Verbinden von AppsConnect apps

Gilt für: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Wichtig

Die Produktnamen des Bedrohungsschutzes von Microsoft ändern sich.Threat protection product names from Microsoft are changing. Weitere Informationen zu diesem und anderen Updates finden Sie hier.Read more about this and other updates here. Wir werden in naher Zukunft Namen in Produkten und in der Dokumentation aktualisieren.We'll be updating names in products and in the docs in the near future.

App-Connectors nutzen die APIs von App-Anbietern, um für die Apps, mit denen Sie eine Verbindung herstellen, die Transparenz und Steuerung durch Microsoft Cloud App Security zu verbessern.App connectors use the APIs of app providers to enable greater visibility and control by Microsoft Cloud App Security over the apps you connect to.

Microsoft Cloud App Security verwendet die vom Cloud-Anbieter bereitgestellten APIs.Microsoft Cloud App Security leverages the APIs provided by the cloud provider. Die gesamte Kommunikation zwischen Cloud App Security und verbundenen apps wird über HTTPS verschlüsselt.All communication between Cloud App Security and connected apps is encrypted using HTTPS. Jeder Dienst hat seine eigenen Framework- und API-Einschränkungen wie etwa Drosselung, API-Grenzwerte und dynamische API-Fenster mit Zeitversatz.Each service has its own framework and API limitations such as throttling, API limits, dynamic time-shifting API windows, and others. Microsoft Cloud App Security hat mit den Diensten zusammengearbeitet, um die Verwendung der APIs zu optimieren und eine optimale Leistung zu bieten.Microsoft Cloud App Security worked with the services to optimize the usage of the APIs and to provide the best performance. Die Cloud App Security-Engines berücksichtigen die verschiedenen Einschränkungen, die die Dienste den APIs auferlegen, und beanspruchen daher nur die erlaubten Kapazitäten.Taking into account different limitations services impose on the APIs, the Cloud App Security engines use the allowed capacity. Einige Vorgänge, z. B. die Überprüfung aller Dateien im Mandanten, erfordern mehrere APIs und werden daher über einen längeren Zeitraum hinweg ausgeführt.Some operations, such as scanning all files in the tenant, require numerous APIs so they're spread over a longer period. Gehen Sie davon aus, dass einige Richtlinien mehrere Stunden oder Tage lang ausgeführt werden.Expect some policies to run for several hours or several days.

Unterstützung mehrerer InstanzenMulti-instance support

Cloud App Security unterstützt mehrere Instanzen derselben verbundenen App.Cloud App Security supports multiple instances of the same connected app. Wenn Sie beispielsweise über mehr als eine Salesforce-Instanz verfügen (eine für Verkäufe und eine für Marketing), können Sie beide mit Cloud App Security verbinden.For example, if you have more than one instance of Salesforce (one for sales, one for marketing) you can connect both to Cloud App Security. Sie können die verschiedenen Instanzen über dieselbe Konsole verwalten, um genaue Richtlinien und umfassende Analysen zu erstellen.You can manage the different instances from the same console to create granular policies and deeper investigation. Diese Unterstützung gilt nur für API-Apps und nicht für Apps, die in der Cloud erkannt wurden, oder Apps, die mit einem Proxy verbunden sind.This support applies only to API connected apps, not to Cloud Discovered apps or Proxy connected apps.

Hinweis

Mehrere Instanzen werden für Office 365 und Azure nicht unterstützt.Multi-instance is not supported for Office 365 and Azure.

FunktionsweiseHow it works

Cloud App Security wird mit Systemadministratorrechten zum vollständigen Zugriff auf alle Objekte in Ihrer Umgebung bereitgestellt.Cloud App Security is deployed with system admin privileges to allow full access to all objects in your environment.

Der App-Connector-Fluss ist wie folgt:The App Connector flow is as follows:

  1. Cloud App Security überprüft und speichert Authentifizierungsberechtigungen.Cloud App Security scans and saves authentication permissions.
  2. Cloud App Security fordert die Benutzerliste an.Cloud App Security requests the user list. Bei der ersten Ausführung dieser Anforderung kann die Überprüfung eine Weile dauern.The first time the request is done, it may take some time until the scan completes. Nach Abschluss der Benutzerüberprüfung fährt Cloud App Security mit Aktivitäten und Dateien fort.After the user scan is over, Cloud App Security moves on to activities and files. Sobald die Überprüfung gestartet wird, stehen in Cloud App Security verschiedene Aktivitäten zur Verfügung.As soon as the scan starts, some activities will be available in Cloud App Security.
  3. Nach Erfüllen der Benutzeranforderung überprüft Cloud App Security in regelmäßigen Abständen Benutzer, Gruppen, Aktivitäten und Dateien.After completion of the user request, Cloud App Security periodically scans users, groups, activities, and files. Alle Aktivitäten stehen nach der ersten vollständigen Überprüfung zur Verfügung.All activities will be available after the first full scan.

Es kann einige Zeit dauern, bis die Verbindung hergestellt ist. Dies ist abhängig von der Größe des Mandanten, der Anzahl der Benutzer sowie der Größe und Anzahl der Dateien, die überprüft werden müssen.This connection may take some time depending on the size of the tenant, the number of users, and the size and number of files that need to be scanned.

Abhängig von der App, mit der Sie eine Verbindung herstellen, ermöglicht die API-Verbindung Folgendes:Depending on the app to which you're connecting, API connection enables the following items:

  • Kontoinformationen: Einblick in Benutzer, Konten, Profilinformationen, Status (gesperrt, aktiv, deaktiviert), Gruppen und Berechtigungen.Account information - Visibility into users, accounts, profile information, status (suspended, active, disabled) groups, and privileges.

  • Audit Trail : Einblick in Benutzeraktivitäten, Administrator Aktivitäten, Anmelde Aktivitäten.Audit trail - Visibility into user activities, admin activities, sign-in activities.

  • Datenüberprüfung: Überprüfen von unstrukturierten Daten mithilfe von zwei Prozessen: in regelmäßigen Abständen (alle 12 Stunden) und in Echtzeit (wird jedes Mal ausgelöst, wenn eine Änderung erkannt wird).Data scan - Scanning of unstructured data using two processes -periodically (every 12 hours) and in real-time scan (triggered each time a change is detected).

  • App-Berechtigungen: Einblick in ausgestellte Token und deren Berechtigungen.App permissions - Visibility into issued tokens and their permissions.

  • Kontogovernance: Möglichkeit zum Sperren von Benutzern, Widerrufen von Kennwörtern etc.Account governance - Ability to suspend users, revoke passwords, etc.

  • Datengovernance: Möglichkeit zum Verschieben von Dateien in die Quarantäne, einschließlich Dateien im Papierkorb, und zum Überschreiben von Dateien.Data Governance - Ability to quarantine files, including files in trash, and overwrite files.

  • App-Berechtigungsgovernance: Möglichkeit zum Entfernen von Token.App permission governance - Ability to remove tokens.

In der folgenden Tabelle sind pro Cloud-App die Fähigkeiten aufgelistet, die mit App-Connectors unterstützt werden:The following table lists, per cloud app, which abilities are supported with App connectors:

AWSAWS FeldBox DropboxDropbox GitHubGitHub GCPGCP Google-ArbeitsbereichGoogle Workspace Office 365Office 365 OktaOkta Service NowService Now SalesforceSalesforce WebexWebex WorkdayWorkday
Auflisten von KontenList accounts Betreff der Google Workspace-VerbindungSubject Google Workspace connection
Gruppen auflistenList groups Betreff der Google Workspace-VerbindungSubject Google Workspace connection Vom Anbieter nicht unterstütztNot supported by provider
Berechtigungen auflistenList privileges Betreff der Google Workspace-VerbindungSubject Google Workspace connection Vom Anbieter nicht unterstütztNot supported by provider Vom Anbieter nicht unterstütztNot supported by provider
Benutzer-GovernanceUser governance In Kürze verfügbarComing soon Betreff der Google Workspace-VerbindungSubject Google Workspace connection Vom Anbieter nicht unterstütztNot supported by provider
AnmeldeaktivitätLog on activity Betreff der Google Workspace-VerbindungSubject Google Workspace connection
BenutzeraktivitätUser activity Nicht verfügbarNot applicable ✔ – Google Business oder Enterprise erforderlich✔ - requires Google Business or Enterprise TeilweisePartial Salesforce Shield-UnterstützungSupported with Salesforce Shield
Administrative AktivitätAdministrative activity TeilweisePartial Vom Anbieter nicht unterstütztNot supported by provider
DLP-periodische ÜberprüfungDLP - Periodic scan Nicht verfügbarNot applicable Nicht verfügbarNot applicable Vom Anbieter nicht unterstütztNot supported by provider
DLP-fast-EchtzeitüberprüfungDLP - Near real-time scan Nicht verfügbarNot applicable ✔: erfordert Google Business Enterprise.✔ - requires Google Business Enterprise Nicht verfügbarNot applicable Vom Anbieter nicht unterstütztNot supported by provider
FreigabesteuerelementSharing control Nicht verfügbarNot applicable Nicht verfügbarNot applicable Nicht verfügbarNot applicable Vom Anbieter nicht unterstütztNot supported by provider
DateigovernanceFile governance Nicht verfügbarNot applicable Nicht verfügbarNot applicable Vom Anbieter nicht unterstütztNot supported by provider
Anzeigen von App-BerechtigungenView app permissions Nicht verfügbarNot applicable Vom Anbieter nicht unterstütztNot supported by provider In Kürze verfügbarComing soon Nicht verfügbarNot applicable Nicht verfügbarNot applicable Nicht verfügbarNot applicable Nicht verfügbarNot applicable
Widerrufen von App-BerechtigungenRevoke app permissions Nicht verfügbarNot applicable Vom Anbieter nicht unterstütztNot supported by provider In Kürze verfügbarComing soon Nicht verfügbarNot applicable Nicht verfügbarNot applicable Nicht verfügbarNot applicable Nicht verfügbarNot applicable
Anwenden von Azure Information Protection-BezeichnungenApply Azure Information Protection labels Nicht verfügbarNot applicable Nicht verfügbarNot applicable Nicht verfügbarNot applicable Nicht verfügbarNot applicable Nicht verfügbarNot applicable

VoraussetzungenPrerequisites

  • Bei einigen apps ist es möglicherweise erforderlich, die Liste der IP-Adressen zuzulassen, damit Cloud App Security Protokolle erfassen und Zugriff auf die Cloud App Security Konsole bereitstellen kann.For some apps, it may be necessary to allow list IP addresses to enable Cloud App Security to collect logs and provide access for the Cloud App Security console. Weitere Informationen finden Sie unter Netzwerkanforderungen.For more information, see Network requirements.

  • Für jede App, die Sie mit Cloud App Security-API-Integration verbinden möchten, sollten Sie ein dediziertes Administratordienstkonto für Cloud App Security erstellen.For each app that you want to connect with the Cloud App Security API integration, we recommend creating an admin service account dedicated to Cloud App Security.

Hinweis

Um Updates abzurufen, wenn URLs und IP-Adressen geändert werden, abonnieren Sie den RSS, wie beschrieben in: URLs und IP-Adressbereiche für Office 365.To get updates when URLs and IP addresses are changed, subscribe to the RSS as explained in: Office 365 URLs and IP address ranges.

Wenn Sie App-Connectors verwenden möchten, müssen Sie sicherstellen, dass Sie für jede spezifische App über Folgendes verfügen:To use App Connectors, you need to make sure you have the following things for each specific app:

AppApp LizenztypLicense type BenutzerUser
AzureAzure Globaler AdministratorGlobal Admin
AWSAWS Neu erstellter BenutzerNewly created user
FeldBox EnterpriseEnterprise Es wird dringend empfohlen, dass Sie als Administrator eine Verbindung mit Box herstellen. das Herstellen einer Verbindung als Co-Administrator führt nur zu Teil Daten Sichtbarkeit.It's strongly recommended that you connect to Box as an Admin. Connecting as a Coadmin will result in only partial data visibility. Wenn Sie eine Verbindung als Co-Administrator herstellen, sollten Sie sicherstellen, dass Sie alle Berechtigungen auswählen.If you connect as a Coadmin, make sure to select all permissions.
DropboxDropbox Business/EnterpriseBusiness/Enterprise AdminAdmin
GitHubGitHub GitHub Enterprise CloudGitHub Enterprise Cloud BesitzerOwner
GCPGCP Weitere Informationen finden Sie unter Connect GCPSee the connect GCP prerequisites
Google-ArbeitsbereichGoogle Workspace Google Workspace Business oder Enterprise bevorzugtGoogle Workspace Business or Enterprise preferred

Google Workspace Enterprise (minimal)Google Workspace Enterprise (minimally)
SuperadministratorSuper Admin
Office 365Office 365 Globaler AdministratorGlobal Admin
OktaOkta Enterprise (keine Testversion)Enterprise (not trial) AdminAdmin
SalesforceSalesforce AdminAdmin
ServiceNowServiceNow Eureka and upEureka and up Admin + restapi-RolleAdmin + RestAPI role
WebexWebex Admin + Compliance adminAdmin + Compliance Admin
WorkdayWorkday Siehe die Voraussetzungen für die Verbindungs HerstellungSee the connect Workday prerequisites

ExpressRouteExpressRoute

Cloud App Security wird in Azure bereitgestellt und vollständig in ExpressRoute integriert.Cloud App Security is deployed in Azure and fully integrated with ExpressRoute. Alle Interaktionen mit den Cloud App Security-apps und Datenverkehr, die an Cloud App Security gesendet werden, einschließlich des Uploads von Ermittlungs Protokollen, werden über expressroute weitergeleitet, um die Latenz, Leistung und Sicherheit zu verbessern.All interactions with the Cloud App Security apps and traffic sent to Cloud App Security, including upload of discovery logs, is routed via ExpressRoute for improved latency, performance, and security. Es sind keine Konfigurationsschritte auf Kundenseite erforderlich.There are no configuration steps required from the customer side. Weitere Informationen über Public Peering finden Sie unter ExpressRoute-Verbindungen und Routingdomänen.For more information about Public Peering, see ExpressRoute circuits and routing domains.

App-Connectors deaktivierenDisable app connectors

Hinweis

  • Vergewissern Sie sich, dass die Verbindungsdetails verfügbar sind, bevor Sie den Connector wieder aktivieren, bevor Sie einen app-Connector deaktivieren.Before disabling an app connector, make sure you have the connection details available as you will need them if you want to re-enable the connector.
  • Diese Schritte können nicht zum Deaktivieren des Azure-Verbindungs-Connector verwendet werden.These steps cannot be used to disable the Azure connector.
  • Diese Schritte können nicht zum Deaktivieren von App-Steuerung für bedingten Zugriff apps und Sicherheits Konfigurations-Apps verwendet werden.These steps cannot be used to disable Conditional Access App Control apps and Security configuration apps.

So deaktivieren Sie verbundene apps:To disable connected apps:

  1. Klicken Sie auf der Seite verbundene apps in der entsprechenden Zeile auf die drei Punkte, und wählen Sie App-Connector deaktivieren aus.In the Connected apps page, in the relevant row, click the three dots and select Disable App connector.
  2. Klicken Sie im Popup Fenster auf App-Connectorinstanz deaktivieren , um die Aktion zu bestätigen.In the pop-up, click Disable App connector instance to confirm the action.

Nach der Deaktivierung wird die Nutzung der Daten vom Connector durch die Connector-Instanz beendet.Once disabled, the connector instance will stop consuming data from the connector.

App-Connectors erneut aktivierenRe-enable app connectors

So aktivieren Sie verbundene apps erneut:To re-enable connected apps:

  1. Klicken Sie auf der Seite verbundene apps in der entsprechenden Zeile auf die drei Punkte, und wählen Sie App bearbeiten aus.In the Connected apps page, in the relevant row, click the three dots and select Edit app. Dadurch wird der Prozess zum Hinzufügen eines Connector gestartet.This starts the process to add a connector.
  2. Fügen Sie den Connector mithilfe der Schritte im Leitfaden für relevante API-Connector hinzu.Add the connector using the steps in the relevant API connector guide. Wenn Sie GitHub beispielsweise erneut aktivieren, befolgen Sie die Schritte unter Verbinden von GitHub Enterprise Cloud mit Cloud App Security.For example, if you are re-enabling GitHub, use the steps in Connect GitHub Enterprise Cloud to Cloud App Security.

Nächste SchritteNext steps

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter.If you run into any problems, we're here to help. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.To get assistance or support for your product issue, please open a support ticket.