Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Ochrona aplikacji przy użyciu kontroli dostępu warunkowego zabezpieczeń firmy Microsoft w chmurze aplikacji w aplikacjiProtect apps with Microsoft Cloud App Security Conditional Access App Control

NASTĘPNIE: Wdrażanie kontroli dostępu warunkowego aplikacji»NEXT: Deploy Conditional Access App Control »

W obszarze roboczym współczesnych, często nie jest wystarczająco, aby dowiedzieć się, co dzieje się w środowisku chmury po fakcie, chcesz mieć możliwość zatrzymania naruszeń i przecieki w czasie rzeczywistym przed pracowników celowo lub przypadkowo zagrożenie danych i organizacji.In today’s workplace, it’s often not enough to know what’s happening in your cloud environment after the fact, you want to be able to stop breaches and leaks in real time, before employees intentionally or inadvertently put your data and your organization at risk. Jest ważne umożliwić użytkownikom w organizacji udostępnić większość usług i narzędzi do nich w aplikacji w chmurze i daj przynoszenie do pracy ich własnych urządzeń.It is important to enable users in your organization to make the most of the services and tools available to them in cloud apps, and let them bring their own devices to work. W tym samym czasie musisz mieć narzędzia w celu ochrony organizacji przed wyciekom danych i kradzieżą danych w czasie rzeczywistym.At the same time, you need tools to help protect your organization from data leaks, and data theft, in real time. Wraz z usługi Azure Active Directory Microsoft Cloud App Security zapewnia te możliwości w całościowe i zintegrowane środowisko z kontroli dostępu warunkowego w aplikacji.Together with Azure Active Directory, Microsoft Cloud App Security delivers these capabilities in a holistic and integrated experience with Conditional Access App Control.

Jak to działaHow it works

Usługi kontroli dostępu warunkowego w aplikacji korzysta z architektury zwrotnego serwera proxy i unikatowo jest zintegrowany z dostępu warunkowego dla usługi Azure AD.Conditional Access App Control utilizes a reverse proxy architecture and is uniquely integrated with Azure AD conditional access. Azure AD dostęp warunkowy umożliwia wymuszanie kontroli dostępu do aplikacji w organizacji na podstawie określonych warunków.Azure AD conditional access allows you to enforce access controls on your organization’s apps based on certain conditions. Zdefiniuj warunki kto (na przykład użytkownika lub grupy użytkowników) i co (który aplikacji w chmurze) i gdzie (które lokalizacje i sieci) jest zasady dostępu warunkowego stosowane do.The conditions define who (for example a user, or group of users) and what (which cloud apps) and where (which locations and networks) a conditional access policy is applied to. Po określeniu warunków, można przekierować użytkowników do firmy Microsoft Cloud App Security gdzie możesz chronić dane z usługi kontroli dostępu warunkowego w aplikacji przez zastosowanie kontroli dostępu i sesji.After you’ve determined the conditions, you can route users to the Microsoft Cloud App Security where you can protect data with Conditional Access App Control by applying access and session controls.

Kontrola dostępu warunkowego w aplikacji umożliwia użytkownika dostępu do aplikacji i sesji, które mają być monitorowane i kontrolowane w czasie rzeczywistym na podstawie zasad dostępu i sesji.Conditional Access App Control enables user app access and sessions to be monitored and controlled in real time based on access and session policies. Zasady dostępu i sesji są wykorzystywane w portalu Cloud App Security można dodatkowo doprecyzować filtry i ustawić akcje do wykonania na koncie użytkownika.Access and session policies are utilized within the Cloud App Security portal to further refine filters and set actions to be taken on a user. Zasady dostępu i sesji można:With the access and session policies, you can:

  • Blok podczas pobierania: możesz zablokować pobierania dokumentów poufnych.Block on download: You can block the download of sensitive documents. Na przykład na urządzeniach niezarządzanych.For example, on unmanaged devices.

  • Ochrona podczas pobierania: zamiast blokowanie pobierania dokumentów poufnych, można wymagać dokumenty, które mają być chronione za pomocą szyfrowania na pobierania.Protect on download: Instead of blocking the download of sensitive documents, you can require documents to be protected via encryption on download. Dzięki temu dokument jest chroniony, czy dostęp użytkownika jest uwierzytelniony, jeśli danych zostanie pobrany na niezaufanym urządzeniu.This ensures that the document is protected, and user access is authenticated, if the data is downloaded to an untrusted device.

  • Monitorowania sesji użytkownika zaufania małej: ryzykowne użytkownicy są monitorowane, gdy zalogują się do aplikacji i ich akcje są rejestrowane w w ramach sesji.Monitor low-trust user sessions: Risky users are monitored when they sign into apps and their actions are logged from within the session. Możesz zbadać i analizy zachowania użytkowników, aby zrozumieć, w którym i pod jakimi warunkami zasad sesji powinny być stosowane w przyszłości.You can investigate and analyze user behavior to understand where, and under what conditions, session policies should be applied in the future.

  • Blokowanie dostępu: całkowicie możesz zablokować dostęp do określonych aplikacji dla użytkowników pochodzących z niezarządzanych urządzeń lub -firmowej sieci.Block access: You can completely block access to specific apps for users coming from unmanaged devices or from non-corporate networks.

  • Tworzenie w trybie tylko do odczytu: monitorowanie i blokuje niestandardowych działań w aplikacji można utworzyć tryb tylko do odczytu do określonych aplikacji dla określonych użytkowników.Create read-only mode: By monitoring and blocking custom in-app activities you can create a read-only mode to specific apps for specific users.

  • Ograniczenie sesji użytkownika z siedzibą —: użytkownicy uzyskujący dostęp do chronionej aplikacji z lokalizacji, która nie jest częścią sieci firmowej, mają dostęp ograniczony i pobierania materiałów poufnych jest zablokowany lub chronione.Restrict user sessions from non-corporate networks: Users accessing a protected app from a location that is not part of your corporate network, are allowed restricted access and the download of sensitive materials is blocked or protected.

Sposób działania kontroli sesjiHow session control works

Tworzenie zasad sesji z usługi kontroli dostępu warunkowego w aplikacji umożliwia sesje użytkowników kontroli przez przekierowanie użytkownika przez zwrotny serwer proxy, a nie bezpośrednio do aplikacji.Creating a session policy with Conditional Access App Control enables you to control user sessions by redirecting the user through a reverse proxy instead of directly to the app. Następnie użytkownik żądań i odpowiedzi przejdź za pomocą Microsoft Cloud App Security, a nie bezpośrednio do aplikacji.From then on, user requests and responses go through Microsoft Cloud App Security rather than directly to the app.

Aby użytkownicy w ramach sesji wszystkie odpowiednie adresy URL, skryptów Java i plików cookie sesji aplikacji są zastępowane Microsoft Cloud App zabezpieczeń w adresach URL.To keep the user within the session, all the relevant URLs, Java scripts, and cookies within the app session are replaced with Microsoft Cloud App Security URLs. Na przykład: Jeśli aplikacja zwraca stronę z łączami, których domeny kończyć myapp.com, link jest zastępowany domen kończąc wyglądać mniej więcej tak: myapp.com.us.cas.msFor example: if the app returns a page with links whose domains end with myapp.com, the link is replaced with domains ending with something like: myapp.com.us.cas.ms

Tej metody nie trzeba już nic instalować na urządzeniu.This method does not require you to install anything on the device. Jest to idealne rozwiązanie w przypadku monitorowania sesji z niezarządzanych urządzeń.This is ideal when monitoring sessions from unmanaged devices.

Po sesji jest kierowana przez Microsoft Cloud App Security można wykonać następujące czynności:After a session is directed through Microsoft Cloud App Security the following actions can be performed:

  1. Sprawdzać ruch działań użytkownikaInspect the traffic for user activities
  2. Wyświetlanie określonych działań w dzienniku aktywność zabezpieczeń aplikacji Microsoft w chmurzeDisplay the identified activities in the Microsoft Cloud App Security Activity log
  3. Zapisywanie dzienników ruchu i analizować jeSave the traffic logs and analyze them
  4. Włącz administratora wyeksportować dzienników ruchuEnable the admin to export the traffic logs
  5. Wymuszanie zasad w tej sesjiEnforce policies on the session

Identyfikacja zarządzanego urządzenia.Managed device identification

Kontrola dostępu warunkowego w aplikacji umożliwia tworzenie zasad, które wziąć pod uwagę, czy urządzenie jest zarządzane lub nie.Conditional Access App Control enables you to create policies that take into account whether a device is managed or not. Określa, czy urządzenie jest zarządzane lub nie, korzysta z funkcji:To identify whether a device is managed or not, the feature leverages:

  • Zgodne urządzeniaCompliant devices
  • Urządzenia przyłączone do domenyDomain-joined devices
  • Wdrażanie certyfikatów klientaClient certificates deployment

Zgodne i domeny przyłączone do urządzeńCompliant and domain joined devices

Dostęp warunkowy usługi Azure AD pozwala informacji urządzenia zgodne i przyłączonych do domeny bezpośrednio do firmy Microsoft Cloud App Security.Azure AD conditional access enables compliant and domain-joined device information to be passed directly to Microsoft Cloud App Security. Z tego miejsca zasady dostępu lub zasady sesji mogą być opracowane używającej stan urządzenia jako filtr.From there, an access policy or a session policy can be developed that uses device state as a filter. Aby uzyskać więcej informacji, zobacz wprowadzenie do zarządzania urządzeniami w usłudze Azure Active Directory.For more information, see the Introduction to device management in Azure Active Directory.

Certyfikat klienta uwierzytelnienia urządzeniaClient-certificate authenticated devices

Mechanizm identyfikacji urządzenia mogą żądać uwierzytelniania z odpowiednich urządzeń przy użyciu certyfikatów klienta.The device identification mechanism can request authentication from relevant devices using client certificates. Dzięki temu można albo skorzystać z istniejących certyfikatów klienta już wdrożona w organizacji lub wdrożyć nowe certyfikaty klienta do zarządzanych urządzeń, a następnie użyj obecności tych certyfikatów można ustawić zasady dostępu i sesji.This enables you to either leverage existing client certificates already deployed in your organization or to roll out new client certificates to managed devices, and then use the presence of those certificates to set access and session policies. Aby uzyskać informacje dotyczące sposobu wdrażania certyfikatów klienta, zobacz wdrażanie kontroli usługi aplikacji dostępu warunkowego dla aplikacji usługi Azure AD.For information on how to deploy client certificates see Deploy Conditional Access App Control for Azure AD apps.

Obsługiwane aplikacje i klientówSupported apps and clients

Kontrola dostępu warunkowego w aplikacji obecnie obsługuje aplikacje, które są skonfigurowane z SAML logowania jednokrotnego w usłudze Azure AD.Conditional Access App Control currently supports apps that are configured with SAML single sign on in Azure AD.

Uwaga

  • Kontrola dostępu warunkowego w aplikacji obsługuje również aplikacje, które są skonfigurowane przy użyciu dostawcy tożsamości innych niż Azure AD.Conditional Access App Control also supports apps that are configured with identity providers other than Azure AD. Aby uzyskać więcej informacji na temat tego scenariusza, Wyślij wiadomość e-mail do mcaspreview@microsoft.com.For more information about this scenario, send an email to mcaspreview@microsoft.com.
  • Aplikacje pakietu Office 365 nie są konfigurowane z SAML, więc nie są obecnie obsługiwane.Office 365 applications are not configured with SAML so they are not currently supported.

Sesja sterowania jest dostępna dla dowolnej przeglądarki na dowolnej platformie głównych (aplikacji mobilnych i aplikacje komputerowe również można zablokowane lub dozwolone).Session control is available for any browser on any major platform (mobile apps and desktop apps can also be blocked or allowed). Dzięki natywnej integracji z usługą Azure AD, wszystkie aplikacje, które są skonfigurowane przy użyciu SAML logowania jednokrotnego w usłudze Azure AD mogą być obsługiwane w tym następujących polecane aplikacje:By natively integrating with Azure AD, any apps that are configured with SAML single sign-on in Azure AD can be supported, including the following featured apps:

  • SalesforceSalesforce

  • BoxBox

  • G SuiteG Suite

  • Dzień roboczyWorkday

  • Zapas czasuSlack

  • Obszar roboczy w serwisie FacebookWorkplace by Facebook

  • ServiceNowServiceNow

  • JIRA/ConfluenceJIRA/Confluence

  • AWSAWS

  • WorkivaWorkiva

  • Podstawy na żądanieCornerStone on Demand

  • DocuSignDocuSign

  • HighQHighQ

  • CząstkoweConcur

  • TABLEAUTableau

Dodatkowe aplikacje są stale na dodawanej do kontroli sesji.Additional apps are being continuously on-boarded to session control. Jeśli interesuje Cię w określonej aplikacji, które nie są opisane w tym miejscu Wyślij do nas szczegółowe informacje o aplikacji przypadek użycia myślisz i firma Microsoft będzie lokalnego go.If you are interested in a specific app that is not mentioned here, send us details about the app and the use case you are interested in, and we will on-board it.

NASTĘPNIE: Wdrażanie kontroli dostępu warunkowego aplikacji»NEXT: Deploy Conditional Access App Control »

Zobacz teżSee Also

Wdrażanie kontroli dostępu warunkowego do aplikacji w aplikacjach usługi Azure ADDeploy Conditional Access App Control for Azure AD apps

Klienci wersji Premium mogą również wybrać usługę Cloud App Security bezpośrednio z Portalu Premium.Premier customers can also choose Cloud App Security directly from the Premier Portal.