Łączenie aplikacjiConnect apps

Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Ważne

Nazwy produktów ochrony przed zagrożeniami firmy Microsoft są zmieniane.Threat protection product names from Microsoft are changing. Więcej informacji na temat tego i innych aktualizacji można znaleźć tutaj.Read more about this and other updates here. Będziemy aktualizować nazwy w produktach i w dokumentach w najbliższej przyszłości.We'll be updating names in products and in the docs in the near future.

Łączniki aplikacji korzystają z interfejsów API dostawców aplikacji w celu zapewnienia lepszej widoczności i kontroli przez Microsoft Cloud App Security za pośrednictwem aplikacji, z którymi nawiązywane jest połączenie.App connectors use the APIs of app providers to enable greater visibility and control by Microsoft Cloud App Security over the apps you connect to.

Microsoft Cloud App Security korzysta z interfejsów API dostarczonych przez dostawcę chmury.Microsoft Cloud App Security leverages the APIs provided by the cloud provider. Cała komunikacja między Cloud App Security i połączonymi aplikacjami jest szyfrowana przy użyciu protokołu HTTPS.All communication between Cloud App Security and connected apps is encrypted using HTTPS. Każda usługa ma własne ograniczenia dotyczące struktury i interfejsu API, takie jak ograniczanie przepustowości, limity interfejsu API, dynamiczne przesunięcia czasowe okien interfejsu API i inne.Each service has its own framework and API limitations such as throttling, API limits, dynamic time-shifting API windows, and others. Microsoft Cloud App Security pracy z usługami w celu optymalizacji użycia interfejsów API i zapewnienia najlepszej wydajności.Microsoft Cloud App Security worked with the services to optimize the usage of the APIs and to provide the best performance. Biorąc pod uwagę różne ograniczenia usług nakładających się na interfejsy API, aparaty Cloud App Security używają dozwolonej pojemności.Taking into account different limitations services impose on the APIs, the Cloud App Security engines use the allowed capacity. Niektóre operacje, takie jak skanowanie wszystkich plików w dzierżawie, wymagają wielu interfejsów API, aby były rozłożone w dłuższym okresie.Some operations, such as scanning all files in the tenant, require numerous APIs so they're spread over a longer period. Niektóre zasady mogą działać przez kilka godzin lub kilka dni.Expect some policies to run for several hours or several days.

Obsługa wiele wystąpieńMulti-instance support

Cloud App Security obsługuje wiele wystąpień tej samej połączonej aplikacji.Cloud App Security supports multiple instances of the same connected app. Na przykład jeśli masz więcej niż jedno wystąpienie usługi Salesforce (jeden do sprzedaży, jeden do celów marketingowych), możesz połączyć oba te elementy do Cloud App Security.For example, if you have more than one instance of Salesforce (one for sales, one for marketing) you can connect both to Cloud App Security. Można zarządzać różnymi wystąpieniami z tej samej konsoli programu, aby utworzyć szczegółowe zasady i dokładniejsze badania.You can manage the different instances from the same console to create granular policies and deeper investigation. Ta obsługa ma zastosowanie tylko do aplikacji połączonych z interfejsem API, a nie do aplikacji wykrytych w chmurze lub aplikacji połączonych z serwerem proxy.This support applies only to API connected apps, not to Cloud Discovered apps or Proxy connected apps.

Uwaga

Wiele wystąpień nie jest obsługiwane przez pakiet Office 365 i platformę Azure.Multi-instance is not supported for Office 365 and Azure.

Jak to działaHow it works

Usługa Cloud App Security jest wdrażana z uprawnieniami administratora systemu w celu zezwolenia na pełny dostęp do wszystkich obiektów w danym środowisku.Cloud App Security is deployed with system admin privileges to allow full access to all objects in your environment.

Przepływ łącznika aplikacji jest następujący:The App Connector flow is as follows:

  1. Cloud App Security skanuje i zapisuje uprawnienia uwierzytelniania.Cloud App Security scans and saves authentication permissions.
  2. Usługa Cloud App Security żąda listy użytkowników.Cloud App Security requests the user list. Gdy żądanie jest wykonywane po raz pierwszy, może upłynąć trochę czasu do momentu ukończenia skanowania.The first time the request is done, it may take some time until the scan completes. Po zakończeniu skanowania użytkowników usługa Cloud App Security przechodzi do działań i plików.After the user scan is over, Cloud App Security moves on to activities and files. Gdy tylko skanowanie zostanie rozpoczęte, niektóre działania będą dostępne w usłudze Cloud App Security.As soon as the scan starts, some activities will be available in Cloud App Security.
  3. Po zakończeniu żądania użytkownika Cloud App Security okresowo skanuje użytkowników, grupy, działania i pliki.After completion of the user request, Cloud App Security periodically scans users, groups, activities, and files. Wszystkie działania będą dostępne po pierwszym pełnym skanowaniu.All activities will be available after the first full scan.

To połączenie może zająć trochę czasu w zależności od wielkości dzierżawy, liczby użytkowników i rozmiaru oraz liczby plików do przeskanowania.This connection may take some time depending on the size of the tenant, the number of users, and the size and number of files that need to be scanned.

W zależności od aplikacji, z którą nawiązujesz połączenie, połączenia interfejsu API umożliwiają następujące elementy:Depending on the app to which you're connecting, API connection enables the following items:

  • Informacje o koncie — wgląd w użytkowników, konta, informacje o profilu, stan (zawieszone, aktywne, wyłączone) i uprawnienia.Account information - Visibility into users, accounts, profile information, status (suspended, active, disabled) groups, and privileges.

  • Inspekcja w dzienniku inspekcji w działaniach użytkownika, działaniach administratorów i działaniach związanych z logowaniem.Audit trail - Visibility into user activities, admin activities, sign-in activities.

  • Skanowanie danych — skanowanie danych niestrukturalnych przy użyciu dwóch procesów — okresowo (co 12 godzin) i skanowania w czasie rzeczywistym (wyzwalane za każdym razem, gdy zostanie wykryta zmiana).Data scan - Scanning of unstructured data using two processes -periodically (every 12 hours) and in real-time scan (triggered each time a change is detected).

  • Uprawnienia aplikacji — wgląd w wystawione tokeny i ich uprawnienia.App permissions - Visibility into issued tokens and their permissions.

  • Zarządzanie kontami — możliwość zawieszania użytkowników, odwoływania haseł itp.Account governance - Ability to suspend users, revoke passwords, etc.

  • Zarządzanie danymi — możliwość kwarantanny plików, w tym plików w koszu, i zastępowania plików.Data Governance - Ability to quarantine files, including files in trash, and overwrite files.

  • Zarządzanie uprawnieniami aplikacji — możliwość usuwania tokenów.App permission governance - Ability to remove tokens.

W poniższej tabeli przedstawiono możliwości obsługiwane przez aplikację łączników dla aplikacji w chmurze:The following table lists, per cloud app, which abilities are supported with App connectors:

AWSAWS AzureAzure BoxBox DropboxDropbox GitHubGitHub GCPGCP Obszar roboczy GoogleGoogle Workspace Office 365Office 365 OktaOkta Service NowService Now SalesForceSalesforce WebExWebex WorkdayWorkday
Wyświetlanie listy kontList accounts Poddawanie połączenia z obszarem roboczym usługi GoogleSubject Google Workspace connection
Listy grupList groups Poddawanie połączenia z obszarem roboczym usługi GoogleSubject Google Workspace connection Nieobsługiwane przez dostawcęNot supported by provider
Wyświetl uprawnieniaList privileges Poddawanie połączenia z obszarem roboczym usługi GoogleSubject Google Workspace connection Nieobsługiwane przez dostawcęNot supported by provider Nieobsługiwane przez dostawcęNot supported by provider
Zarządzanie użytkownikamiUser governance Już wkrótceComing soon Poddawanie połączenia z obszarem roboczym usługi GoogleSubject Google Workspace connection Nieobsługiwane przez dostawcęNot supported by provider
Aktywność logowaniaLog on activity Poddawanie połączenia z obszarem roboczym usługi GoogleSubject Google Workspace connection
Aktywność użytkownikaUser activity Nie dotyczyNot applicable ✔ — wymaga firmy Google Business lub Enterprise✔ - requires Google Business or Enterprise CzęściowePartial Obsługiwane za pomocą usługi Salesforce ShieldSupported with Salesforce Shield
Działania administracyjneAdministrative activity CzęściowePartial Nieobsługiwane przez dostawcęNot supported by provider
DLP — okresowe skanowanieDLP - Periodic scan Nie dotyczyNot applicable Nie dotyczyNot applicable Nieobsługiwane przez dostawcęNot supported by provider
Funkcja DLP — skanowanie niemal w czasie rzeczywistymDLP - Near real-time scan Nie dotyczyNot applicable ✔ — wymaga usługi Google Business Enterprise✔ - requires Google Business Enterprise Nie dotyczyNot applicable Nieobsługiwane przez dostawcęNot supported by provider
Kontrola udostępnianiaSharing control Nie dotyczyNot applicable Nie dotyczyNot applicable Nie dotyczyNot applicable Nieobsługiwane przez dostawcęNot supported by provider
Zarządzanie plikamiFile governance Nie dotyczyNot applicable Nie dotyczyNot applicable Nieobsługiwane przez dostawcęNot supported by provider
Wyświetlanie uprawnień aplikacjiView app permissions Nie dotyczyNot applicable Nieobsługiwane przez dostawcęNot supported by provider Już wkrótceComing soon Nie dotyczyNot applicable Nie dotyczyNot applicable Nie dotyczyNot applicable Nie dotyczyNot applicable
Odwoływanie uprawnień aplikacjiRevoke app permissions Nie dotyczyNot applicable Nieobsługiwane przez dostawcęNot supported by provider Już wkrótceComing soon Nie dotyczyNot applicable Nie dotyczyNot applicable Nie dotyczyNot applicable Nie dotyczyNot applicable
Zastosuj etykiety Azure Information ProtectionApply Azure Information Protection labels Nie dotyczyNot applicable Nie dotyczyNot applicable Nie dotyczyNot applicable Nie dotyczyNot applicable Nie dotyczyNot applicable

Wymagania wstępnePrerequisites

  • W przypadku niektórych aplikacji może być konieczne zezwolenie na listę adresów IP, aby umożliwić Cloud App Security zbieranie dzienników i zapewnianie dostępu do konsoli Cloud App Security.For some apps, it may be necessary to allow list IP addresses to enable Cloud App Security to collect logs and provide access for the Cloud App Security console. Aby uzyskać więcej informacji, zobacz wymagania sieciowe.For more information, see Network requirements.

  • Dla każdej aplikacji, którą chcesz połączyć za pomocą integracji interfejsu API usługi Cloud App Security, zaleca się utworzenie konta usługi administracyjnej dedykowanego dla usługi Cloud App Security.For each app that you want to connect with the Cloud App Security API integration, we recommend creating an admin service account dedicated to Cloud App Security.

Uwaga

Aby uzyskiwać aktualizacje w przypadku zmiany adresów URL i adresów IP, należy subskrybować dane RSS, jak wyjaśniono w artykule: Adresy URL i zakresy adresów IP usługi Office 365.To get updates when URLs and IP addresses are changed, subscribe to the RSS as explained in: Office 365 URLs and IP address ranges.

Aby korzystać z łączników aplikacji, należy upewnić się, że dla każdej konkretnej aplikacji są dostępne następujące elementy:To use App Connectors, you need to make sure you have the following things for each specific app:

AplikacjaApp Typ licencjiLicense type UżytkownikUser
AzureAzure Administrator globalnyGlobal Admin
AWSAWS Nowo utworzony użytkownikNewly created user
BoxBox PrzedsiębiorstwaEnterprise Zdecydowanie zaleca się, aby połączyć się z usługą Box jako administrator. Łączenie się z usługą jako administrator spowoduje jedynie częściowe uwidocznienie danych.It's strongly recommended that you connect to Box as an Admin. Connecting as a Coadmin will result in only partial data visibility. Jeśli łączysz się jako administrator, upewnij się, że wybrano opcję wszystkie uprawnienia.If you connect as a Coadmin, make sure to select all permissions.
DropboxDropbox Business/EnterpriseBusiness/Enterprise AdministratorAdmin
GitHubGitHub GitHub Enterprise CloudGitHub Enterprise Cloud WłaścicielOwner
GCPGCP Zobacz wymagania wstępne programu Connect GCPSee the connect GCP prerequisites
Obszar roboczy GoogleGoogle Workspace Preferowane biznesowe lub korporacyjne usługi Google WorkspaceGoogle Workspace Business or Enterprise preferred

Google Workspace Enterprise (w minimalnym stopniu)Google Workspace Enterprise (minimally)
SuperadministratorSuper Admin
Office 365Office 365 Administrator globalnyGlobal Admin
OktaOkta Enterprise (nie wersja próbna)Enterprise (not trial) AdministratorAdmin
SalesForceSalesforce AdministratorAdmin
ServiceNowServiceNow Eureka i nowszeEureka and up Administrator i rola RestAPIAdmin + RestAPI role
WebExWebex Administrator i Administrator zgodnościAdmin + Compliance Admin
WorkdayWorkday Zobacz wymagania wstępne dotyczące połączenia z produktem WorkdaySee the connect Workday prerequisites

ExpressRouteExpressRoute

Usługa Cloud App Security jest wdrażana na platformie Azure i jest w pełni zintegrowana z usługą ExpressRoute.Cloud App Security is deployed in Azure and fully integrated with ExpressRoute. Wszystkie interakcje z Cloud App Security aplikacje i ruch wysyłany do Cloud App Security, łącznie z przekazywaniem dzienników odnajdywania, są kierowane za pośrednictwem ExpressRoute, aby uzyskać ulepszone opóźnienia, wydajność i bezpieczeństwo.All interactions with the Cloud App Security apps and traffic sent to Cloud App Security, including upload of discovery logs, is routed via ExpressRoute for improved latency, performance, and security. Nie ma żadnych czynności konfiguracyjnych wymaganych po stronie klienta.There are no configuration steps required from the customer side. Aby uzyskać więcej informacji na temat publicznej komunikacji równorzędnej, zobacz Obwody i domeny routingu usługi ExpressRoute.For more information about Public Peering, see ExpressRoute circuits and routing domains.

Wyłącz łączniki aplikacjiDisable app connectors

Uwaga

  • Przed wyłączeniem łącznika aplikacji upewnij się, że dostępne są szczegółowe informacje o połączeniu, które będą potrzebne, jeśli chcesz ponownie włączyć łącznik.Before disabling an app connector, make sure you have the connection details available as you will need them if you want to re-enable the connector.
  • Nie można użyć tych kroków, aby wyłączyć łącznik platformy Azure.These steps cannot be used to disable the Azure connector.
  • Te kroki nie mogą być używane do wyłączania aplikacji Kontrola dostępu warunkowego aplikacji aplikacji i konfiguracji zabezpieczeń.These steps cannot be used to disable Conditional Access App Control apps and Security configuration apps.

Aby wyłączyć połączone aplikacje:To disable connected apps:

  1. Na stronie Połączone aplikacje w odpowiednim wierszu kliknij trzy kropki i wybierz pozycję Wyłącz łącznik aplikacji.In the Connected apps page, in the relevant row, click the three dots and select Disable App connector.
  2. W oknie podręcznym kliknij pozycję Wyłącz wystąpienie łącznika aplikacji , aby potwierdzić akcję.In the pop-up, click Disable App connector instance to confirm the action.

Po wyłączeniu wystąpienie łącznika przestanie zużywać dane z łącznika.Once disabled, the connector instance will stop consuming data from the connector.

Ponowne włączanie łączników aplikacjiRe-enable app connectors

Aby ponownie włączyć połączone aplikacje:To re-enable connected apps:

  1. Na stronie Połączone aplikacje w odpowiednim wierszu kliknij trzy kropki, a następnie wybierz pozycję Edytuj aplikację.In the Connected apps page, in the relevant row, click the three dots and select Edit app. Spowoduje to uruchomienie procesu umożliwiającego dodanie łącznika.This starts the process to add a connector.
  2. Dodaj łącznik, wykonując czynności opisane w przewodniku po łączniku interfejsu API.Add the connector using the steps in the relevant API connector guide. Na przykład w przypadku ponownego włączenia usługi GitHub wykonaj kroki opisane w sekcji łączenie z usługą GitHub Enterprise Cloud do Cloud App Security.For example, if you are re-enabling GitHub, use the steps in Connect GitHub Enterprise Cloud to Cloud App Security.

Następne krokiNext steps

W przypadku wystąpienia jakichkolwiek problemów jesteśmy tutaj, aby pomóc.If you run into any problems, we're here to help. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, Otwórz bilet pomocy technicznej.To get assistance or support for your product issue, please open a support ticket.