التحكم في تطبيق الوصول المشروط في Microsoft Defender for Cloud Apps
في مكان العمل اليوم، لا يكفي معرفة ما حدث في بيئة السحابة الخاصة بك بعد الحقيقة. تحتاج إلى إيقاف الخروقات والتسريبات في الوقت الحقيقي. تحتاج أيضا إلى منع الموظفين من تعريض بياناتك ومؤسستك للخطر عن قصد أو عن طريق الخطأ.
تريد دعم المستخدمين في مؤسستك أثناء استخدامهم لأفضل التطبيقات السحابية المتوفرة وإحضار أجهزتهم الخاصة للعمل. ومع ذلك، تحتاج أيضا إلى أدوات لحماية مؤسستك من تسرب البيانات والسرقة في الوقت الفعلي. يتكامل Microsoft Defender for Cloud Apps مع أي موفر هوية (IdP) لتقديم هذه الحماية مع نهج الوصولوالجلسة.
على سبيل المثال:
استخدم نهج الوصول من أجل:
- حظر الوصول إلى Salesforce لمستخدمي الأجهزة غير المدارة.
- حظر الوصول إلى Dropbox للعملاء الأصليين.
استخدم نهج الجلسة من أجل:
- حظر تنزيلات الملفات الحساسة من OneDrive إلى الأجهزة غير المدارة.
- حظر تحميلات ملفات البرامج الضارة إلى SharePoint Online.
يستفيد مستخدمو Microsoft Edge من الحماية المباشرة داخل المستعرض. تشير أيقونة القفل 
على شريط عناوين المستعرض إلى هذه الحماية.
تتم إعادة توجيه مستخدمي المستعرضات الأخرى عبر الوكيل العكسي إلى Defender for Cloud Apps. تعرض هذه المستعرضات لاحقة *.mcas.ms في عنوان URL للارتباط. على سبيل المثال، إذا كان عنوان URL للتطبيق هو myapp.com، يتم تحديث عنوان URL للتطبيق إلى myapp.com.mcas.ms.
توضح هذه المقالة التحكم في تطبيق الوصول المشروط في Defender for Cloud Apps من خلال نهج الوصول المشروط Microsoft Entra.
الأنشطة في التحكم في تطبيق الوصول المشروط
يستخدم التحكم في تطبيق الوصول المشروط نهج الوصول ونهج الجلسة لمراقبة الوصول إلى تطبيق المستخدم والجلسات والتحكم فيها في الوقت الفعلي، عبر مؤسستك.
يحتوي كل نهج على شروط لتحديد من (المستخدم أو مجموعة المستخدمين)، وما (تطبيقات السحابة )، وأين (المواقع والشبكات) التي يتم تطبيق النهج عليها. بعد تحديد الشروط، قم بتوجيه المستخدمين أولا إلى Defender for Cloud Apps. هناك، يمكنك تطبيق عناصر التحكم في الوصول والجلسة للمساعدة في حماية بياناتك.
تتضمن نهج الوصول والجلسة الأنواع التالية من الأنشطة:
| Activity | الوصف |
|---|---|
| منع النقل غير المصرح للبيانات | حظر تنزيل المستندات الحساسة وقصها ونسخها وطباعتها على (على سبيل المثال) الأجهزة غير المدارة. |
| طلب سياق المصادقة | أعد تقييم نهج الوصول المشروط Microsoft Entra عند حدوث إجراء حساس في الجلسة، مثل طلب مصادقة متعددة العوامل. |
| الحماية عند التنزيل | بدلا من حظر تنزيل المستندات الحساسة، اطلب تسمية المستندات وتشفيرها عند التكامل مع حماية البيانات في Microsoft Purview. يساعد هذا الإجراء على حماية المستند وتقييد وصول المستخدم في جلسة يحتمل أن تكون محفوفة بالمخاطر. |
| منع تحميل الملفات غير المسماة | تأكد من حظر تحميل الملفات غير المسماة التي تحتوي على محتوى حساس حتى يصنف المستخدم المحتوى. قبل أن يقوم المستخدم بتحميل ملف حساس أو توزيعه أو استخدامه، يجب أن يحتوي الملف على التسمية التي حددها نهج مؤسستك. |
| حظر البرامج الضارة المحتملة | ساعد في حماية بيئتك من البرامج الضارة عن طريق حظر تحميل الملفات الضارة المحتملة. يمكن مسح أي ملف يحاول المستخدم تحميله أو تنزيله ضوئيا مقابل التحليل الذكي للمخاطر من Microsoft وحظره على الفور. |
| مراقبة جلسات عمل المستخدم للتوافق | تحقق من سلوك المستخدم وتحليله لفهم مكان وضمن أي شروط، يجب تطبيق نهج الجلسة في المستقبل. تتم مراقبة المستخدمين الخطرين عند تسجيل الدخول إلى التطبيقات، ويتم تسجيل إجراءاتهم من داخل الجلسة. |
| حظر الوصول | حظر الوصول لتطبيقات ومستخدمين محددين بشكل دقيق، اعتمادا على عدة عوامل خطر. على سبيل المثال، يمكنك حظرها إذا كانت تستخدم شهادات العميل كشكل من أشكال إدارة الأجهزة. |
| حظر الأنشطة المخصصة | تحتوي بعض التطبيقات على سيناريوهات فريدة تنطوي على مخاطر. مثال على ذلك هو إرسال الرسائل التي تحتوي على محتوى حساس في تطبيقات مثل Microsoft Teams أو Slack. في هذه الأنواع من السيناريوهات، امسح الرسائل ضوئيا بحثا عن المحتوى الحساس وحظرها في الوقت الفعلي. |
لمزيد من المعلومات، اطلع على:
- إنشاء نهج الوصول Microsoft Defender for Cloud Apps
- إنشاء نهج جلسة عمل Microsoft Defender for Cloud Apps
قابليه الاستخدام
لا يتطلب منك التحكم في تطبيق الوصول المشروط تثبيت أي شيء على الجهاز، لذلك فهو مثالي عندما تراقب جلسات العمل أو تتحكم فيها من الأجهزة غير المدارة أو المستخدمين الشركاء.
يستخدم Defender for Cloud Apps الأساليب الإرشادية الحاصلة على براءة اختراع لتحديد أنشطة المستخدم والتحكم فيها في التطبيق الهدف. تم تصميم الأساليب الإرشادية لتحسين الأمان وتوازنه مع قابلية الاستخدام.
في بعض السيناريوهات النادرة، يؤدي حظر الأنشطة على جانب الخادم إلى جعل التطبيق غير قابل للاستخدام، لذلك تؤمن المؤسسات هذه الأنشطة على جانب العميل فقط. هذا النهج يجعلها عرضة للاستغلال من قبل المشاركين في برنامج Insider الضار.
أداء النظام وتخزين البيانات
يستخدم Defender for Cloud Apps مراكز بيانات Azure حول العالم لتوفير أداء محسن من خلال الموقع الجغرافي. قد تتم استضافة جلسة عمل المستخدم خارج منطقة معينة، اعتمادا على أنماط نسبة استخدام الشبكة وموقعها. ومع ذلك، للمساعدة في حماية خصوصية المستخدم، لا تخزن مراكز البيانات هذه أي بيانات جلسة عمل.
لا تخزن Defender for Cloud Apps الخوادم الوكيلة البيانات الثابتة. عندما نقوم بتخزين المحتوى مؤقتا، نتبع المتطلبات المنصوص عليها في RFC 7234 (التخزين المؤقت ل HTTP) ونخزن المحتوى العام مؤقتا فقط.
التطبيقات والعملاء المعتمدين
تطبيق عناصر التحكم في الجلسة والوصول على أي تسجيل دخول أحادي تفاعلي يستخدم بروتوكول مصادقة SAML 2.0. يتم دعم عناصر التحكم في الوصول أيضا لتطبيقات عميل الأجهزة المحمولة وسطح المكتب المضمنة.
بالإضافة إلى ذلك، إذا كنت تستخدم تطبيقات Microsoft Entra ID، فقم بتطبيق عناصر التحكم في الجلسة والوصول على:
- أي تسجيل دخول أحادي تفاعلي يستخدم بروتوكول مصادقة OpenID Connect.
- التطبيقات المستضافة محليا وتكوينها باستخدام وكيل تطبيق Microsoft Entra.
يتم أيضا إلحاق التطبيقات Microsoft Entra ID تلقائيا للتحكم في تطبيق الوصول المشروط، بينما يجب إلحاق التطبيقات التي تستخدم IdPs أخرى يدويا.
يحدد Defender for Cloud Apps التطبيقات باستخدام البيانات من كتالوج تطبيقات السحابة. إذا قمت بتخصيص التطبيقات باستخدام المكونات الإضافية، فيجب عليك إضافة أي مجالات مخصصة مقترنة إلى التطبيق ذي الصلة في الكتالوج. لمزيد من المعلومات، راجع البحث عن تطبيق السحابة وحساب درجات المخاطر.
ملاحظة
لا يمكنك استخدام التطبيقات المثبتة التي تحتوي على تدفقات تسجيل دخول غير نشطة ، مثل تطبيق Authenticator والتطبيقات المضمنة الأخرى، مع عناصر التحكم في الوصول. توصيتنا في هذه الحالة هي صياغة نهج وصول في مركز مسؤولي Microsoft Entra بالإضافة إلى نهج الوصول Microsoft Defender for Cloud Apps.
نطاق الدعم للتحكم في الجلسة
على الرغم من أن عناصر التحكم في الجلسة مبنية للعمل مع أي مستعرض على أي نظام أساسي رئيسي على أي نظام تشغيل، فإننا ندعم أحدث إصدارات المتصفحات التالية:
يستفيد مستخدمو Microsoft Edge من الحماية داخل المستعرض، دون إعادة التوجيه إلى وكيل عكسي. لمزيد من المعلومات، راجع الحماية داخل المستعرض باستخدام Microsoft Edge for Business (معاينة).
دعم التطبيق ل TLS 1.2+
يستخدم Defender for Cloud Apps بروتوكولات أمان طبقة النقل (TLS) 1.2+ لتوفير التشفير. لا يمكن الوصول إلى تطبيقات العميل والمستعرضات المضمنة التي لا تدعم TLS 1.2+ عند تكوينها باستخدام التحكم في جلسة العمل.
ومع ذلك، تظهر تطبيقات البرامج كخدمة (SaaS) التي تستخدم TLS 1.1 أو إصدار سابق في المستعرض على أنها تستخدم TLS 1.2+ عند تكوينها باستخدام Defender for Cloud Apps.