Verbinden von Apps

Hinweis

Wir haben Microsoft Cloud App Security umbenannt. Sie wird jetzt als Microsoft Defender for Cloud Apps bezeichnet. In den nächsten Wochen aktualisieren wir die Screenshots und Anweisungen hier und auf verwandten Seiten. Weitere Informationen zur Änderung finden Sie in dieser Ankündigung. Weitere Informationen zur kürzlichen Umbenennung von Microsoft-Sicherheitsdiensten finden Sie im Microsoft Ignite Security-Blog.

App-Connectors nutzen die APIs von App-Anbietern, um für die Apps, mit denen Sie eine Verbindung herstellen, die Transparenz und Steuerung durch Microsoft Defender für Cloud Apps zu verbessern.

Microsoft Defender for Cloud Apps nutzt die vom Cloudanbieter bereitgestellten APIs. Die gesamte Kommunikation zwischen Defender für Cloud Apps und verbundenen Apps wird über HTTPS verschlüsselt. Jeder Dienst hat seine eigenen Framework- und API-Einschränkungen wie etwa Drosselung, API-Grenzwerte und dynamische API-Fenster mit Zeitversatz. Microsoft Defender for Cloud Apps haben mit den Diensten zusammengearbeitet, um die Nutzung der APIs zu optimieren und die beste Leistung zu erzielen. Unter Berücksichtigung verschiedener Einschränkungen, die Dienste für die APIs auferlegen, verwenden die Defender für Cloud Apps-Engines die zulässige Kapazität. Einige Vorgänge, z. B. die Überprüfung aller Dateien im Mandanten, erfordern mehrere APIs und werden daher über einen längeren Zeitraum hinweg ausgeführt. Gehen Sie davon aus, dass einige Richtlinien mehrere Stunden oder Tage lang ausgeführt werden.

Unterstützung mehrerer Instanzen

Defender für Cloud Apps unterstützt mehrere Instanzen derselben verbundenen App. Wenn Sie beispielsweise über mehrere Salesforce-Instanzen verfügen (eine für den Vertrieb, eine für das Marketing), können Sie beide mit Defender für Cloud Apps verbinden. Sie können die verschiedenen Instanzen über dieselbe Konsole verwalten, um genaue Richtlinien und umfassende Analysen zu erstellen. Diese Unterstützung gilt nur für API-Apps und nicht für Apps, die in der Cloud erkannt wurden, oder Apps, die mit einem Proxy verbunden sind.

Hinweis

Mehrere Instanzen werden für Office 365 und Azure nicht unterstützt.

Funktionsweise

Defender für Cloud Apps wird mit Systemadministratorberechtigungen bereitgestellt, um vollzugriff auf alle Objekte in Ihrer Umgebung zu ermöglichen.

Der App-Connector-Fluss ist wie folgt:

  1. Defender für Cloud Apps überprüft und speichert Authentifizierungsberechtigungen.

  2. Defender für Cloud Apps fordert die Benutzerliste an. Bei der ersten Ausführung dieser Anforderung kann die Überprüfung eine Weile dauern. Nachdem die Benutzerüberprüfung beendet ist, werden Defender für Cloud Apps mit Aktivitäten und Dateien fortgeschaltet. Sobald die Überprüfung gestartet wird, sind einige Aktivitäten in Defender für Cloud Apps verfügbar.

  3. Nach Abschluss der Benutzeranforderung überprüft Defender für Cloud Apps regelmäßig Benutzer, Gruppen, Aktivitäten und Dateien. Alle Aktivitäten stehen nach der ersten vollständigen Überprüfung zur Verfügung.

Es kann einige Zeit dauern, bis die Verbindung hergestellt ist. Dies ist abhängig von der Größe des Mandanten, der Anzahl der Benutzer sowie der Größe und Anzahl der Dateien, die überprüft werden müssen.

Abhängig von der App, mit der Sie eine Verbindung herstellen, ermöglicht die API-Verbindung Folgendes:

  • Kontoinformationen: Einblick in Benutzer, Konten, Profilinformationen, Status (gesperrt, aktiv, deaktiviert), Gruppen und Berechtigungen.
  • Überwachungspfad : Einblick in Benutzeraktivitäten, Administratoraktivitäten und Anmeldeaktivitäten.
  • Kontogovernance: Möglichkeit zum Sperren von Benutzern, Widerrufen von Kennwörtern etc.
  • App-Berechtigungen: Einblick in ausgestellte Token und deren Berechtigungen.
  • App-Berechtigungsgovernance: Möglichkeit zum Entfernen von Token.
  • Datenüberprüfung: Überprüfen von unstrukturierten Daten mithilfe von zwei Prozessen: in regelmäßigen Abständen (alle 12 Stunden) und in Echtzeit (wird jedes Mal ausgelöst, wenn eine Änderung erkannt wird).
  • Datengovernance : Möglichkeit, Dateien, einschließlich Dateien im Papierkorb, unter Quarantäne zu stellen und Dateien zu überschreiben.

In den folgenden Tabellen sind pro Cloud-App die Funktionen aufgeführt, die mit App-Connectors unterstützt werden:

Hinweis

Da nicht alle App-Connectors alle Funktionen unterstützen, sind einige Zeilen möglicherweise leer.

Benutzer und Aktivitäten

App Auflisten von Konten Auflisten von Gruppen Auflisten von Berechtigungen Anmeldeaktivität Benutzeraktivität Administrative Aktivität
Atlassian (Vorschau)
AWS Nicht zutreffend
Azure
Feld
DocuSign (Vorschau)
Dropbox
Egnyte (Vorschau)
GitHub
GCP Betreff: Google-Arbeitsbereichsverbindung Betreff: Google-Arbeitsbereichsverbindung Betreff: Google-Arbeitsbereichsverbindung Betreff: Google-Arbeitsbereichsverbindung
Google-Arbeitsbereich ✔ – Google Business oder Enterprise erforderlich
NetDocuments
Office 365
Okta Vom Anbieter nicht unterstützt
OneLogin
Service Now Partial Partial
Salesforce Salesforce Shield-Unterstützung
Puffer
Smartsheet
Webex
Workday Vom Anbieter nicht unterstützt Vom Anbieter nicht unterstützt Vom Anbieter nicht unterstützt
Zendesk

Benutzer- und App-Governance

App Benutzer-Governance Anzeige von App-Berechtigungen Widerrufen von App-Berechtigungen
Atlassian (Vorschau)
AWS Nicht zutreffend Nicht zutreffend
Azure Vom Anbieter nicht unterstützt
Feld Vom Anbieter nicht unterstützt
DocuSign (Vorschau)
Dropbox
Egnyte (Vorschau)
GitHub
GCP Betreff: Google-Arbeitsbereichsverbindung Nicht zutreffend Nicht zutreffend
Google-Arbeitsbereich
NetDocuments
Office 365
Okta Nicht zutreffend Nicht zutreffend
OneLogin
Service Now
Salesforce
Puffer
Smartsheet
Webex Nicht zutreffend Nicht zutreffend
Workday Vom Anbieter nicht unterstützt Nicht zutreffend Nicht zutreffend
Zendesk

Information Protection

App DLP – Periodische Backlogüberprüfung DLP – Überprüfung nahezu in Echtzeit Freigabesteuerelement Dateigovernance Anwenden Microsoft Information Protection Vertraulichkeitsbezeichnungen
Atlassian (Vorschau)
AWS ✔ – Nur S3-Bucketermittlung Nicht zutreffend
Azure
Feld
DocuSign (Vorschau)
Dropbox
Egnyte (Vorschau)
GitHub
GCP Nicht zutreffend Nicht zutreffend Nicht zutreffend Nicht zutreffend Nicht zutreffend
Google-Arbeitsbereich ✔ – erfordert Google Business Enterprise
NetDocuments
Office 365
Okta Nicht zutreffend Nicht zutreffend Nicht zutreffend Nicht zutreffend Nicht zutreffend
OneLogin
Service Now Nicht zutreffend
Salesforce
Puffer
Smartsheet
Webex Nicht zutreffend
Workday Vom Anbieter nicht unterstützt Vom Anbieter nicht unterstützt Vom Anbieter nicht unterstützt Vom Anbieter nicht unterstützt Nicht zutreffend
Zendesk

Voraussetzungen

  • Für einige Apps kann es erforderlich sein, IP-Adressen auflisten zu lassen, damit Defender für Cloud Apps Protokolle sammeln und Zugriff auf die Defender für Cloud Apps-Konsole bereitstellen kann. Weitere Informationen finden Sie unter Netzwerkanforderungen.

Hinweis

Um Updates abzurufen, wenn URLs und IP-Adressen geändert werden, abonnieren Sie den RSS, wie beschrieben in: URLs und IP-Adressbereiche für Office 365.

ExpressRoute

Defender für Cloud Apps wird in Azure bereitgestellt und vollständig in ExpressRoute integriert. Alle Interaktionen mit den Defender für Cloud Apps-Apps und an Defender für Cloud Apps gesendeter Datenverkehr, einschließlich des Uploads von Ermittlungsprotokollen, werden über ExpressRoute weitergeleitet, um die Latenz, Leistung und Sicherheit zu verbessern. Es sind keine Konfigurationsschritte auf Kundenseite erforderlich. Weitere Informationen zum öffentlichen Peering finden Sie unter ExpressRoute-Verbindungen und Routingdomänen.

Deaktivieren von App-Connectors

Hinweis

  • Stellen Sie vor dem Deaktivieren eines App-Connectors sicher, dass die Verbindungsdetails verfügbar sind, da Sie sie benötigen, wenn Sie den Connector erneut aktivieren möchten.
  • Diese Schritte können nicht zum Deaktivieren des Azure-Connectors verwendet werden.
  • Diese Schritte können nicht verwendet werden, um App-Steuerung für bedingten Zugriff-Apps und Sicherheitskonfigurations-Apps zu deaktivieren.

So deaktivieren Sie verbundene Apps:

  1. Klicken Sie auf der Seite Verbundene Apps in der entsprechenden Zeile auf die drei Punkte, und wählen Sie App-Verbindung.
  2. Klicken Sie im Popupfenster auf App-Verbindung Instanz deaktivieren, um die Aktion zu bestätigen.

Nach dem Deaktivieren verwendet die Connectorinstanz keine Daten mehr vom Connector.

Erneutes Aktivieren von App-Connectors

So aktivieren Sie verbundene Apps erneut:

  1. Klicken Sie auf der Seite Verbundene Apps in der entsprechenden Zeile auf die drei Punkte, und wählen Sie App bearbeiten aus. Dadurch wird der Prozess zum Hinzufügen eines Connectors gestartet.
  2. Fügen Sie den Connector mithilfe der Schritte im entsprechenden Leitfaden zum API-Connector hinzu. Wenn Sie z. B. die GitHub erneut aktivieren, verwenden Sie die Schritte in Verbinden GitHub Enterprise Cloud zum Defender für Cloud Apps.

Nächste Schritte

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.