Schützen von Apps mit Microsoft Defender für Cloud-Apps App-Steuerung für bedingten Zugriff

Hinweis

Wir haben Microsoft Cloud App Security umbenannt. Sie heißt jetzt Microsoft Defender für Cloud-Apps. In den nächsten Wochen aktualisieren wir die Screenshots und Anweisungen hier und auf verwandten Seiten. Weitere Informationen zur Änderung finden Sie in dieser Ankündigung. Weitere Informationen zur kürzlichen Umbenennung von Microsoft-Sicherheitsdiensten finden Sie im Microsoft Ignite Security-Blog.

Am heutigen Arbeitsplatz reicht es oft nicht aus, zu wissen, was in Ihrer Cloudumgebung passiert. Sie sollten Sicherheitsverletzungen und Lecks in Echtzeit beheben, damit Ihre Daten und Ihre Organisation nicht durch Mitarbeiter (mit Absicht oder versehentlich) in Gefahr gebracht werden. Es ist wichtig, es Benutzern in Ihrer Organisation zu ermöglichen, die Dienste und Tools, die ihnen in Cloud-Apps zur Verfügung stehen, optimal zu nutzen und ihnen die Arbeit mit ihren eigenen Geräten zu ermöglichen. Gleichzeitig benötigen Sie Tools zum Echtzeitschutz Ihrer Organisation vor Datenlecks und Datendiebstahl. Microsoft Defender für Cloud-Apps lässt sich in jeden Identitätsanbieter (IdP) integrieren, um diese Funktionen mit Zugriffs- und Sitzungssteuerungen bereitzustellen. Wenn Sie Azure Active Directory (Azure AD) als IdP verwenden, sind diese Steuerelemente integriert und optimiert, um eine einfachere und besser zugeschnittene Bereitstellung zu ermöglichen, die auf dem Tool für bedingten Zugriffvon Azure AD basiert.

Hinweis

  • Zusätzlich zu einer gültigen Defender für Cloud Apps-Lizenz benötigen Sie für die Verwendung von Defender für Cloud Apps App-Steuerung für bedingten Zugriff auch eine Azure Active Directory P1-Lizenzoder die für Ihre IdP-Lösung erforderliche Lizenz sowie eine Defender for Cloud Apps-Lizenz.

Funktionsweise

App-Steuerung für bedingten Zugriff verwendet eine Reverseproxyarchitektur und lässt sich in Ihren Identitätsanbieter integrieren. Bei der Integration in Azure AD bedingten Zugriff können Sie Apps so konfigurieren, dass sie mit nur wenigen Klicks mit App-Steuerung für bedingten Zugriff arbeiten, sodass Sie zugriffs- und sitzungssteuerungen für die Apps Ihrer Organisation basierend auf allen Bedingungen im bedingten Zugriff einfach und selektiv erzwingen können. Die Bedingungen definieren, wer (Benutzer oder Benutzergruppe) und auf welche (welche Cloud-Apps) und wo (welche Standorte und Netzwerke) eine Richtlinie für bedingten Zugriff angewendet wird. Nachdem Sie die Bedingungen festgelegt haben, können Sie Benutzer an Defender for Cloud Apps weiterleiten, wo Sie Daten mit App-Steuerung für bedingten Zugriff schützen können, indem Sie Zugriffs- und Sitzungssteuerungen anwenden.

Mit der App-Steuerung für bedingten Zugriff können Benutzerzugriffe auf Apps und Sitzungen auf der Grundlage von Zugriffs- und Sitzungsrichtlinien in Echtzeit überwacht und gesteuert werden. Zugriffs- und Sitzungsrichtlinien werden im Defender für Cloud Apps-Portal verwendet, um Filter weiter zu verfeinern und Aktionen festzulegen, die für einen Benutzer ausgeführt werden sollen. Mithilfe von Zugriffs- und Sitzungsrichtlinien können Sie die folgenden Aktionen ausführen:

  • Datenexfiltration verhindern:Sie können das Herunterladen, Ausschneiden, Kopieren und Drucken vertraulicher Dokumente auf beispielsweise nicht verwalteten Geräten blockieren.

  • Authentifizierungskontext erforderlich:Sie können Azure AD Richtlinien für bedingten Zugriff erneut auswerten, wenn eine sensible Aktion in der Sitzung auftritt. Fordern Sie beispielsweise die mehrstufige Authentifizierung beim Herunterladen einer streng vertraulichen Datei an.

  • Beim Download schützen:Anstatt das Herunterladen vertraulicher Dokumente zu blockieren, können Sie verlangen, dass Dokumente mit Azure Information Protection bezeichnet und geschützt werden. Durch diese Aktion wird sichergestellt, dass das Dokument geschützt ist und der Benutzerzugriff in einer potenziell riskanten Sitzung eingeschränkt ist.

  • Upload nicht bezeichneter Dateien verhindern:Bevor eine vertrauliche Datei hochgeladen, verteilt und von anderen verwendet wird, müssen Sie sicherstellen, dass die Datei über die richtige Bezeichnung und den richtigen Schutz verfügt. Sie können sicherstellen, dass unbezeichnete Dateien mit vertraulichen Inhalten erst hochgeladen werden, wenn der Benutzer den Inhalt klassifiziert hat.

  • Potenzielle Schadsoftware blockieren:Sie können Ihre Umgebung vor Schadsoftware schützen, indem Sie das Hochladen potenziell schädlicher Dateien blockieren. Jede Datei, die hochgeladen oder heruntergeladen wird, kann mit Microsoft Threat Intelligence überprüft und sofort blockiert werden.

  • Überwachen von Benutzersitzungen auf Konformität:Riskante Benutzer werden überwacht, wenn sie sich bei Apps anmelden und ihre Aktionen innerhalb der Sitzung protokolliert werden. Sie können das Benutzerverhalten untersuchen und analysieren, um zu verstehen, wo und unter welchen Bedingungen Sitzungsrichtlinien in Zukunft angewendet werden sollen.

  • Zugriff blockieren:Sie können den Zugriff für bestimmte Apps und Benutzer abhängig von mehreren Risikofaktoren präzise blockieren. Sie können sie z. B. blockieren, wenn sie Clientzertifikate als eine Form der Geräteverwaltung verwenden.

  • Blockieren von benutzerdefinierten Aktivitäten:Einige Apps weisen besondere Szenarien auf, die Risiken darstellen, z. B. das Senden von Nachrichten mit sensiblen Inhalten in Apps wie Microsoft Teams oder Slack. In diesen Szenarien können Sie Nachrichten auf vertrauliche Inhalte überprüfen und in Echtzeit blockieren.

Funktionsweise der Sitzungssteuerung

Durch Erstellen einer Sitzungsrichtlinie mit Conditional Access App Control können Sie Benutzersitzungen durch Weiterleiten des Benutzers über einen Reverseproxy statt direkt an die App steuern. Von da an durchlaufen Benutzeranforderungen und -antworten Defender für Cloud-Apps, anstatt direkt an die App zu gelangen.

Wenn eine Sitzung durch einen Proxy geschützt wird, werden alle relevanten URLs und Cookies durch Defender für Cloud-Apps ersetzt. Wenn die App z. B. eine Seite mit Links zurückgibt, deren Domänen mit enden, erhält die Domäne des Links wie myapp.com folgt ein Suffix wie *.mcas.ms :

URL der App Ersetzte URL
myapp.com myapp.com.mcas.ms

Bei dieser Methode müssen Sie nichts auf dem Gerät installieren, sodass es ideal ist, wenn Sie Sitzungen von nicht verwalteten Geräten oder Partnerbenutzern überwachen oder steuern.

Hinweis

  • Unsere Technologie verwendet erstklassige, patentierte Heuristiken, um Aktivitäten zu identifizieren und zu steuern, die vom Benutzer in der Ziel-App ausgeführt werden. Unsere Heuristiken sind darauf ausgelegt, die Sicherheit und Benutzerfreundlichkeit zu optimieren und auszugleichen. In einigen seltenen Szenarien, in denen blockierende Aktivitäten auf serverseitiger Seite die App unbrauchbar machen, sichern wir diese Aktivitäten nur auf clientseitiger Seite, wodurch sie potenziell anfällig für die Ausnutzung durch böswillige Insider sind.
  • Defender für Cloud-Apps nutzt Azure-Rechenzentren auf der ganzen Welt, um eine optimierte Leistung durch Geolocation bereitzustellen. Das bedeutet, dass die Sitzung eines Benutzers je nach Datenverkehrsmustern und Standort außerhalb einer bestimmten Region gehostet werden kann. Zum Schutz Ihrer Privatsphäre werden keine Sitzungsdaten in diesen Rechenzentren gespeichert.
  • Auf unseren Proxyservern werden keine Ruhedaten gespeichert. Beim Zwischenspeichern von Inhalten befolgen wir die Anforderungen in RFC 7234 (HTTP-Zwischenspeicherung) und speichern nur öffentliche Inhalte zwischen.

Identifizieren von verwalteten Geräten

App-Steuerung für bedingten Zugriff ermöglicht es Ihnen, Richtlinien zu erstellen, die berücksichtigen, ob ein Gerät verwaltet wird oder nicht. Um den Zustand eines Geräts zu identifizieren, können Sie Zugriffs- und Sitzungsrichtlinien konfigurieren, um Folgendes zu überprüfen:

  • Microsoft Intune Kompatible Geräte [nur mit Azure AD verfügbar]
  • Azure AD Hybrid-beigetretene Geräte [nur verfügbar mit Azure AD]
  • Vorhandensein von Clientzertifikaten in einer vertrauenswürdigen Kette

Intune-konforme und in Hybrid Azure AD eingebundene Geräte

Azure AD bedingter Zugriff ermöglicht die direkte Übermittlung von Intune-konformen und hybrid Azure AD eingebundenen Geräteinformationen an Defender for Cloud Apps. Danach kann eine Zugriffs- oder Sitzungsrichtlinie entwickelt werden, die den Gerätezustand als Filter verwendet. Weitere Informationen finden Sie unter Einführung in die Geräteverwaltung in Azure Active Directory.

Hinweis

Einige Browser erfordern möglicherweise eine zusätzliche Konfiguration, z. B. die Installation einer Erweiterung. Weitere Informationen finden Sie unter Browserunterstützung für bedingten Zugriff.

Mit einem Clientzertifikat authentifizierte Geräte

Der Mechanismus zur Geräteidentifizierung kann die Authentifizierung von relevanten Geräten anfordern, die Clientzertifikate verwenden. Sie können entweder bereits vorhandene Clientzertifikate verwenden, die bereits für Ihre Organisation bereitgestellt wurden, oder neue Clientzertifikate für verwaltete Geräte bereitstellen. Stellen Sie sicher, dass das Clientzertifikat im Benutzerspeicher und nicht im Computerspeicher installiert ist. Sie können diese Zertifikate nutzen, um Zertifikat- und Sitzungsrichtlinien festzulegen.

SSL-Clientzertifikate werden über eine Vertrauenskette überprüft. Sie können eine X.509-Stamm- oder Zwischenzertifizierungsstelle hochladen, die im PEM-Zertifikatformat formatiert ist. Diese Zertifikate müssen den öffentlichen Schlüssel der Zertifizierungsstelle enthalten, der dann zum Signieren der Clientzertifikate verwendet wird, die während einer Sitzung präsentiert werden.

Nachdem das Zertifikat hochgeladen und eine relevante Richtlinie konfiguriert wurde, fordert der Defender für Cloud Apps-Endpunkt den Browser auf, die SSL-Clientzertifikate anzuzeigen, wenn eine entsprechende Sitzung App-Steuerung für bedingten Zugriff durchläuft. Der Browser stellt die SSL-Clientzertifikate bereit, die mit einem privaten Schlüssel installiert sind. Diese Kombination aus Zertifikat und privatem Schlüssel erfolgt mithilfe des PKCS #12 Dateiformats, in der Regel P12 oder PFX.

Wenn eine Clientzertifikatüberprüfung durchgeführt wird, überprüft Defender für Cloud-Apps die folgenden Bedingungen:

  1. Das ausgewählte Clientzertifikat ist gültig und befindet sich unter der richtigen Stamm- oder Zwischenzertifizierungsstelle.
  2. Das Zertifikat wird nicht widerrufen (wenn die Zertifikatsperrliste aktiviert ist).

Hinweis

Die meisten gängigen Browser unterstützen die Durchführung einer Clientzertifikatüberprüfung. Mobile Apps und Desktop-Apps nutzen jedoch häufig integrierte Browser, die diese Überprüfung möglicherweise nicht unterstützen und sich daher auf die Authentifizierung für diese Apps auswirken.

So konfigurieren Sie eine Richtlinie für die Nutzung der Geräteverwaltung über Clientzertifikate:

  1. Klicken Sie in Defender für Cloud-Apps in der Menüleiste auf das Zahnradeinstellungssymbol und wählen Sie Einstellungenaus.

  2. Wählen Sie die Registerkarte Geräteidentifikation aus.

  3. Hochladen beliebig viele Stamm- oder Zwischenzertifikate.

    Tipp

    Um zu testen, wie dies funktioniert, können Sie unsere Stammzertifizierungsstelle und das Clientzertifikat wie folgt verwenden:

    1. Laden Sie die Stammzertifizierungsstelle und das Clientzertifikatherunter.
    2. Hochladen die Stammzertifizierungsstelle zu Defender für Cloud-Apps.
    3. Installieren Sie das Clientzertifikat (password=Microsoft) auf den relevanten Geräten.

Nachdem die Zertifikate hochgeladen wurden, können Sie Zugriffs- und Sitzungsrichtlinien basierend auf dem Gerätetag und dem gültigen Clientzertifikaterstellen.

Unterstützte Apps und Clients

Sitzungs- und Zugriffssteuerungen können auf jedes interaktive einmalige Anmelden angewendet werden, indem das SAML 2.0-Authentifizierungsprotokoll oder, wenn Sie Azure AD verwenden, auch das Open ID Verbinden-Authentifizierungsprotokoll verwendet wird. Wenn Ihre Apps außerdem mit Azure AD konfiguriert sind, können Sie diese Steuerelemente auch auf lokal gehostete Apps anwenden, die mit dem Azure AD-App-Proxykonfiguriert sind. Darüber hinaus können Zugriffssteuerungen auf native Mobile- und Desktopclient-Apps angewendet werden.

Defender für Cloud-Apps identifiziert Apps anhand von Informationen, die im Cloud-App-Katalog verfügbar sind. Einige Organisationen und Benutzer passen Apps durch Hinzufügen von Plug-Ins an. Damit Sitzungssteuerelemente jedoch ordnungsgemäß mit diesen Plug-Ins funktionieren, müssen die zugeordneten benutzerdefinierten Domänen der entsprechenden App im Katalog hinzugefügt werden.

Hinweis

Für die Authenticator-App wird neben anderen Anmeldeflüssen für die native Client-App auch ein nicht interaktiver Anmeldefluss verwendet, und sie kann nicht mit Zugriffssteuerungen genutzt werden.

Zugriffssteuerung

Viele Organisationen, die Sitzungssteuerungen für Cloud-Apps verwenden, um In-Session-Aktivitäten zu steuern, wenden auch Zugriffssteuerungen an, um den gleichen Satz nativer mobiler und Desktopclient-Apps zu blockieren und so umfassende Sicherheit für die Apps zu bieten.

Sie können den Zugriff auf native mobile Apps und Desktopclient-Apps mit Zugriffsrichtlinien blockieren, indem Sie den Client-App-Filter auf Mobil und Desktop festlegen. Einige native Client-Apps können einzeln erkannt werden, während andere, die Teil einer App-Suite sind, nur als app der obersten Ebene identifiziert werden können. Beispielsweise können Apps wie SharePoint Online nur erkannt werden, indem eine Zugriffsrichtlinie erstellt wird, die auf Office 365 angewendet wird.

Hinweis

Sofern der Client-App-Filter nicht speziell auf Mobil und Desktopfestgelegt ist, gilt die resultierende Zugriffsrichtlinie nur für Browsersitzungen. Der Grund dafür ist, versehentlich das Proxying von Benutzersitzungen zu verhindern. Dies kann ein Nebenprodukt der Verwendung dieses Filters sein. Obwohl die meisten gängigen Browser die Durchführung einer Clientzertifikatüberprüfung unterstützen, verwenden einige mobile Apps und Desktop-Apps integrierte Browser, die diese Überprüfung möglicherweise nicht unterstützen. Daher kann sich die Verwendung dieses Filters auf die Authentifizierung für diese Apps auswirken.

Sitzungssteuerelemente

Sitzungssteuerelemente sind so aufgebaut, dass sie mit jedem Browser auf allen wichtigen Plattformen unter jedem Betriebssystem verwendet werden können. Wir unterstützen jedoch Microsoft Edge (neueste Version), Google Chrome (neueste Version), Mozilla Firefox (neueste Version) oder Apple Safari (neueste Version). Der Zugriff auf mobile Apps und Desktop-Apps kann ebenfalls blockiert oder zugelassen werden.

Hinweis

  • Defender für Cloud-Apps verwendet Transport Layer Security (TLS) Protokolle 1.2 und darüber, um erstklassige Verschlüsselung zu bieten. Native Client-Apps und Browser, die TLS 1.2 und mehr nicht unterstützen, sind bei der Konfiguration mit Sitzungssteuerung nicht zugänglich. SaaS-Apps, die TLS 1.1 oder niedriger verwenden, werden jedoch im Browser als TLS 1.2 oder niedriger angezeigt, wenn sie mit Defender für Cloud-Apps konfiguriert sind.
  • Um Sitzungssteuerelemente auf portal.office.com anwenden zu können, müssen Sie die Microsoft 365 Admin Center. Weitere Informationen zum Onboarding von Apps finden Sie unter Onboarding und App-Steuerung für bedingten Zugriff für jede App.

Jede Web-App, die mit den erwähnten Authentifizierungsprotokollen konfiguriert wurde, kann integriert werden, um mit Zugriffs- und Sitzungssteuerungen zu arbeiten. Darüber hinaus sind die folgenden Apps bereits mit Zugriffs- und Sitzungssteuerelementen integriert:

  • AWS
  • Azure DevOps (Visual Studio Team Services)
  • Azure-Portal
  • Feld
  • Concur
  • CornerStone OnDemand
  • DocuSign
  • Dropbox
  • Dynamics 365 CRM (Vorschauversion)
  • egnyte
  • Exchange Online
  • GitHub
  • Google-Arbeitsbereich
  • HighQ
  • JIRA/Confluence
  • OneDrive for Business
  • LinkedIn Learning
  • Power BI
  • Salesforce
  • ServiceNow
  • SharePoint Online
  • Slack
  • Tableau
  • Microsoft Teams (Vorschauversion)
  • Workday
  • Workiva
  • Workplace by Facebook
  • Yammer (Vorschauversion)

Office 365 Cloud App Security ausgewählte Apps

Die folgende Liste enthält ausgewählte Apps, die inOffice 365 Cloud App Security.

  • Exchange Online
  • OneDrive for Business
  • Power BI
  • SharePoint Online
  • Microsoft Teams (Vorschauversion)
  • Yammer (Vorschauversion)

Wenn Sie daran interessiert sind, dass eine bestimmte App vorgestellt wird, senden Sie uns Details zur App. Stellen Sie sicher, dass Sie den Für sie interessierenden Use Case für das Onboarding senden.

Nächste Schritte

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.