Feltételes hozzáférés alkalmazásvezérlő a Microsoft Defender for Cloud Apps
A mai munkahelyen nem elég tudni, hogy mi történt a felhőkörnyezetben a tény után. Valós időben kell leállítania a behatolásokat és a szivárgásokat. Azt is meg kell akadályoznia, hogy az alkalmazottak szándékosan vagy véletlenül veszélybe sodorják az adatokat és a szervezetet.
Szeretné támogatni a szervezet felhasználóit, miközben az elérhető legjobb felhőalkalmazásokat használják, és saját eszközeiket használják. Ugyanakkor olyan eszközökre is szüksége van, amelyekkel megvédheti szervezetét az adatszivárgásoktól és a lopásoktól valós időben. Microsoft Defender for Cloud Apps integrálható bármely identitásszolgáltatóval (IdP), hogy hozzáférési és munkamenet-szabályzatokkal biztosíthassa ezt a védelmet.
Például:
Hozzáférési szabályzatok használata a következőre:
- Letilthatja a Salesforce-hoz való hozzáférést a nem felügyelt eszközök felhasználói számára.
- A Dropboxhoz való hozzáférés letiltása natív ügyfelek esetén.
Munkamenet-szabályzatok használata a következőre:
- Letilthatja a bizalmas fájlok letöltését a OneDrive-ról a nem felügyelt eszközökre.
- Tiltsa le a kártevőfájlok SharePoint Online-ba való feltöltését.
A Microsoft Edge felhasználói a közvetlen, böngészőn belüli védelem előnyeit élvezhetik. Ezt a védelmet a böngésző címsorán található zárolási 
ikon jelzi.
Más böngészők felhasználóit a rendszer fordított proxyn keresztül irányítja át a Defender for Cloud Apps. Ezek a böngészők egy utótagot *.mcas.ms jelenítenek meg a hivatkozás URL-címében. Ha például az alkalmazás URL-címe myapp.com, az alkalmazás URL-címe a következőre frissül: myapp.com.mcas.ms.
Ez a cikk a feltételes hozzáférési alkalmazások Defender for Cloud Apps Microsoft Entra feltételes hozzáférési szabályzatokon keresztül történő használatát ismerteti.
Tevékenységek a feltételes hozzáférés alkalmazásvezérlőjében
A feltételes hozzáférés alkalmazásvezérlése hozzáférési szabályzatokat és munkamenet-szabályzatokat használ a felhasználói alkalmazások hozzáférésének és munkameneteinek valós idejű figyeléséhez és szabályozásához a szervezeten belül.
Minden szabályzat rendelkezik feltételekkel annak meghatározásához, hogy kire (mely felhasználóra vagy felhasználócsoportra), milyen (mely felhőalkalmazásokra) és hol (mely helyekre és hálózatokra) alkalmazza a szabályzatot. Miután meghatározta a feltételeket, először a Defender for Cloud Apps irányítja át a felhasználókat. Itt alkalmazhatja a hozzáférési és munkamenet-vezérlőket az adatok védelme érdekében.
A hozzáférési és munkamenet-szabályzatok a következő típusú tevékenységeket foglalják magukban:
| Tevékenység | Leírás |
|---|---|
| Adatkiszivárgás megakadályozása | Letilthatja a bizalmas dokumentumok letöltését, kivágását, másolását és nyomtatását (például) nem felügyelt eszközökön. |
| Hitelesítési környezet megkövetelése | Értékelje újra Microsoft Entra feltételes hozzáférési szabályzatokat, ha bizalmas művelet történik a munkamenetben, például többtényezős hitelesítést igényel. |
| Védelem letöltésre | A bizalmas dokumentumok letöltésének letiltása helyett a dokumentumok címkézését és titkosítását kell megkövetelni a Microsoft Purview információvédelem való integráció során. Ez a művelet segít megvédeni a dokumentumot, és korlátozni a felhasználói hozzáférést egy potenciálisan kockázatos munkamenetben. |
| Címkézetlen fájlok feltöltésének megakadályozása | Győződjön meg arról, hogy a bizalmas tartalommal rendelkező címkézetlen fájlok feltöltése le van tiltva, amíg a felhasználó be nem sorolja a tartalmat. Mielőtt egy felhasználó bizalmas fájlt tölt fel, terjeszt vagy használ, a fájlnak rendelkeznie kell a szervezet házirendjéhez definiált címkével. |
| Potenciális kártevők letiltása | A potenciálisan rosszindulatú fájlok feltöltésének letiltásával megvédheti környezetét a kártevőktől. A felhasználó által feltölteni vagy letölteni próbált fájlokat megvizsgálhatja a Microsoft Fenyegetésfelderítés szolgáltatással, és azonnal letilthatja. |
| Felhasználói munkamenetek figyelése a megfelelőség érdekében | Vizsgálja meg és elemezze a felhasználói viselkedést, hogy megértse, hol és milyen feltételek mellett kell alkalmazni a munkamenet-szabályzatokat a jövőben. A kockázatos felhasználókat a rendszer figyeli, amikor bejelentkeznek az alkalmazásokba, és a műveleteiket a munkameneten belül naplózza a rendszer. |
| Hozzáférés letiltása | Több kockázati tényezőtől függően részletesen letilthatja az egyes alkalmazások és felhasználók hozzáférését. Letilthatja például őket, ha ügyféltanúsítványokat használnak eszközfelügyeleti eszközként. |
| Egyéni tevékenységek letiltása | Egyes alkalmazások egyedi forgatókönyvekkel rendelkeznek, amelyek kockázatot hordoznak. Ilyen például az olyan üzenetek küldése, amelyek bizalmas tartalommal rendelkeznek az alkalmazásokban, például a Microsoft Teamsben vagy a Slackben. Az ilyen helyzetekben vizsgálja meg az üzenetek bizalmas tartalmát, és valós időben tiltsa le őket. |
További információ:
- Microsoft Defender for Cloud Apps hozzáférési szabályzatok létrehozása
- Microsoft Defender for Cloud Apps munkamenet-szabályzatok létrehozása
Használhatóság
A feltételes hozzáférés alkalmazásvezérlése nem igényel semmit az eszközön való telepítéstől, ezért ideális, ha nem felügyelt eszközökről vagy partnerfelhasználóktól származó munkameneteket figyel vagy irányít.
Defender for Cloud Apps szabadalmaztatott heurisztika használatával azonosítja és szabályozza a felhasználói tevékenységeket a célalkalmazásban. A heurisztika célja a biztonság és a használhatóság optimalizálása és egyensúlyba hozása.
Bizonyos ritka esetekben a kiszolgálóoldali blokkolási tevékenységek használhatatlanná teszik az alkalmazást, így a szervezetek csak az ügyféloldalon biztosítják ezeket a tevékenységeket. Ez a megközelítés potenciálisan hajlamossá teszi őket a rosszindulatú insiderek általi kizsákmányolásra.
Rendszerteljesítmény és adattárolás
Defender for Cloud Apps világszerte Azure-adatközpontokat használ az optimalizált teljesítmény geolokáción keresztüli biztosítására. A felhasználói munkamenetek a forgalmi mintáktól és a tartózkodási helyüktől függően egy adott régión kívül is üzemeltethetők. A felhasználói adatok védelme érdekében azonban ezek az adatközpontok nem tárolnak munkamenet-adatokat.
Defender for Cloud Apps proxykiszolgálók nem tárolnak inaktív adatokat. A tartalom gyorsítótárazásakor az RFC 7234 -ben (HTTP-gyorsítótárazás) meghatározott követelményeket követjük, és csak a nyilvános tartalmakat gyorsítótárazjuk.
Támogatott alkalmazások és ügyfelek
Munkamenet- és hozzáférés-vezérlőket alkalmazhat az SAML 2.0 hitelesítési protokollt használó interaktív egyszeri bejelentkezésekre. A beépített mobil- és asztali ügyfélalkalmazások is támogatják a hozzáférés-vezérlést.
Ha Microsoft Entra ID alkalmazásokat használ, munkamenet- és hozzáférés-vezérlést is alkalmazhat a következőre:
- Bármely interaktív egyszeri bejelentkezés, amely az OpenID Connect hitelesítési protokollt használja.
- A helyszínen üzemeltetett és a Microsoft Entra alkalmazásproxyval konfigurált alkalmazások.
Microsoft Entra ID alkalmazásokat a rendszer automatikusan regisztrálja a feltételes hozzáférés alkalmazásvezérléséhez, míg a más identitásszolgáltatókat használó alkalmazásokat manuálisan kell elővenni.
Defender for Cloud Apps azonosítja az alkalmazásokat a felhőalkalmazás-katalógusból származó adatok használatával. Ha beépülő modulokkal testre szabta az alkalmazásokat, hozzá kell adnia a társított egyéni tartományokat a katalógus megfelelő alkalmazásához. További információ: A felhőalkalmazás megkeresése és a kockázati pontszámok kiszámítása.
Megjegyzés:
Nem használhat olyan telepített alkalmazásokat, amelyek nem interaktív bejelentkezési folyamatokkal rendelkeznek, például az Authenticator alkalmazással és más beépített alkalmazásokkal, hozzáférés-vezérléssel. Ebben az esetben azt javasoljuk, hogy a hozzáférési szabályzatok mellett Microsoft Defender for Cloud Apps hozzáférési szabályzatokat is írjon a Microsoft Entra felügyeleti központ.
A munkamenet-vezérlés támogatásának hatóköre
Bár a munkamenet-vezérlők úgy vannak kialakítva, hogy bármilyen böngészővel működjenek bármely operációs rendszer bármely fő platformján, a következő böngészők legújabb verzióit támogatjuk:
A Microsoft Edge-felhasználók a böngészőn belüli védelem előnyeit élvezhetik anélkül, hogy fordított proxyra irányítanák át őket. További információ: Böngészőn belüli védelem Microsoft Edge vállalati verzió (előzetes verzió).
A TLS 1.2+ alkalmazástámogatása
Defender for Cloud Apps Transport Layer Security (TLS) 1.2+ protokollt használ a titkosítás biztosításához. A TLS 1.2+-t nem támogató beépített ügyfélalkalmazások és böngészők nem érhetők el, ha munkamenet-vezérléssel konfigurálja őket.
A TLS 1.1-et vagy korábbi verziót használó szolgáltatott szoftveralkalmazások (SaaS) azonban TLS 1.2+-ként jelennek meg a böngészőben, amikor Defender for Cloud Apps konfigurálja őket.