Empfohlene Microsoft Defender for Cloud Apps-Richtlinien für SaaS-Apps
Microsoft Defender for Cloud Apps baut auf Microsoft Entra Richtlinien für bedingten Zugriff auf, um die Echtzeitüberwachung und Steuerung präziser Aktionen mit SaaS-Apps zu ermöglichen, z. B. das Blockieren von Downloads, Uploads, Kopieren und Einfügen sowie Drucken. Dieses Feature erhöht die Sicherheit von Sitzungen, die ein inhärentes Risiko mit sich bringen, z. B. wenn auf Unternehmensressourcen von nicht verwalteten Geräten oder von Gastbenutzern aus zugegriffen wird.
Defender für Cloud-Apps lässt sich auch nativ in Microsoft Purview Information Protection integrieren und bietet eine Inhaltsüberprüfung in Echtzeit, um vertrauliche Daten basierend auf vertraulichen Informationstypen und Vertraulichkeitsbezeichnungen zu finden und geeignete Maßnahmen zu ergreifen.
Dieser Leitfaden enthält Empfehlungen für diese Szenarien:
- Integrieren von SaaS-Apps in die IT-Verwaltung
- Optimieren des Schutzes für bestimmte SaaS-Apps
- Konfigurieren von Microsoft Purview Data Loss Prevention (DLP) zur Einhaltung von Datenschutzbestimmungen
Integrieren von SaaS-Apps in die IT-Verwaltung
Der erste Schritt bei der Verwendung von Defender für Cloud Apps zum Verwalten von SaaS-Apps besteht darin, diese zu ermitteln und dann Ihrem Microsoft Entra Mandanten hinzuzufügen. Wenn Sie Hilfe bei der Ermittlung benötigen, finden Sie weitere Informationen unter Ermitteln und Verwalten von SaaS-Apps in Ihrem Netzwerk. Nachdem Sie Apps ermittelt haben, fügen Sie diese Ihrem Microsoft Entra Mandanten hinzu.
Sie können damit beginnen, diese zu verwalten, indem Sie die folgenden Schritte ausführen:
- Erstellen Sie zunächst in Microsoft Entra ID eine neue Richtlinie für bedingten Zugriff, und konfigurieren Sie sie für "App-Steuerung für bedingten Zugriff verwenden". Dadurch wird die Anforderung an Defender for Cloud Apps umgeleitet. Sie können eine Richtlinie erstellen und dieser Richtlinie alle SaaS-Apps hinzufügen.
- Erstellen Sie als Nächstes in Defender für Cloud-Apps Sitzungsrichtlinien. Create eine Richtlinie für jedes Steuerelement, das Sie anwenden möchten.
Berechtigungen für SaaS-Apps basieren in der Regel auf der geschäftlichen Anforderung für den Zugriff auf die App. Diese Berechtigungen können sehr dynamisch sein. Die Verwendung von Defender für Cloud-Apps-Richtlinien stellt den Schutz von App-Daten sicher, unabhängig davon, ob Benutzer einer Microsoft Entra Gruppe zugewiesen sind, die dem Startpunkt, dem Unternehmensschutz oder dem spezialisierten Sicherheitsschutz zugeordnet ist.
Um Daten in Ihrer Sammlung von SaaS-Apps zu schützen, veranschaulicht das folgende Diagramm die erforderlichen Microsoft Entra Richtlinie für bedingten Zugriff sowie die vorgeschlagenen Richtlinien, die Sie in Defender for Cloud Apps erstellen können. In diesem Beispiel gelten die in Defender for Cloud Apps erstellten Richtlinien für alle SaaS-Apps, die Sie verwalten. Diese sind so konzipiert, dass geeignete Steuerelemente angewendet werden, die darauf basieren, ob Geräte verwaltet werden, sowie Vertraulichkeitsbezeichnungen, die bereits auf Dateien angewendet werden.
In der folgenden Tabelle ist die neue Richtlinie für bedingten Zugriff aufgeführt, die Sie in Microsoft Entra ID erstellen müssen.
| Schutzebene | Richtlinie | Weitere Informationen |
|---|---|---|
| Alle Schutzebenen | Verwenden der App-Steuerung für bedingten Zugriff in Defender for Cloud Apps | Dadurch wird Ihr IdP (Microsoft Entra ID) für die Zusammenarbeit mit Defender for Cloud Apps konfiguriert. |
In der nächsten Tabelle sind die oben gezeigten Beispielrichtlinien aufgeführt, die Sie zum Schutz aller SaaS-Apps erstellen können. Bewerten Sie unbedingt Ihre eigenen Geschäfts-, Sicherheits- und Complianceziele, und erstellen Sie dann Richtlinien, die den am besten geeigneten Schutz für Ihre Umgebung bieten.
| Schutzebene | Richtlinie |
|---|---|
| Ausgangspunkt | Überwachen des Datenverkehrs von nicht verwalteten Geräten Hinzufügen von Schutz zu Dateidownloads von nicht verwalteten Geräten |
| Großunternehmen | Blockieren des Downloads von Dateien mit der Bezeichnung "Vertraulich" oder "Klassifiziert" von nicht verwalteten Geräten (dies bietet nur Browserzugriff) |
| Spezialisierte Sicherheit | Blockieren des Downloads von Dateien mit der Bezeichnung "Klassifiziert" von allen Geräten (dies bietet nur Browserzugriff) |
End-to-End-Anweisungen zum Einrichten der App-Steuerung für bedingten Zugriff finden Sie unter Bereitstellen der App-Steuerung für bedingten Zugriff für ausgewählte Apps. Dieser Artikel führt Sie durch den Prozess zum Erstellen der erforderlichen Richtlinie für bedingten Zugriff in Microsoft Entra ID und Testen Ihrer SaaS-Apps.
Weitere Informationen finden Sie unter Schützen von Apps mit Microsoft Defender for Cloud Apps App-Steuerung für bedingten Zugriff.
Optimieren des Schutzes für bestimmte SaaS-Apps
Möglicherweise möchten Sie zusätzliche Überwachung und Steuerelemente auf bestimmte SaaS-Apps in Ihrer Umgebung anwenden. Defender für Cloud-Apps ermöglicht Ihnen dies. Wenn beispielsweise eine App wie Box in Ihrer Umgebung häufig verwendet wird, ist es sinnvoll, weitere Steuerelemente anzuwenden. Wenn Ihre Rechts- oder Finanzabteilung eine bestimmte SaaS-App für vertrauliche Geschäftsdaten verwendet, können Sie zusätzlichen Schutz für diese Apps festlegen.
Beispielsweise können Sie Ihre Box-Umgebung mit diesen integrierten Richtlinienvorlagen für die Anomalieerkennung schützen:
- Aktivität von anonymen IP-Adressen
- Aktivität aus seltenen Ländern/Regionen
- Aktivität von verdächtigen IP-Adressen
- Unmöglicher Ortswechsel
- Aktivität, die vom beendeten Benutzer ausgeführt wird (erfordert Microsoft Entra ID als IdP)
- Schadsoftwareerkennung
- Mehrere fehlgeschlagene Anmeldeversuche
- Ransomware-Aktivität
- Riskante Oauth-App
- Ungewöhnliche Dateifreigabeaktivität
Dies sind Beispiele. Zusätzliche Richtlinienvorlagen werden regelmäßig hinzugefügt. Beispiele zum Anwenden von zusätzlichem Schutz auf bestimmte Apps finden Sie unter Schützen verbundener Apps.
Wie Defender for Cloud Apps Ihre Box-Umgebung schützt , veranschaulicht die Arten von Steuerelementen, mit denen Sie Ihre Geschäftsdaten in Box und anderen Apps mit vertraulichen Daten schützen können.
Konfigurieren der Verhinderung von Datenverlust (Data Loss Prevention, DLP) zur Einhaltung von Datenschutzbestimmungen
Defender für Cloud-Apps kann ein wertvolles Tool zum Konfigurieren des Schutzes für Compliancebestimmungen sein. In diesem Fall erstellen Sie bestimmte Richtlinien, um nach bestimmten Daten zu suchen, für die eine Verordnung gilt, und konfigurieren jede Richtlinie, um geeignete Maßnahmen zu ergreifen.
Die folgende Abbildung und Tabelle enthalten mehrere Beispiele für Richtlinien, die zur Einhaltung der Datenschutz-Grundverordnung (DSGVO) konfiguriert werden können. In diesen Beispielen suchen Richtlinien nach bestimmten Daten. Basierend auf der Vertraulichkeit der Daten wird jede Richtlinie so konfiguriert, dass sie geeignete Maßnahmen ergreift.
| Schutzebene | Beispielrichtlinien |
|---|---|
| Ausgangspunkt | Warnung, wenn Dateien, die diesen vertraulichen Informationstyp ("Kreditkartennummer") enthalten, außerhalb des organization Blockieren von Downloads von Dateien, die diesen vertraulichen Informationstyp ("Credit Karte Number") auf nicht verwaltete Geräte enthalten |
| Großunternehmen | Schützen von Downloads von Dateien, die diesen vertraulichen Informationstyp ("Credit Karte Number") auf verwalteten Geräten enthalten Blockieren von Downloads von Dateien, die diesen vertraulichen Informationstyp ("Credit Karte Number") auf nicht verwaltete Geräte enthalten Warnung, wenn eine Datei mit diesen Bezeichnungen in OneDrive for Business oder Box hochgeladen wird (Kundendaten, Personal: Gehaltsdaten, Personal, Mitarbeiterdaten) |
| Spezialisierte Sicherheit | Warnung, wenn Dateien mit dieser Bezeichnung ("Streng klassifiziert") auf verwaltete Geräte heruntergeladen werden Blockieren von Downloads von Dateien mit dieser Bezeichnung ("Streng klassifiziert") auf nicht verwaltete Geräte |
Nächste Schritte
Weitere Informationen zur Verwendung von Defender für Cloud-Apps finden Sie in Microsoft Defender for Cloud Apps Dokumentation.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für