Proteggere le app con Controllo app per l'accesso condizionale di Microsoft Defender for Cloud Apps

Nota

  • Sono stati rinominati Microsoft Cloud App Security. È ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornati gli screenshot e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in una posizione. Ciò semplifica i flussi di lavoro e aggiungerà la funzionalità degli altri servizi di Microsoft 365 Defender. Microsoft 365 Defender sarà la casa per il monitoraggio e la gestione della sicurezza tra le identità, i dati, i dispositivi, le app e l'infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Nell'ambiente di lavoro odierno, spesso non è sufficiente sapere cosa accade nell'ambiente cloud dopo il fatto. È necessario arrestare violazioni e perdite in tempo reale, prima che i dipendenti intenzionalmente o inavvertitamente mettano a rischio i dati e l'organizzazione. È importante consentire agli utenti dell'organizzazione di sfruttare al meglio i servizi e gli strumenti disponibili nelle app cloud e consentire loro di portare i propri dispositivi al lavoro. Allo stesso tempo, è importante avere strumenti per proteggere l'organizzazione da perdite e furti di dati in tempo reale. Microsoft Defender for Cloud Apps si integra con qualsiasi provider di identità (IdP) per offrire queste funzionalità con controlli di accesso e sessione. Se si usa Azure Active Directory (Azure AD) come IDP, questi controlli sono integrati e semplificati per una distribuzione più semplice e più personalizzata basata sullo strumento di accesso condizionale di Azure AD.

Nota

  • Oltre a una licenza di app di Defender per il cloud valida, per usare Defender per il cloud Controllo app di accesso condizionale, è necessaria anche una licenza Azure Active Directory P1 o la licenza richiesta dalla soluzione IdP.

Funzionamento

Il controllo app di accesso condizionale usa un'architettura proxy inversa e si integra con l'IDP. Quando si integra con l'accesso condizionale di Azure AD, è possibile configurare le app in modo che funzionino con il controllo app di accesso condizionale con pochi clic, consentendo di applicare in modo semplice e selettivo i controlli di accesso e sessione alle app dell'organizzazione in base a qualsiasi condizione in Accesso condizionale. Le condizioni definiscono chi (utente o gruppo di utenti) e quali (app cloud) e dove (quali posizioni e reti) viene applicato un criterio di accesso condizionale. Dopo aver determinato le condizioni, è possibile instradare gli utenti alle app Defender per il cloud in cui è possibile proteggere i dati con controllo app di accesso condizionale applicando controlli di accesso e sessione.

Tramite il controllo delle app con l'accesso condizionale, è possibile monitorare e controllare l'accesso e le sessioni delle app dell'utente in tempo reale, in base ai criteri di accesso e di sessione. I criteri di accesso e sessione vengono usati all'interno del portale di app di Defender per il cloud per perfezionare ulteriormente i filtri e impostare le azioni da eseguire su un utente. Con i criteri di accesso e di sessione è possibile eseguire le operazioni seguenti:

  • Impedire l'esfiltrazione dei dati: è possibile bloccare il download, tagliare, copiare e stampare documenti sensibili su, ad esempio, dispositivi non gestiti.

  • Richiedi contesto di autenticazione: è possibile rivalutare i criteri di accesso condizionale di Azure AD quando si verifica un'azione sensibile nella sessione. Ad esempio, richiedere l'autenticazione a più fattori nel download di un file altamente riservato.

  • Proteggere il download: invece di bloccare il download di documenti sensibili, è possibile richiedere l'etichetta e la crittografia dei documenti quando si integra con Microsoft Purview Information Protection. Questa azione garantisce che il documento sia protetto e che l'accesso utente sia limitato in una sessione potenzialmente rischiosa.

  • Impedire il caricamento di file senza etichetta: prima che venga caricato, distribuito e usato da altri file sensibili, è importante assicurarsi che il file sensibile abbia l'etichetta definita dai criteri dell'organizzazione. È possibile fare in modo che i file con contenuto sensibile ma non provvisti di etichetta vengano bloccati fino a quando l'utente non classifica il contenuto.

  • Bloccare potenziali malware: è possibile proteggere l'ambiente da malware bloccando il caricamento di file potenzialmente dannosi. Qualsiasi file caricato o scaricato può essere analizzato con l'intelligenza delle minacce Microsoft e bloccato istantaneamente.

  • Monitorare le sessioni utente per la conformità: gli utenti rischiosi vengono monitorati quando accedono alle app e le relative azioni vengono registrate dall'interno della sessione. È possibile esaminare e analizzare il comportamento degli utenti per comprendere dove e in quali condizioni applicare i criteri di sessione in futuro.

  • Blocca l'accesso: è possibile bloccare granularmente l'accesso per app e utenti specifici a seconda di diversi fattori di rischio. Ad esempio, è possibile bloccarli se usano certificati client come forma di gestione dei dispositivi.

  • Blocca le attività personalizzate: alcune app hanno scenari univoci che comportano rischi, ad esempio l'invio di messaggi con contenuto sensibile nelle app come Microsoft Teams o Slack. In questi tipi di scenari è possibile analizzare i messaggi alla ricerca di contenuto sensibile e bloccarli in tempo reale.

Funzionamento del controllo delle sessioni

Se si crea un criterio di sessione con il controllo delle app con l'accesso condizionale è possibile controllare le sessioni utente reindirizzando l'utente tramite un proxy inverso anziché raggiungere direttamente l'app. Da allora, le richieste utente e le risposte passano attraverso app Defender per il cloud anziché direttamente all'app.

Quando una sessione è protetta dal proxy, tutti gli URL e i cookie pertinenti vengono sostituiti da app Defender per il cloud. Ad esempio, se l'app restituisce una pagina con collegamenti i cui domini terminano con , il dominio del collegamento viene suffisso con myapp.comun valore simile *.mcas.msa , come segue:

URL dell'app URL sostituito
myapp.com myapp.com.mcas.ms

Questo metodo non richiede l'installazione di alcun elemento nel dispositivo che rende ideale il monitoraggio o il controllo delle sessioni da dispositivi o utenti partner non gestiti.

Nota

  • La nostra tecnologia usa le migliori euristiche con brevetto per identificare e controllare le attività eseguite dall'utente nell'app di destinazione. Le nostre euristiche sono progettate per ottimizzare e bilanciare la sicurezza con l'usabilità. In alcuni scenari rari, quando si bloccano le attività sul lato server, l'app non è utilizzabile, queste attività vengono protette solo sul lato client, che li rende potenzialmente soggetti allo sfruttamento da parte di utenti malintenzionati.
  • Defender per il cloud App sfrutta i data center di Azure in tutto il mondo per offrire prestazioni ottimizzate tramite la georilevazione. Questo significa che la sessione di un utente può essere ospitata all'esterno di una determinata area, a seconda dei modelli di traffico e della località. Tuttavia, per proteggere la privacy, in questi data center non vengono archiviati i dati di nessuna sessione.
  • I server proxy non archiviano i dati inattivi. Quando si memorizza nella cache il contenuto, vengono seguiti i requisiti descritti in RFC 7234 (memorizzazione nella cache HTTP) e solo il contenuto pubblico della cache.

Identificazione dei dispositivi gestiti

Controllo app per l'accesso condizionale consente di creare criteri che prendono in considerazione se un dispositivo è gestito o meno. Per identificare lo stato di un dispositivo, è possibile configurare i criteri di accesso e di sessione per verificare quanto segue:

  • Microsoft Intune Dispositivi conformi [disponibili solo con Azure AD]
  • Dispositivi aggiunti ad Azure AD ibrido [disponibile solo con Azure AD]
  • Presenza di certificati client in una catena considerata attendibile

Intune dispositivi conformi e ibridi aggiunti ad Azure AD

L'accesso condizionale di Azure AD consente di passare direttamente alle app Intune conformi e ibride del dispositivo aggiunto Defender per il cloud ad Azure AD. Dal proxy è possibile sviluppare un criterio di accesso o di sessione che usa lo stato del dispositivo come filtro. Per altre informazioni, vedere Introduzione alla gestione dei dispositivi in Azure Active Directory.

Nota

Alcuni browser possono richiedere una configurazione aggiuntiva, ad esempio l'installazione di un'estensione. Per altre informazioni, vedere Supporto del browser di accesso condizionale.

Dispositivi autenticati con certificati client

Per il meccanismo di identificazione dispositivi può essere necessaria l'autenticazione dei dispositivi tramite certificati client. Per la gestione dei dispositivi, è possibile usare certificati client esistenti già distribuiti nell'organizzazione o implementare nuovi certificati client. Assicurarsi che il certificato client sia installato nell'archivio utenti e non nell'archivio computer. È quindi possibile usare tali certificati esistenti per impostare i criteri di accesso e di sessione.

I certificati client SSL vengono verificati tramite una catena di attendibilità. È possibile caricare una radice X.509 o un'autorità di certificazione intermedia (CA) formattata nel formato del certificato PEM. Questi certificati devono contenere la chiave pubblica della CA, che viene quindi usata per firmare i certificati client presentati durante una sessione.

Dopo che il certificato viene caricato e viene configurato un criterio pertinente, quando una sessione applicabile attraversa il controllo app di accesso condizionale, l'endpoint Defender per il cloud App richiede al browser di presentare i certificati client SSL. Il browser serve i certificati client SSL installati con una chiave privata. Questa combinazione di certificati e chiave privata viene eseguita usando il formato di file PKCS #12, in genere .p12 o pfx.

Quando viene eseguita una verifica del certificato client, le app Defender per il cloud controllano le condizioni seguenti:

  1. Il certificato client selezionato è valido ed è sotto la ca radice o intermedia corretta.
  2. Il certificato non viene revocato (se CRL è abilitato).

Nota

La maggior parte dei principali browser supporta l'esecuzione di un controllo del certificato client. Tuttavia, le app per dispositivi mobili e desktop spesso sfruttano browser predefiniti che potrebbero non supportare questo controllo e quindi influire sull'autenticazione per queste app.

Per configurare un criterio per sfruttare la gestione dei dispositivi tramite certificati client:

  1. Nella barra dei menu Defender per il cloud App selezionare l'ingranaggio settings icon. delle impostazioni e selezionare Impostazioni.

  2. Selezionare la scheda Identificazione dispositivo .

  3. Upload più certificati radice o intermedi necessari.

    Suggerimento

    Per testare il funzionamento, è possibile usare la CA radice di esempio e il certificato client, come indicato di seguito:

    1. Scaricare la CA radice di esempio e il certificato client.
    2. Upload la CA radice in app di Defender per il cloud.
    3. Installare il certificato client (password=Microsoft) nei dispositivi pertinenti.

Dopo il caricamento dei certificati, è possibile creare criteri di accesso e sessione in base al tag dispositivo e al certificato client valido.

App e client supportati

I controlli sessione e accesso possono essere applicati a qualsiasi accesso Single Sign-On interattivo, usando anche il protocollo di autenticazione SAML 2.0 o, se si usa Azure AD, anche il protocollo di autenticazione Open ID Connessione. Inoltre, se le app sono configurate con Azure AD, è anche possibile applicare questi controlli alle app ospitate in locale configurate con il proxy app di Azure AD. Inoltre, i controlli di accesso possono essere applicati alle app client desktop e per dispositivi mobili native.

Defender per il cloud App identifica le app usando le informazioni disponibili nel catalogo app cloud. Alcune organizzazioni e utenti personalizzano le app aggiungendo plug-in. Tuttavia, per consentire ai controlli sessione di funzionare correttamente con questi plug-in, i domini personalizzati associati devono essere aggiunti alla rispettiva app nel catalogo.

Nota

L'app Authenticator, tra gli altri flussi di accesso dell'app client nativa, usa un flusso di accesso non interattivo e non può essere usata con i controlli di accesso.

Controlli di accesso

Molte organizzazioni che scelgono di usare i controlli sessione per le app cloud per controllare le attività in sessione, applicano anche i controlli di accesso per bloccare lo stesso set di app client desktop e per dispositivi mobili nativi, fornendo così sicurezza completa per le app.

È possibile bloccare l'accesso alle app client desktop e mobili native con criteri di accesso impostando il filtro app client su Mobile e desktop. Alcune app client native possono essere riconosciute singolarmente, mentre altre che fanno parte di una suite di app possono essere identificate solo come app di primo livello. Ad esempio, le app come SharePoint Online possono essere riconosciute solo creando criteri di accesso applicati alle app Office 365.

Nota

A meno che il filtro dell'app client non sia impostato in modo specifico su Mobile e desktop, i criteri di accesso risultanti verranno applicati solo alle sessioni del browser. Per questo motivo, è possibile evitare sessioni utente inavvertitamente proxying, che possono essere un byproduct dell'uso di questo filtro. Anche se la maggior parte dei principali browser supporta l'esecuzione di un controllo certificato client, alcune app per dispositivi mobili e desktop usano browser predefiniti che potrebbero non supportare questo controllo. Pertanto, l'uso di questo filtro può influire sull'autenticazione per queste app.

Controlli di sessione

Mentre i controlli sessione sono compilati per funzionare con qualsiasi browser in qualsiasi piattaforma principale in qualsiasi sistema operativo, supportiamo Microsoft Edge (più recente), Google Chrome (più recente), Mozilla Firefox (più recente) o Apple Safari (più recente). L'accesso alle app per dispositivi mobili e desktop può anche essere bloccato o consentito.

Nota

  • Defender per il cloud App usa protocolli TLS (Transport Layer Security) 1.2+ per fornire la crittografia migliore in classe. Le app e i browser client nativi che non supportano TLS 1.2+, non saranno accessibili quando configurati con il controllo sessione. Tuttavia, le app SaaS che usano TLS 1.1 o versioni inferiori verranno visualizzate nel browser come l'uso di TLS 1.2+ quando configurato con app Defender per il cloud.
  • Per applicare i controlli sessione a portal.office.com, è necessario eseguire l'onboarding di interfaccia di amministrazione di Microsoft 365. Per altre informazioni sull'onboarding delle app, vedere Onboarding and deploy Condizional Access App Control per qualsiasi app.

App pre-onboarding

È possibile eseguire l'onboarding di qualsiasi app Web configurata usando i protocolli di autenticazione indicati in precedenza per usare i controlli di accesso e sessione. Inoltre, le app seguenti sono già state caricate con controlli di accesso e sessione per Azure Access Directory.

Nota

È necessario instradare le applicazioni desiderate ai controlli di accesso e sessione e per eseguire un primo account di accesso.

  • AWS
  • Box
  • Concur
  • CornerStone on Demand
  • DocuSign
  • Dropbox
  • egnyte
  • GitHub
  • Area di lavoro Google
  • HighQ
  • JIRA/Confluence
  • LinkedIn Learning
  • Microsoft Azure DevOps (Visual Studio Team Services)
  • Portale di Microsoft Azure
  • Microsoft Dynamics 365 CRM
  • Microsoft Exchange Online
  • Microsoft OneDrive for Business
  • Microsoft Power BI
  • Microsoft SharePoint Online
  • Microsoft Teams
  • Microsoft Yammer
  • Salesforce
  • ServiceNow
  • Slack
  • Tableau
  • Workday
  • Workiva
  • Workplace from Meta

Se sei interessato a un'app specifica in fase di pre-onboarding, inviaci informazioni dettagliate sull'app. Assicurarsi di inviare il caso d'uso a cui si è interessati per l'onboarding.

Limitazioni note

  • Il proxy può essere ignorato usando il token di sessione incorporato
    È possibile ignorare il proxy nei casi in cui l'applicazione incorpora il token all'interno dei collegamenti. Un utente finale può copiare il collegamento e accedere direttamente alla risorsa in questo caso.

  • I criteri di copia/taglio possono essere ignorati usando Gli strumenti di sviluppo
    È possibile ignorare i criteri di copia/taglio definiti usando gli strumenti di sviluppo del browser. Ad esempio, in un criterio che impedisce la copia del contenuto da Microsoft Word, è possibile visualizzare il contenuto usando Strumenti di sviluppo, copiare il contenuto da lì e quindi ignorare il proxy.

  • Il proxy può essere ignorato da una modifica del parametro
    È possibile ignorare i criteri di sessione definiti modificando i parametri. Ad esempio, è possibile modificare i parametri DELL'URL e ingannare il servizio in modo da ignorare il proxy e abilitare un download di un file sensibile.

  • Limitazione del plug-in del browser
    La soluzione di imposizione delle restrizioni per la sessione di controllo dell'accesso condizionale corrente non supporta le applicazioni native, perché richiede una modifica del codice dell'applicazione sottostante. Le estensioni del browser, simili alle app native, sono preinstallate nel browser e quindi non consentono di modificare il codice in base alle esigenze e interromperanno quando i token vengono reindirizzati tramite la soluzione proxy. Come amministratore, è possibile definire il comportamento predefinito del sistema quando un criterio non può essere applicato e scegliere tra consentire l'accesso o bloccarlo completamente.

  • Perdita di contesto
    Nelle applicazioni seguenti sono stati rilevati scenari in cui lo spostamento a un collegamento può causare la perdita del percorso completo del collegamento e in genere l'utente si trova nella home page dell'app.

    • ArcGIS
    • GitHub
    • Microsoft Dynamics 365 CRM
    • Microsoft Power Automate
    • Microsoft Power Apps
    • Microsoft Power BI
    • Microsoft Yammer
    • Workplace from Meta
  • I criteri di ispezione sono validi per i file fino a 5 MB di dimensioni e 1 milione di caratteri

    Quando viene applicato un criterio di sessione per bloccare i caricamenti o i download dei file in base all'ispezione del contenuto, l'ispezione viene eseguita sui file più piccoli di 5 MB e più piccoli di 1 milione di caratteri.

    Ad esempio, un amministratore può definire uno dei criteri di sessione seguenti:

    • Bloccare il caricamento dei file per i file contenenti il numero di sicurezza sociale (SSN)
    • Blocca il download dei file contenenti PHI (Protected Health Information) In questi casi, i file più grandi di 5 MB o 1 milione di caratteri non vengono analizzati e vengono trattati in base all'impostazione dei criteri di Applica sempre l'azione selezionata anche se non è possibile analizzare i dati.

    Ecco alcuni esempi:

    • un file TXT, dimensioni 1 MB e 1 milione di caratteri: verrà analizzato
    • un file TXT, dimensioni 2 MB e 2 milioni di caratteri: non verrà analizzata
    • un file di Word composto da immagini e testo, dimensioni di 4 MB e 400 caratteri K: verrà analizzato
    • un file di Word composto da immagini e testo, dimensioni 4 MB e 2 milioni di caratteri: non verrà analizzata

    La soglia delle dimensioni del file può essere configurata fino a 50 MB (fino a 5 MB). In questo modo, è possibile analizzare i file contenenti oggetti testuali e non testuali che comprendono fino a 1 milione di caratteri.

    Il motivo della limitazione è che è necessario analizzare grandi quantità di dati per rilevare le informazioni sensibili. In questi casi, la raccomandazione di Microsoft consiste nel testare i criteri con un numero limitato di utenti e quindi espandere l'intera organizzazione.

Passaggi successivi

Per istruzioni su come eseguire l'onboarding delle app, vedere il documento appropriato seguente:

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.