Ochrona aplikacji przy użyciu serwera proxy Microsoft Cloud App SecurityProtect apps with Microsoft Cloud App Security proxy

Uwaga

To jest funkcja w wersji zapoznawczej.This is a preview feature.

W obszarze roboczym współczesnych, często nie jest wystarczająco, aby dowiedzieć się, co dzieje się w środowisku chmury po fakcie, chcesz mieć możliwość zatrzymania naruszeń i przecieki w czasie rzeczywistym przed pracowników celowo lub przypadkowo zagrożenie danych i organizacji.In today’s workplace, it’s often not enough to know what’s happening in your cloud environment after the fact, you want to be able to stop breaches and leaks in real time, before employees intentionally or inadvertently put your data and your organization at risk. Jest ważne umożliwić użytkownikom w organizacji udostępnić większość usług i narzędzi do nich w aplikacji w chmurze i daj przynoszenie do pracy ich własnych urządzeń.It is important to enable users in your organization to make the most of the services and tools available to them in cloud apps, and let them bring their own devices to work. W tym samym czasie musisz mieć narzędzia w celu ochrony organizacji przed wyciekom danych i kradzieżą danych w czasie rzeczywistym.At the same time, you need tools to help protect your organization from data leaks, and data theft, in real time. Wraz z usługi Azure Active Directory serwer proxy Cloud App Security zapewnia te możliwości w całościowe i zintegrowane środowisko.Together with Azure Active Directory, the Cloud App Security proxy delivers these capabilities in a holistic and integrated experience.

Jak to działaHow it works

Serwer proxy Cloud App Security jest zintegrowany z dostępu warunkowego dla usługi Azure AD.The Cloud App Security proxy is integrated with Azure AD conditional access. Azure AD dostęp warunkowy umożliwia wymuszanie kontroli dostępu do aplikacji w organizacji na podstawie określonych warunków.Azure AD conditional access allows you to enforce access controls on your organization’s apps based on certain conditions. Zdefiniuj warunki kto (na przykład użytkownika lub grupy użytkowników) i co (który aplikacji w chmurze) i gdzie (które lokalizacje i sieci) jest zasady dostępu warunkowego stosowane do.The conditions define who (for example a user, or group of users) and what (which cloud apps) and where (which locations and networks) a conditional access policy is applied to. Po określeniu warunków może kierować użytkowników z serwerem proxy Cloud App Security której można zastosować kontroli dostępu i sesji.After you’ve determined the conditions, you can route users to the Cloud App Security proxy where you can apply access and session controls.

Po użytkownik jest kierowany do serwera proxy Cloud App Security, ich dostęp do aplikacji i sesji można monitorować i kontrolowane w czasie rzeczywistym na podstawie zasad dostępu i sesji.After a user is routed to the Cloud App Security proxy, their app access and sessions can be monitored and controlled in real time based on access and session policies. Zasady dostępu i sesji są wykorzystywane w portalu Cloud App Security można dodatkowo doprecyzować filtry i ustawić akcje do wykonania na koncie użytkownika.Access and session policies are utilized within the Cloud App Security portal to further refine filters and set actions to be taken on a user. Zasady dostępu i sesji można:With the access and session policies, you can:

  • Blok podczas pobierania: możesz zablokować pobierania dokumentów poufnych.Block on download: You can block the download of sensitive documents. Na przykład na urządzeniach niezarządzanych.For example, on unmanaged devices.

  • Ochrona podczas pobierania: zamiast blokowanie pobierania dokumentów poufnych, można wymagać dokumenty, które mają być chronione za pomocą szyfrowania na pobierania.Protect on download: Instead of blocking the download of sensitive documents, you can require documents to be protected via encryption on download. Dzięki temu dokument jest chroniony, czy dostęp użytkownika jest uwierzytelniony, jeśli danych zostanie pobrany na niezaufanym urządzeniu.This ensures that the document is protected, and user access is authenticated, if the data is downloaded to an untrusted device.

  • Ograniczenie sesji użytkownika z siedzibą —: użytkownicy uzyskujący dostęp do chronionej aplikacji z lokalizacji, która nie jest częścią sieci firmowej, mają dostęp ograniczony i pobierania materiałów poufnych jest zablokowany lub chronione.Restrict user sessions from non-corporate networks: Users accessing a protected app from a location that is not part of your corporate network, are allowed restricted access and the download of sensitive materials is blocked or protected.

  • Monitorowania sesji użytkownika zaufania małej: ryzykowne użytkownicy są monitorowane, gdy zalogują się do aplikacji i ich akcje są rejestrowane w w ramach sesji.Monitor low-trust user sessions: Risky users are monitored when they sign into apps and their actions are logged from within the session. Możesz zbadać i analizy zachowania użytkowników, aby zrozumieć, w którym i pod jakimi warunkami zasad sesji powinny być stosowane w przyszłości.You can investigate and analyze user behavior to understand where, and under what conditions, session policies should be applied in the future.

  • Blokowanie dostępu: całkowicie możesz zablokować dostęp do określonych aplikacji dla użytkowników pochodzących z niezarządzanych urządzeń lub -firmowej sieci.Block access: You can completely block access to specific apps for users coming from unmanaged devices or from non-corporate networks.

Sposób działania kontroli sesjiHow session control works

Serwer proxy kontroli sesji jest oparty na dostępu warunkowego.The proxy’s session control is built on top of conditional access. Po umożliwia kontrolę dostępu do aplikacji, można przekierowywać sesji użytkownika do kontroli sesji serwera proxy zamiast bezpośrednio do aplikacji.After you control access to an app, you can redirect the user sessions to the proxy’s session control instead of directly to the app. Następnie użytkownik żądań i odpowiedzi przejdź przez serwer proxy, a nie bezpośrednio do aplikacji.From then on, user requests and responses go through the proxy rather than directly to the app.

Aby użytkownicy w sesji serwera proxy zastępuje wszystkie odpowiednie adresy URL, skryptów Java i pliki cookie sesji aplikacji z adresami URL serwera proxy.To keep the user within the session, the proxy replaces all the relevant URLs, Java scripts, and cookies within the app session with proxy URLs. Na przykład: Jeśli aplikacja zwraca stronę z łączami, których domeny kończyć myapp.com, serwer proxy zastępuje łącza domen kończąc wyglądać mniej więcej tak: myapp.com.us.cas.msFor example: if the app returns a page with links whose domains end with myapp.com, the proxy replaces the links with domains ending with something like: myapp.com.us.cas.ms

Tej metody nie trzeba już nic instalować na urządzeniu.This method does not require you to install anything on the device. Jest to idealne rozwiązanie w przypadku monitorowania sesji z niezarządzanych urządzeń.This is ideal when monitoring sessions from unmanaged devices.

Po sesji jest kierowany przez serwer proxy, serwer proxy można wykonywać następujące czynności:After a session is directed through the proxy, the proxy can perform the following:

  1. Sprawdzać ruch działań użytkownikaInspect the traffic for user activities
  2. Wyświetlanie określonych działań w portalu serwera proxy aplikacji w chmurzeDisplay the identified activities in the Cloud App proxy portal
  3. Zapisywanie dzienników ruchu i analizować jeSave the traffic logs and analyze them
  4. Włącz administratora wyeksportować dzienników ruchuEnable the admin to export the traffic logs
  5. Wymuszanie zasad w tej sesjiEnforce policies on the session

Identyfikacja zarządzanego urządzenia.Managed device identification

Serwer proxy umożliwia tworzenie zasad, które wziąć pod uwagę, czy urządzenie jest zarządzane lub nie.The proxy enables you to create policies that take into account whether a device is managed or not. Określa, czy urządzenie jest zarządzane lub nie, wykorzystanie serwera proxy:To identify whether a device is managed or not, the proxy leverages:

  • Zgodne urządzeniaCompliant devices
  • Urządzenia przyłączone do domenyDomain-joined devices
  • Wdrażanie certyfikatów klientaClient certificates deployment

Zgodne i domeny przyłączone do urządzeńCompliant and domain joined devices

Azure AD dostęp warunkowy umożliwia informacji urządzenia zgodne i przyłączonych do domeny, należy przesłać bezpośrednio do serwera proxy Cloud App Security.Azure AD conditional access enables compliant and domain-joined device information to be passed directly to the Cloud App Security proxy. Z tego miejsca zasady dostępu lub zasady sesji mogą być opracowane używającej stan urządzenia jako filtr.From there, an access policy or a session policy can be developed that uses device state as a filter. Aby uzyskać więcej informacji, zobacz wprowadzenie do zarządzania urządzeniami w usłudze Azure Active Directory.For more information, see the Introduction to device management in Azure Active Directory.

Certyfikat klienta uwierzytelnienia urządzeniaClient-certificate authenticated devices

Mechanizm identyfikacji urządzenia proxy mogą żądać uwierzytelniania z odpowiednich urządzeń przy użyciu certyfikatów klienta.The proxy device identification mechanism can request authentication from relevant devices using client certificates. Dzięki temu można albo skorzystać z istniejących certyfikatów klienta już wdrożona w organizacji lub wdrożyć nowe certyfikaty klienta do zarządzanych urządzeń, a następnie użyj obecności tych certyfikatów można ustawić zasady dostępu i sesji.This enables you to either leverage existing client certificates already deployed in your organization or to roll out new client certificates to managed devices, and then use the presence of those certificates to set access and session policies. Aby uzyskać informacje dotyczące sposobu wdrażania certyfikatów klienta, zobacz wdrożenie serwera proxy dla aplikacji usługi Azure AD.For information on how to deploy client certificates see Deploy proxy for Azure AD apps.

Obsługiwane aplikacje i klientówSupported apps and clients

Serwer proxy obecnie obsługuje aplikacje, które są skonfigurowane z SAML logowania jednokrotnego w usłudze Azure AD.The proxy currently supports apps that are configured with SAML single sign on in Azure AD.

Uwaga

  • Serwer proxy obsługuje również aplikacje, które są skonfigurowane przy użyciu dostawcy tożsamości innych niż Azure AD w prywatnej wersji zapoznawczej.The proxy also supports apps that are configured with identity providers other than Azure AD in Private Preview. Aby uzyskać więcej informacji na temat w prywatnej wersji zapoznawczej, Wyślij wiadomość e-mail do mcaspreview@microsoft.com.For more information about the Private Preview, send an email to mcaspreview@microsoft.com.
  • Aplikacje pakietu Office 365 nie są konfigurowane z SAML, więc nie są obecnie obsługiwane.Office 365 applications are not configured with SAML so they are not currently supported.

Sesja sterowania jest dostępna dla dowolnej przeglądarki na dowolnej platformie głównych (aplikacji mobilnych i klasycznych aplikacji są obecnie nieobsługiwane).Session control is available for any browser on any major platform (mobile apps and desktop apps are currently not supported). Dzięki natywnej integracji z usługą Azure AD, wszystkie aplikacje, które są skonfigurowane przy użyciu SAML logowania jednokrotnego w usłudze Azure AD mogą być obsługiwane w tym następujących polecane aplikacje:By natively integrating with Azure AD, any apps that are configured with SAML single sign-on in Azure AD can be supported, including the following featured apps:

  • SalesforceSalesforce

  • BoxBox

  • G SuiteG Suite

  • Dzień roboczyWorkday

  • Zapas czasuSlack

  • Obszar roboczy w serwisie FacebookWorkplace by Facebook

  • ServiceNowServiceNow

  • JIRA/ConfluenceJIRA/Confluence

  • AWSAWS

  • WorkivaWorkiva

  • Podstawy na żądanieCornerStone on Demand

  • DocuSignDocuSign

  • HighQHighQ

Dodatkowe aplikacje są stale na dodawanej do kontroli sesji.Additional apps are being continuously on-boarded to session control. Jeśli interesuje Cię w określonej aplikacji, które nie są opisane w tym miejscu Wyślij do nas szczegółowe informacje o aplikacji przypadek użycia myślisz i firma Microsoft będzie lokalnego go.If you are interested in a specific app that is not mentioned here, send us details about the app and the use case you are interested in, and we will on-board it.

Zobacz teżSee Also

Wdrożenie serwera proxy Cloud App SecurityDeploy the Cloud App Security proxy

Klienci wersji Premium mogą również wybrać usługę Cloud App Security bezpośrednio z Portalu Premium.Premier customers can also choose Cloud App Security directly from the Premier Portal.