer som en användare försöker ladda upp eller ladda ned kan genomsökas mot Microsoft Threat Intelligence och blockeras omedelbart.
Övervaka användarsessioner för efterlevnad Undersök och analysera användarbeteende för att förstå var och under vilka villkor sessionsprinciper ska tillämpas i framtiden. Riskfyllda användare övervakas när de loggar in på appar och deras åtgärder loggas inifrån sessionen.
Blockera åtkomst Blockera åtkomst i detalj för specifika appar och användare, beroende på flera riskfaktorer. Du kan till exempel blockera dem om de använder klientcertifikat som en form av enhetshantering.
Blockera anpassade aktiviteter Vissa appar har unika scenarier som medför risker. Ett exempel är att skicka meddelanden som har känsligt innehåll i appar som Microsoft Teams eller Slack. I den här typen av scenarier genomsöker du meddelanden efter känsligt innehåll och blockerar dem i realtid.

Mer information finns i:

Användbarhet

Appkontrollen för villkorsstyrd åtkomst kräver inte att du installerar något på enheten, så det är perfekt när du övervakar eller kontrollerar sessioner från ohanterade enheter eller partneranvändare.

Defender för molnet Apps använder patenterad heuristik för att identifiera och kontrollera användaraktiviteter i målappen. Heuristiken är utformad för att optimera och balansera säkerhet med användbarhet.

I vissa sällsynta scenarier gör blockeringsaktiviteter på serversidan appen oanvändbar, så organisationer skyddar endast dessa aktiviteter på klientsidan. Den här metoden gör dem potentiellt mottagliga för utnyttjande av skadliga insiders.

Systemprestanda och datalagring

Defender för molnet Apps använder Azure-datacenter runt om i världen för att ge optimerad prestanda via geoplats. En användares session kan finnas utanför en viss region, beroende på trafikmönster och deras plats. Men för att skydda användarsekretessen lagrar dessa datacenter inga sessionsdata.

Defender för molnet Apps proxyservrar lagrar inte vilande data. När vi cachelagrar innehåll följer vi kraven i RFC 7234 (HTTP-cachelagring) och cachelagrar endast offentligt innehåll.

Appar och klienter som stöds

Tillämpa sessions- och åtkomstkontroller på alla interaktiva enkel inloggningar som använder SAML 2.0-autentiseringsprotokollet. Åtkomstkontroller stöds också för inbyggda mobilappar och skrivbordsklientappar.

Om du använder Microsoft Entra-ID-appar använder du dessutom sessions- och åtkomstkontroller för att:

  • Alla interaktiva enkel inloggningar som använder OpenID Connect-autentiseringsprotokollet.
  • Appar som finns lokalt och konfigureras med Microsoft Entra-programproxyn.

Microsoft Entra-ID-appar registreras också automatiskt för appkontroll för villkorsstyrd åtkomst, medan appar som använder andra IP-adresser måste registreras manuellt.

Defender för molnet Apps identifierar appar med hjälp av data från molnappkatalogen. Om du har anpassat appar med plugin-program måste du lägga till alla associerade anpassade domäner i relevant app i katalogen. Mer information finns i Hitta din molnapp och beräkna riskpoäng.

Kommentar

Du kan inte använda installerade appar som har icke-interaktiva inloggningsflöden, till exempel Authenticator-appen och andra inbyggda appar, med åtkomstkontroller. Vår rekommendation i det fallet är att skapa en åtkomstprincip i administrationscentret för Microsoft Entra utöver åtkomstprinciper för Microsoft Defender för molnet-appar.

Stödomfång för sessionskontroll

Även om sessionskontroller är byggda för att fungera med alla webbläsare på valfri större plattform på alla operativsystem, stöder vi de senaste versionerna av följande webbläsare:

Microsoft Edge-användare drar nytta av webbläsarskydd utan att omdirigera till en omvänd proxy. Mer information finns i Webbläsarskydd med Microsoft Edge för företag (förhandsversion).

Appstöd för TLS 1.2+

Defender för molnet Apps använder TLS-protokoll (Transport Layer Security) 1.2+ för att tillhandahålla kryptering. Inbyggda klientappar och webbläsare som inte stöder TLS 1.2+ är inte tillgängliga när du konfigurerar dem med sessionskontroll.

Men saaS-appar (programvara som en tjänst) som använder TLS 1.1 eller tidigare visas i webbläsaren som att använda TLS 1.2+ när du konfigurerar dem med Defender för molnet-appar.