Połączenie aplikacjiConnect apps

Łączniki aplikacji korzystają z interfejsów API dostawców aplikacji w celu zapewnienia usłudze Cloud App Security lepszego wglądu w aplikacje, z którymi są nawiązywane połączenia, oraz kontroli nad tymi aplikacjami.App connectors leverage the APIs of app providers to enable greater visibility and control by Cloud App Security over the apps you connect to.

Usługa Cloud App Security używa interfejsów API dostarczonych przez dostawcę chmury. Każda usługa ma własne ograniczenia dotyczące struktury i interfejsu API.Cloud App Security leverages the APIs provided by the cloud provider, each service has its own framework and API limitations. Usługa Cloud App Security współdziała z usługami w celu zoptymalizowania użycia interfejsów API i zapewnienia najlepszej wydajności.Cloud App Security worked with the services to optimize the usage of the APIs and to ensure the best performance. Biorąc pod uwagę różne ograniczenia narzucane przez usługi na interfejsy API (takie jak ograniczanie przepustowości, limity interfejsu API, dynamiczne okna zmiany czasu interfejsu API itp.), aparaty usługi Cloud App Security używają dozwolonej pojemności.Taking into account the different limitations the services impose on the APIs (such as throttling, API limits, dynamic time-shifting API windows, etc.), the Cloud App Security engines leverage the allowed capacity. Niektóre operacje, takie jak skanowanie wszystkich plików w dzierżawie, wymagają wielu wywołań interfejsów API i w związku z tym są rozkładane na dłuższy czas.Some operations, such as scanning of all files in the tenant, require a large amount of APIs and therefore are spread over a longer period. Niektóre zasady mogą działać przez kilka godzin lub kilka dni.Expect some policies to run for several hours or several days.

Jak to działaHow it works

Usługa Cloud App Security jest wdrażana z uprawnieniami administratora systemu w celu zezwolenia na pełny dostęp do wszystkich obiektów w danym środowisku.Cloud App Security is deployed with system admin privileges to allow full access to all objects in your environment.

Przepływ łącznika aplikacji jest następujący:The App Connector flow is as follows:

  1. Usługa Cloud App Security skanuje i zapisuje uprawnienia do uwierzytelniania.Cloud App Security scans and saves Authentication permissions.
  2. Usługa Cloud App Security żąda listy użytkowników.Cloud App Security requests the user list. Gdy jest to przeprowadzane po raz pierwszy, ukończenie skanowania może zająć nieco czasu.The first time this is performed, it may take some time until the scan completes. Po zakończeniu skanowania użytkowników usługa Cloud App Security przechodzi do działań i plików.After the user scan is over, Cloud App Security moves on to activities and files. Gdy tylko skanowanie zostanie rozpoczęte, niektóre działania będą dostępne w usłudze Cloud App Security.As soon as the scan starts, some activities will be available in Cloud App Security.
  3. Po ukończeniu realizacji żądania użytkownika usługa Cloud App Security okresowo skanuje użytkowników, grupy, działania i pliki.After completion of the user request, Cloud App Security periodically scans users, groups, activities and files. Wszystkie działania będą dostępne po pierwszym pełnym skanowaniu.All activities will be available after the first full scan.

Może to potrwać pewien czas, w zależności od wielkości dzierżawy, liczby użytkowników i rozmiaru oraz liczby plików do przeskanowania.This may take some time, depending on the size of the tenant, the number of users and the size and number of files that need to be scanned.

W zależności od aplikacji, z którą jest nawiązywane połączenie (zobacz poniższą tabelę), połączenie z interfejsem API umożliwia korzystanie z następujących funkcji:Depending on the app you are connecting to (see table, below) API connection enables the following:

  • Informacje o koncie:Account information:

    Wgląd w użytkowników, konta, informacje o profilu, stan grup (wstrzymana, aktywna, wyłączona) oraz uprawnienia.Visibility into users, accounts, profile information, status (suspended, active, disabled) groups, and privileges.

  • Dziennik inspekcji:Audit trail:

    Wgląd w działania użytkowników, działania administratora, działania logowania.Visibility into user activities, admin activities, log on activity.

  • Skanowanie danych:Data scan:

    Skanowanie danych niestrukturalnych przy użyciu dwóch procesów — skanowania okresowego (co 12 godzin) i skanowania w czasie rzeczywistym (wyzwalanego każdorazowo po wykryciu zmiany).Scanning of unstructured data using two processes -periodically (every 12 hours) and in real-time scan (triggered each time a change is detected).

  • Uprawnienia aplikacji:App permissions:

    Wgląd w wystawione tokeny i ich uprawnienia.Visibility into issued tokens and their permissions.

  • Zarządzanie kontami:Account governance:

    Możliwość wstrzymywania użytkowników, odwoływania haseł itd.Ability to suspend users, revoke passwords, etc.

  • Zarządzanie danymi:Data Governance:

    Możliwość kwarantanny plików, w tym plików w Koszu, i zastępowania plików.Ability to quarantine files, including files in trash, and overwrite files.

  • Zarządzanie uprawnieniami aplikacji:App permission governance:

    Możliwość usuwania tokenów.Ability to remove tokens.

W poniższej tabeli przedstawiono możliwości obsługiwane przez aplikację łączników dla aplikacji w chmurze:The following table lists, per cloud app, which abilities are supported with App connectors:

Office 365Office 365 BoxBox OktaOkta G SuiteG Suite Service NowService Now SalesforceSalesforce DropboxDropbox AWSAWS
Wyświetlanie listy kontList accounts
GrupaGroup
UprawnieniaPrivileges Nieobsługiwane przez dostawcęNot supported by provider
Zarządzanie użytkownikamiUser governance WkrótceComing soon WkrótceComing soon WkrótceComing soon
Aktywność logowaniaLog on activity
Aktywność użytkownikówUser activity ✔*✔* ✔ — wymaga konta Google Unlimited✔ - requires Google Unlimited CzęściowePartial Obsługiwane za pomocą usługi Salesforce ShieldSupported with Salesforce Shield Nie dotyczyNot applicable
Działania administracyjneAdministrative activity CzęściowePartial
Okresowe skanowanie plikówPeriodic file scan Nie dotyczyNot applicable Nie dotyczyNot applicable
Skanowanie plików niemal w czasie rzeczywistymNear-realtime file scan Nie dotyczyNot applicable ✔ — wymaga konta Google Unlimited✔ - requires Google Unlimited WkrótceComing soon
Kontrola udostępnianiaSharing control Nie dotyczyNot applicable Nie dotyczyNot applicable
KwarantannaQuarantine Nie dotyczyNot applicable WkrótceComing soon WkrótceComing soon
Wyświetlanie uprawnień aplikacjiView app permissions Nieobsługiwane przez dostawcęNot supported by provider Nie dotyczyNot applicable Nieobsługiwane przez dostawcęNot supported by provider
Odwoływanie uprawnień aplikacjiRevoke app permissions Nie dotyczyNot applicable Nie dotyczyNot applicable
Zastosuj etykiety usługi Azure Information ProtectionApply Azure Information Protection labels

Wymagania wstępnePrerequisites

  • W przypadku niektórych aplikacji może być konieczne białą listę adresów IP, aby umożliwić Cloud App Security zbieranie dzienników i zapewnić dostęp do konsoli Cloud App Security.For some apps, it may be necessary to white list IP addresses to enable Cloud App Security to collect logs and provide access for the Cloud App Security console. Aby uzyskać więcej informacji, zobacz wymagania dotyczące sieciowej.For more information see Network requirements.

  • Dla każdej aplikacji, którą chcesz połączyć za pomocą integracji interfejsu API usługi Cloud App Security, zaleca się utworzenie konta usługi administracyjnej dedykowanego dla usługi Cloud App Security.For each app that you want to connect with the Cloud App Security API integration, we recommend creating an admin service account dedicated to Cloud App Security.

Uwaga

Aby uzyskiwać aktualizacje w przypadku zmiany adresów URL i adresów IP, należy subskrybować dane RSS, jak wyjaśniono w artykule: Adresy URL i zakresy adresów IP usługi Office 365.To get updates when URLs and IP addresses are changed, subscribe to the RSS as explained in: Office 365 URLs and IP address ranges.

Aby korzystać z łączników aplikacji, upewnij się, że masz następujące elementy dla każdej określonej aplikacji:To use App Connectors, you need to make sure you have the following for each specific app:

AplikacjaApp Typ licencjiLicense type UżytkownikUser
BoxBox EnterpriseEnterprise Stanowczo zaleca się nawiązywanie połączenia z usługą Box jako administrator. Łączenie się jako współadministrator pozwoli korzystać tylko z częściowego wglądu w dane.It is strongly recommended that you connect to Box as an Admin. Connecting as a Co-admin will result in only partial data visibility. Jeśli łączysz się jako współadministrator, upewnij się, że wybrano wszystkie uprawnienia.If you connect as a Co-admin, make sure to select all permissions.
G SuiteG Suite Preferowane G Suite UnlimitedG Suite Unlimited preferred

G Suite Enterprise (co najmniej)G Suite Enterprise (minimally)
SuperadministratorSuper Admin
Office 365Office 365 Administrator globalnyGlobal Admin
AWSAWS Nowo utworzony użytkownikNewly created user
DropboxDropbox Business/EnterpriseBusiness/Enterprise AdministracjaAdmin
OktaOkta Enterprise (nie wersja próbna)Enterprise (not trial) AdministracjaAdmin
ExchangeExchange Administrator globalnyGlobal Admin
ServiceNowServiceNow Eureka i nowszeEureka and up Administrator + rola RestAPIAdmin +RestAPI role
SalesforceSalesforce AdministracjaAdmin

ExpressRouteExpressRoute

Usługa Cloud App Security jest wdrażana na platformie Azure i jest w pełni zintegrowana z usługą ExpressRoute.Cloud App Security is deployed in Azure and fully integrated with ExpressRoute. Wszystkie interakcje z aplikacjami usługi Cloud App Security i ruch przesyłany do usługi Cloud App Security, w tym przekazywane dzienniki odnajdywania, są kierowane za pomocą publicznej komunikacji równorzędnej usługi ExpressRoute w celu zapewnienia mniejszych opóźnień oraz lepszej wydajności i zabezpieczeń.All interactions with the Cloud App Security apps and traffic sent to Cloud App Security, including upload of discovery logs, is routed via ExpressRoute public peering for improved latency, performance and security. Nie ma żadnych czynności konfiguracyjnych wymaganych po stronie klienta.There are no configuration steps required from the customer side.
Aby uzyskać więcej informacji na temat publicznej komunikacji równorzędnej, zobacz Obwody i domeny routingu usługi ExpressRoute.For more information about Public Peering, see ExpressRoute circuits and routing domains.

Zobacz teżSee Also

Codzienne działania dla ochrony środowiska chmuryDaily activities to protect your cloud environment

Klienci wersji Premium mogą również wybrać usługę Cloud App Security bezpośrednio z Portalu Premium.Premier customers can also choose Cloud App Security directly from the Premier Portal.

Sprawdź ten film!Check out this video!

Microsoft Cloud App Security — interfejsu API REST i tokenyMicrosoft Cloud App Security – REST API’s and Tokens