Alkalmazások védelme a Microsoft Defender for Cloud Apps feltételes hozzáférést biztosító alkalmazásvezérlőjével

Megjegyzés

Átneveztük Microsoft Cloud App Security. Most már Microsoft Defender for Cloud Apps- nak hívják. Az elkövetkező hetekben frissítjük a képernyőképeket és az utasításokat itt és a kapcsolódó oldalakon. A módosítással kapcsolatos további információkért tekintse meg ezt a bejelentést. Ha többet szeretne megtudni a Microsoft biztonsági szolgáltatásainak átnevezéséről, tekintse meg a Microsoft Ignite Security blogot.

A mai munkahelyen gyakran nem elég tudni, hogy mi történik a felhőkörnyezetben a tény után. Szeretné valós időben leállítani a biztonsági incidenseket és a kiszivárgásokat, mielőtt az alkalmazottak szándékosan vagy véletlenül veszélybe söprennénk az adatait és a szervezetét. Fontos, hogy a szervezet felhasználói a lehető legtöbbet hozhassák ki a felhőalkalmazásokban elérhető szolgáltatásokból és eszközökből, és lehetővé tegyék számukra, hogy saját eszközeiket használják. Ugyanakkor olyan eszközökre is szüksége van, amelyek segítenek megvédeni a szervezetet az adatszivárgásoktól és az adatlopástól valós időben. Microsoft Defender for Cloud Apps integrálható bármely identitásszolgáltatóval (IdP), hogy ezeket a képességeket hozzáférés- és munkamenet-vezérlőkkel is elérhetővé tehesse. Ha Azure Active Directory (Azure AD) használja identitásszolgáltatóként, ezek a vezérlők integrálva és zökkenőmentesen használhatók a Azure AD feltételes hozzáférési eszközére épülő egyszerűbb és személyre szabottabb üzembe helyezés érdekében.

Megjegyzés

  • Az érvényes Felhőhöz készült Defender Apps-licenc mellett az Felhőhöz készült Defender Apps feltételes hozzáférésű alkalmazásvezérlőjének használatához Azure Active Directory P1 licencre vagy az identitásszolgáltatói megoldás által igényelt licencre is szükség van.

Működés

A feltételes hozzáférési alkalmazásvezérlés fordított proxyarchitektúrát használ, és integrálható az identitásszolgáltatóval. Ha Azure AD Feltételes hozzáféréssel integrál, néhány kattintással konfigurálhatja az alkalmazásokat a feltételes hozzáférés alkalmazásvezérlőjével való együttműködésre, így egyszerűen és szelektíven kényszerítheti a hozzáférés- és munkamenet-vezérlőket a szervezet alkalmazásaihoz a feltételes hozzáférés bármely feltétele alapján. A feltételek határozzák meg , hogy ki (felhasználó vagy felhasználócsoport) és milyen (mely felhőalkalmazások) és hol (mely helyekre és hálózatokra) alkalmazza a feltételes hozzáférési szabályzatot. A feltételek meghatározása után átirányíthatja a felhasználókat Felhőhöz készült Defender Alkalmazásokba, ahol hozzáférési és munkamenet-vezérlők alkalmazásával megvédheti az adatokat a feltételes hozzáférésű alkalmazásvezérlővel.

A feltételes hozzáférés alkalmazásvezérlése lehetővé teszi a felhasználói alkalmazások hozzáférésének és munkameneteinek valós idejű monitorozását és vezérlését a hozzáférési és munkamenet-szabályzatok alapján. A hozzáférési és munkamenet-szabályzatok a Felhőhöz készült Defender Apps portálon használhatók a szűrők további finomításához és a felhasználókon végrehajtandó műveletek beállításához. A hozzáférési és munkamenet-szabályzatokkal a következőket teheti:

  • Adatszivárgás megakadályozása: Letilthatja a bizalmas dokumentumok letöltését, kivágását, másolását és nyomtatását, például nem felügyelt eszközökön.

  • Hitelesítési környezet megkövetelése: Újraértékelheti Azure AD feltételes hozzáférési szabályzatokat, ha bizalmas művelet történik a munkamenetben. Egy szigorúan bizalmas fájl letöltéséhez például többtényezős hitelesítésre van szükség.

  • Védelem letöltéskor: A bizalmas dokumentumok letöltésének letiltása helyett megkövetelheti a dokumentumok címkézését és titkosítását a Microsoft-információvédelem való integráció során. Ez a művelet biztosítja, hogy a dokumentum védett legyen, és a felhasználó hozzáférése korlátozott legyen egy potenciálisan kockázatos munkamenetben.

  • Címkézetlen fájlok feltöltésének megakadályozása: Mielőtt mások feltöltenék, terjesztenék és használnák a bizalmas fájlokat, fontos meggyőződni arról, hogy a bizalmas fájl rendelkezik a szervezet házirendje által meghatározott címkével. Biztosíthatja, hogy a bizalmas tartalmú címkézetlen fájlok feltöltése le legyen tiltva, amíg a felhasználó be nem sorolja a tartalmat.

  • Potenciális kártevők letiltása: A potenciálisan rosszindulatú fájlok feltöltésének letiltásával megvédheti környezetét a kártevőktől. A feltöltött vagy letöltött fájlok megvizsgálhatók a Microsoft fenyegetésfelderítési adataival, és azonnal letilthatók.

  • Felhasználói munkamenetek figyelése a megfelelőség érdekében: A kockázatos felhasználókat a rendszer figyeli, amikor bejelentkeznek az alkalmazásokba, és a műveleteiket a munkameneten belül naplózza a rendszer. Megvizsgálhatja és elemezheti a felhasználói viselkedést, hogy megértse, hol és milyen feltételek mellett kell alkalmazni a munkamenet-szabályzatokat a jövőben.

  • Hozzáférés letiltása: Az egyes alkalmazások és felhasználók hozzáférését több kockázati tényezőtől függően részletesen letilthatja. Letilthatja például őket, ha ügyféltanúsítványokat használnak eszközfelügyeleti formában.

  • Egyéni tevékenységek letiltása: Egyes alkalmazások egyedi forgatókönyvekkel rendelkeznek, amelyek kockázatot hordoznak, például bizalmas tartalmú üzeneteket küldenek olyan alkalmazásokban, mint a Microsoft Teams vagy a Slack. Az ilyen helyzetekben bizalmas tartalmakat kereshet az üzenetekben, és valós időben letilthatja őket.

A munkamenet-vezérlés működése

A feltételes hozzáférésű alkalmazásvezérléssel létrehozott munkamenet-szabályzatok lehetővé teszik a felhasználói munkamenetek vezérlését úgy, hogy a felhasználót fordított proxyn keresztül irányítja át közvetlenül az alkalmazáshoz. Ettől kezdve a felhasználói kérések és válaszok nem közvetlenül az alkalmazáshoz, hanem az Felhőhöz készült Defender-alkalmazásokon keresztül mennek keresztül.

Ha egy munkamenetet proxy véd, az összes releváns URL-címet és cookie-t Felhőhöz készült Defender Apps váltja fel. Ha például az alkalmazás egy olyan lapot ad vissza, amelynek tartományai végződnek myapp.com, a hivatkozás tartománya az alábbihoz hasonló *.mcas.msutótaggal lesz elvégzve:

Alkalmazás URL-címe Lecserélt URL-cím
myapp.com myapp.com.mcas.ms

Ez a módszer nem követeli meg, hogy bármit telepítsen az eszközön, így ideális lehet a nem felügyelt eszközökről vagy partnerfelhasználóktól érkező munkamenetek figyeléséhez vagy vezérléséhez.

Megjegyzés

  • Technológiánk az osztályon belüli legjobb szabadalmazott heurisztikákat használja a felhasználó által a célalkalmazásban végzett tevékenységek azonosítására és szabályozására. Heurisztikus megoldásaink célja a biztonság és a használhatóság optimalizálása és egyensúlyba hozása. Bizonyos ritka esetekben, amikor a kiszolgálóoldali tevékenységek blokkolása használhatatlanná teszi az alkalmazást, ezeket a tevékenységeket csak az ügyféloldalon biztosítjuk, ami potenciálisan érzékenysé teszi őket a rosszindulatú insiderek általi kizsákmányolásra.
  • Felhőhöz készült Defender Alkalmazások világszerte használják az Azure Data Centerst, hogy földrajzi helymeghatározással optimalizált teljesítményt nyújtsanak. Ez azt jelenti, hogy egy felhasználó munkamenete egy adott régión kívül is üzemeltethető a forgalmi mintáktól és a tartózkodási helyüktől függően. Az adatvédelem érdekében azonban ezek az adatközpontok nem tárolnak munkamenet-adatokat.
  • Proxykiszolgálóink nem tárolnak inaktív adatokat. A tartalom gyorsítótárazásakor az RFC 7234-ben (HTTP-gyorsítótárazás) meghatározott követelményeket követjük, és csak a nyilvános tartalmak gyorsítótárazását.

Felügyelt eszköz azonosítása

A feltételes hozzáférést biztosító alkalmazásvezérlő lehetővé teszi olyan szabályzatok létrehozását, amelyek figyelembe veszik, hogy egy eszköz felügyelt-e vagy sem. Az eszköz állapotának azonosításához beállíthat hozzáférési és munkamenet-szabályzatokat a következők kereséséhez:

  • Microsoft Intune megfelelő eszközök [csak a Azure AD]
  • Hibrid Azure AD-csatlakoztatott eszközök [csak az Azure AD esetében érhető el]
  • Ügyféltanúsítványok megléte egy megbízható láncban

Intune megfelelő és hibrid Azure AD csatlakoztatott eszközök

Azure AD feltételes hozzáférés lehetővé teszi Intune megfelelő és hibrid Azure AD csatlakoztatott eszközinformációk közvetlen átadását Felhőhöz készült Defender Alkalmazásoknak. Innen létrehozhat egy hozzáférési szabályzatot vagy munkamenet-szabályzatot, amely eszközállapotot használ szűrőként. További információ: Bevezetés az eszközkezelésbe Azure Active Directory.

Megjegyzés

Egyes böngészők további konfigurációt igényelhetnek, például bővítmények telepítését. További információ: Feltételes hozzáférés böngészőtámogatása.

Ügyféltanúsítvány által hitelesített eszközök

Az eszközazonosítási mechanizmus ügyféltanúsítványok használatával kérhet hitelesítést a megfelelő eszközöktől. Használhatja a szervezetben már üzembe helyezett meglévő ügyféltanúsítványokat, vagy új ügyféltanúsítványokat helyezhet üzembe a felügyelt eszközökön. Győződjön meg arról, hogy az ügyféltanúsítvány telepítve van a felhasználói tárolóban, és ne a számítógéptárolóban. Ezután ezeknek a tanúsítványoknak a jelenlétével állíthatja be a hozzáférési és munkamenet-szabályzatokat.

Az SSL-ügyféltanúsítványok megbízhatósági láncon keresztül vannak ellenőrizve. A PEM-tanúsítványformátumban formázott X.509 fő- vagy köztes hitelesítésszolgáltatót (CA) feltöltheti. Ezeknek a tanúsítványoknak tartalmazniuk kell a hitelesítésszolgáltató nyilvános kulcsát, amelyet aztán a munkamenet során bemutatott ügyféltanúsítványok aláírására használnak.

Miután feltöltötte a tanúsítványt, és konfigurálta a vonatkozó szabályzatot, amikor egy alkalmazható munkamenet bejárja a feltételes hozzáférési alkalmazásvezérlőt, a Felhőhöz készült Defender Apps-végpont kéri a böngészőt az SSL-ügyféltanúsítványok bemutatására. A böngésző a titkos kulccsal telepített SSL-ügyféltanúsítványokat szolgálja ki. A tanúsítvány és a titkos kulcs ezen kombinációja a PKCS #12 fájlformátumban történik, általában .p12 vagy .pfx formátumban.

Ügyféltanúsítvány-ellenőrzés végrehajtásakor az Felhőhöz készült Defender Alkalmazások a következő feltételeket ellenőrzik:

  1. A kiválasztott ügyféltanúsítvány érvényes, és a megfelelő legfelső szintű vagy köztes hitelesítésszolgáltató alatt található.
  2. A tanúsítvány nincs visszavonva (ha a CRL engedélyezve van).

Megjegyzés

A legtöbb fő böngésző támogatja az ügyféltanúsítvány-ellenőrzés végrehajtását. A mobil- és asztali alkalmazások azonban gyakran olyan beépített böngészőket használnak, amelyek nem támogatják ezt az ellenőrzést, ezért befolyásolják az alkalmazások hitelesítését.

Szabályzat konfigurálása az eszközfelügyelet ügyféltanúsítványokon keresztüli kihasználásához:

  1. Az Felhőhöz készült Defender Apps menüsávjában válassza ki a beállítások fogaskerékétsettings icon., és válassza Gépház.

  2. Válassza az Eszközazonosító lapot.

  3. Töltsön fel annyi főtanúsítványt vagy köztes tanúsítványt, amennyit csak szeretne.

    Tipp

    Ennek működésének teszteléséhez használhatja a legfelső szintű hitelesítésszolgáltató és az ügyféltanúsítvány mintáját az alábbiak szerint:

    1. Töltse le a minta legfelső szintű hitelesítésszolgáltatót és ügyféltanúsítványt.
    2. Töltse fel a legfelső szintű hitelesítésszolgáltatót Felhőhöz készült Defender-alkalmazásokba.
    3. Telepítse az ügyféltanúsítványt (password=Microsoft) a megfelelő eszközökre.

A tanúsítványok feltöltése után létrehozhat hozzáférési és munkamenet-szabályzatokat az Eszközcímke és az Érvényes ügyféltanúsítvány alapján.

Támogatott alkalmazások és ügyfelek

A munkamenet- és hozzáférés-vezérlők bármilyen interaktív egyszeri bejelentkezésre alkalmazhatók az SAML 2.0 hitelesítési protokoll, illetve Azure AD használata esetén az Open ID Csatlakozás hitelesítési protokoll használatával is. Továbbá, ha az alkalmazások Azure AD vannak konfigurálva, akkor ezeket a vezérlőket a helyszínen üzemeltetett, az Azure AD alkalmazásproxyval konfigurált alkalmazásokra is alkalmazhatja. Emellett a hozzáférés-vezérlés natív mobil- és asztali ügyfélalkalmazásokra is alkalmazható.

Felhőhöz készült Defender Alkalmazások a felhőalkalmazás-katalógusban elérhető információk alapján azonosítják az alkalmazásokat. Egyes szervezetek és felhasználók beépülő modulok hozzáadásával szabják testre az alkalmazásokat. Ahhoz azonban, hogy a munkamenet-vezérlők megfelelően működjenek ezekkel a beépülő modulokkal, a társított egyéni tartományokat hozzá kell adni a katalógus megfelelő alkalmazásához.

Megjegyzés

Az Authenticator alkalmazás – más natív ügyfélalkalmazás-bejelentkezési folyamatok mellett – nem interaktív bejelentkezési folyamatot használ, és nem alkalmazható rá hozzáférés-vezérlés.

Hozzáférés-vezérlés

Számos szervezet, amely úgy dönt, hogy munkamenet-vezérlőket használ a felhőalkalmazásokhoz a munkameneten belüli tevékenységek vezérléséhez, hozzáférés-vezérlést is alkalmaz a natív mobil- és asztali ügyfélalkalmazások azonos készletének blokkolásához, ezáltal átfogó biztonságot nyújtva az alkalmazások számára.

A natív mobil- és asztali ügyfélalkalmazásokhoz való hozzáférést hozzáférési szabályzatokkal letilthatja, ha az Ügyfélalkalmazás szűrőt Mobil és asztali verzióra állítja. Egyes natív ügyfélalkalmazások egyedileg felismerhetők, míg mások, amelyek egy alkalmazáscsomag részei, csak legfelső szintű alkalmazásként azonosíthatók. Az SharePoint Online-hoz hasonló alkalmazások például csak Office 365 alkalmazásokra alkalmazott hozzáférési szabályzat létrehozásával ismerhetők fel.

Megjegyzés

Ha az ügyfélalkalmazás szűrője kifejezetten a Mobile és az asztali verzióra van beállítva, az eredményként kapott hozzáférési szabályzat csak a böngésző-munkamenetekre lesz érvényes. Ennek az az oka, hogy megakadályozza a felhasználói munkamenetek véletlen proxyzását, ami a szűrő használatának mellékterméke lehet. Bár a legtöbb fő böngésző támogatja az ügyféltanúsítvány-ellenőrzés végrehajtását, egyes mobil- és asztali alkalmazások olyan beépített böngészőket használnak, amelyek esetleg nem támogatják ezt az ellenőrzést. Ezért a szűrő használata hatással lehet az alkalmazások hitelesítésére.

Munkamenet-vezérlők

Bár a munkamenet-vezérlők úgy vannak kialakítva, hogy bármilyen böngészővel működjenek bármely nagyobb platformon bármilyen operációs rendszeren, támogatjuk a Microsoft Edge (legújabb), a Google Chrome (legújabb), a Mozilla Firefox (legújabb) vagy az Apple Safari (legújabb) böngészőt. A mobil- és asztali alkalmazásokhoz való hozzáférés le is tiltható vagy engedélyezhető.

Megjegyzés

  • Felhőhöz készült Defender Alkalmazások a Transport Layer Security (TLS) 1.2-es vagy újabb protokolljait használják a legjobb osztályon belüli titkosítás biztosításához. A TLS 1.2+-t nem támogató natív ügyfélalkalmazások és böngészők nem lesznek elérhetők, ha munkamenet-vezérléssel van konfigurálva. A TLS 1.1-et vagy annál újabb verziót használó SaaS-alkalmazások azonban a TLS 1.2+-as vagy újabb verziójával jelennek meg a böngészőben, ha az Felhőhöz készült Defender Apps szolgáltatással van konfigurálva.
  • A munkamenet-vezérlők portal.office.com való alkalmazásához Microsoft 365 Felügyeleti központ kell előkészítenie. További információ az alkalmazások előkészítéséről: Feltételes hozzáférésű alkalmazásvezérlő előkészítése és üzembe helyezése bármely alkalmazáshoz.

Előre előkészített alkalmazások

A korábban említett hitelesítési protokollok használatával konfigurált webalkalmazások előkészíthetők a hozzáférés- és munkamenet-vezérlők használatához. Emellett a következő alkalmazások már bevezetésre kerülnek az Azure Access Directory hozzáférési és munkamenet-vezérlőivel is.

Megjegyzés

Szükséges, hogy a kívánt alkalmazásokat a hozzáférés- és munkamenet-vezérlőkhöz irányítsa, valamint hogy végrehajtsa az első bejelentkezést.

  • AWS
  • Box
  • Concur
  • CornerStone on Demand
  • DocuSign
  • Dropbox
  • Egnyte
  • GitHub
  • Google Workspace
  • HighQ
  • JIRA/Confluence
  • LinkedIn Learning
  • Microsoft Azure DevOps (Visual Studio Team Services)
  • Microsoft Azure Portal
  • Microsoft Dynamics 365 CRM
  • Microsoft Exchange Online
  • Microsoft OneDrive Vállalati verzió
  • Microsoft Power BI
  • Microsoft SharePoint Online
  • Microsoft Teams
  • Microsoft Yammer
  • Salesforce
  • ServiceNow
  • Slack
  • Tableau
  • Workday
  • Workiva
  • Workplace by Facebook

Ha egy adott alkalmazás előzetes előkészítése érdekli, küldjön nekünk részleteket az alkalmazásról. Mindenképpen küldje el az előkészítéshez szükséges használati esetet.

Ismert korlátozások

  • A proxy beágyazott munkamenet-jogkivonattal megkerülhető
    A proxy megkerülése olyan esetekben lehetséges, amikor maga az alkalmazás ágyazza be a jogkivonatot a hivatkozásokba. A végfelhasználók ebben az esetben közvetlenül másolhatják a hivatkozást, és hozzáférhetnek az erőforráshoz.

  • A másolási/kivágási szabályzat megkerülhető a Fejlesztői eszközök használatával
    A böngésző fejlesztői eszközeivel megkerülheti a meghatározott másolási/kivágásra vonatkozó szabályzatot. Egy olyan házirendben például, amely megakadályozza a tartalom másolását Microsoft Word, megtekintheti a tartalmat a Fejlesztői eszközök használatával, onnan másolhatja a tartalmat, majd megkerülheti a proxyt.

  • A proxy megkerülhető paramétermódosítással
    A paraméterek módosításával megkerülhető a megadott munkamenet-szabályzat. Módosíthatja például az URL-paramétereket, és megtévesztheti a szolgáltatást úgy, hogy az megkerülje a proxyt, és lehetővé teszi egy bizalmas fájl letöltését.

  • Böngésző beépülő modul korlátozása
    A jelenlegi feltételes hozzáférési alkalmazásvezérlési munkamenet-korlátozási kényszerítési megoldás nem támogatja a natív alkalmazásokat, mivel a mögöttes alkalmazás kódjának valamilyen módosítását igényli. A natív alkalmazásokhoz hasonló böngészőbővítmények előre telepítve vannak a böngészőben, ezért nem engedjük meg, hogy szükség szerint módosítsuk a kódot, és megszakad, amikor a jogkivonatokat a proxymegoldásunkon keresztül átirányítjuk. Rendszergazdaként meghatározhatja az alapértelmezett rendszerviselkedést, ha egy szabályzat nem kényszeríthető ki, és választhat a hozzáférés engedélyezése vagy teljes letiltása között.

  • Az alkalmazások megszakadhatnak
    A következő alkalmazásokban olyan forgatókönyveket észleltünk, amelyekben az alkalmazás megszakadhat:

    • ArcGIS
    • Microsoft Dynamics 365 CRM
    • Microsoft Power Apps
    • Microsoft Power BI
    • Microsoft Yammer
  • A letöltések letiltása miatt a PDF-előnézetek le lesznek tiltva
    Amikor egy felhasználó hozzáfér a Outlook Web App (OWA) alkalmazáshoz, és megkísérli a PDF-melléklet előnézetének megtekintését, előfordulhat, hogy az Felhőhöz készült Defender Apps blokkolja azt. Ennek az az oka, hogy egyes böngészőkben le kell tölteni a PDF-fájlt a háttérrendszerre az előnézet megtekintéséhez. További információkért és kerülő megoldásért olvassa el a Letöltések letiltása című témakört, amely a PDF-előnézetek letiltását eredményezi.

  • Az ellenőrzési szabályzatok legfeljebb 5 MB méretű fájlokra érvényesek
    Ha a tartalomvizsgálaton alapuló fájlfeltöltéseket vagy -letöltéseket letiltó munkamenet-szabályzatot alkalmaz, az ellenőrzés 5 MB-nál kisebb fájlokon történik. Egy rendszergazda például a következő munkamenet-szabályzatok egyikét határozhatja meg:

    • TAJ-számot (SSN) tartalmazó fájlok fájlfeltöltésének letiltása
    • PhI-t tartalmazó fájlok fájlletöltésének letiltása (védett állapottal kapcsolatos információk)

    Ilyen esetekben az 5 MB-nál nagyobb fájlokat nem ellenőrzi a rendszer, és az Always szabályzatbeállítása szerint kezeli a rendszer a kiválasztott műveletet akkor is, ha az adatok nem vizsgálhatók.

Következő lépések

Az alkalmazások előkészítésére vonatkozó utasításokért tekintse meg az alábbi megfelelő dokumentumot:

Ha bármilyen problémába ütközik, segítünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson támogatási jegyet.