Ochrona aplikacji za pomocą kontroli dostępu warunkowego zabezpieczeń firmy Microsoft w chmurze aplikacji w aplikacjiProtect apps with Microsoft Cloud App Security Conditional Access App Control

Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

DALEJ: Wdrażanie kontroli dostępu warunkowego aplikacji»NEXT: Deploy Conditional Access App Control »

W obszarze roboczym dzisiejsza, często nie jest wystarczająco, aby wiedzieć, co się dzieje w Twoim środowisku chmury w późniejszym czasie.In today’s workplace, it’s often not enough to know what’s happening in your cloud environment after the fact. Należy zatrzymać naruszeń i przecieki w czasie rzeczywistym przed pracowników celowo lub przypadkowo zagrożenie danych i Twojej organizacji.You want to stop breaches and leaks in real time, before employees intentionally or inadvertently put your data and your organization at risk. Jest ważne umożliwić użytkownikom w organizacji wykorzystać potencjał usługi i narzędzia dostępne dla nich w aplikacjach w chmurze w celu umożliwienia im przynoszenie do pracy ich własnych urządzeń.It's important to enable users in your organization to make the most of the services and tools available to them in cloud apps, and let them bring their own devices to work. W tym samym czasie należy narzędzi pomagających chronić organizację przed wyciekami danych i kradzieży danych, w czasie rzeczywistym.At the same time, you need tools to help protect your organization from data leaks, and data theft, in real time. Wraz z usługi Azure Active Directory Microsoft Cloud App Security zapewnia te możliwości w ramach kompleksowego i zintegrowanego środowiska za pomocą kontroli dostępu warunkowego aplikacji.Together with Azure Active Directory, Microsoft Cloud App Security delivers these capabilities in a holistic and integrated experience with Conditional Access App Control.

Uwaga

Aby użyć Cloud App Security kontroli dostępu warunkowego aplikacji, musisz mieć licencji usługi Azure Active Directory P1 i aktywną subskrypcję programu Microsoft Cloud App Security.To use Cloud App Security Conditional Access App Control, you need an Azure Active Directory P1 license and an active Microsoft Cloud App Security subscription.

Jak to działaHow it works

Kontroli dostępu warunkowego aplikacji korzysta z architektury zwrotny serwer proxy i jest unikatowo zintegrowane z dostępu warunkowego usługi Azure AD.Conditional Access App Control uses a reverse proxy architecture and is uniquely integrated with Azure AD conditional access. Dostęp warunkowy usługi Azure AD umożliwia wymuszanie mechanizmów kontroli dostępu do aplikacji w organizacji na podstawie określonych warunków.Azure AD conditional access allows you to enforce access controls on your organization’s apps based on certain conditions. Zdefiniuj warunki kto (użytkownika lub grupy użytkowników) i co (które aplikacje w chmurze) i gdzie (które lokalizacje i sieci) zasady dostępu warunkowego są stosowane do.The conditions define who (user or group of users) and what (which cloud apps) and where (which locations and networks) a conditional access policy is applied to. Po określeniu warunków można przekierowywać użytkowników do Microsoft Cloud App Security, gdzie może chronić dane za pomocą kontroli dostępu warunkowego aplikacji przez zastosowanie kontroli dostępu i sesji.After you’ve determined the conditions, you can route users to Microsoft Cloud App Security where you can protect data with Conditional Access App Control by applying access and session controls.

Kontroli dostępu warunkowego aplikacji umożliwia dostęp do aplikacji użytkownika i sesji, aby dało się monitorować i kontrolowane w czasie rzeczywistym na podstawie zasad dostępu i sesji.Conditional Access App Control enables user app access and sessions to be monitored and controlled in real time based on access and session policies. Zasady dostępu i sesji są używane w portalu usługi Cloud App Security do filtrów i połącz dane z zestawu akcje do wykonania na koncie użytkownika.Access and session policies are used within the Cloud App Security portal to further refine filters and set actions to be taken on a user. Za pomocą zasad dostępu i sesji możesz wykonywać następujące czynności:With the access and session policies, you can:

  • Blok podczas pobierania: Możesz zablokować możliwość pobierania poufnych dokumentów.Block on download: You can block the download of sensitive documents. Na przykład na urządzeniach niezarządzanych.For example, on unmanaged devices.

  • Ochrona podczas pobierania: Zamiast blokowanie pobierania poufnych dokumentów, może wymagać dokumentów, które mają być chronione za pomocą szyfrowania podczas pobierania.Protect on download: Instead of blocking the download of sensitive documents, you can require documents to be protected via encryption on download. To szyfrowanie zapewnia, że dokument jest chroniony i dostępu użytkowników jest uwierzytelniany, jeśli dane są pobierane do niezaufanego urządzenia.This encryption makes sure the document is protected and user access is authenticated if the data is downloaded to an untrusted device.

  • Monitorowanie sesji użytkownika niski zaufania: Po zalogowaniu się do aplikacji i ich akcje są rejestrowane z w ramach sesji, monitorowane są ryzykownych użytkowników.Monitor low-trust user sessions: Risky users are monitored when they sign into apps and their actions are logged from within the session. Można badać i analizować zachowanie użytkownika, aby zrozumieć, w którym i pod jakimi warunkami sesji zasady powinny być stosowane w przyszłości.You can investigate and analyze user behavior to understand where, and under what conditions, session policies should be applied in the future.

  • Zablokuj dostęp: Możesz całkowicie zablokować dostęp do określonych aplikacji dla użytkowników pochodzących z urządzeń niezarządzanych, lub od sieci innych niż firmowe.Block access: You can completely block access to specific apps for users coming from unmanaged devices or from non-corporate networks.

  • Tworzenie trybu tylko do odczytu: Monitorowanie i blokowanie niestandardowych działań w aplikacji, można utworzyć tryb tylko do odczytu do określonych aplikacji pod kątem określonych użytkowników.Create read-only mode: By monitoring and blocking custom in-app activities, you can create a read-only mode to specific apps for specific users.

  • Ograniczenie sesji użytkownika od sieci innych niż firmowe: Użytkownicy uzyskujący dostęp do chronionej aplikacji z lokalizacji, która nie jest częścią sieci firmowej będą miały ograniczony dostęp.Restrict user sessions from non-corporate networks: Users accessing a protected app from a location that isn't part of your corporate network are allowed restricted access. Pobieranie poufnych materiałów jest zablokowany lub chronione.The download of sensitive materials is blocked or protected.

Jak działa Kontrola sesjiHow session control works

Tworzenie zasady sesji za pomocą kontroli dostępu warunkowego aplikacji umożliwia kontroli sesji użytkownika przez przekierowanie użytkownika przez zwrotny serwer proxy, a nie bezpośrednio do aplikacji.Creating a session policy with Conditional Access App Control enables you to control user sessions by redirecting the user through a reverse proxy instead of directly to the app. Od tego momentu żądań użytkowników i odpowiedzi go za pomocą Microsoft Cloud App Security, a nie bezpośrednio do aplikacji.From then on, user requests and responses go through Microsoft Cloud App Security rather than directly to the app.

Aby użytkownicy w ramach tej sesji wszystkie odpowiednie adresy URL, Java, skrypty i pliki cookie sesji aplikacji są zastępowane Microsoft adresy URL zabezpieczeń aplikacji dla chmury.To keep the user within the session, all the relevant URLs, Java scripts, and cookies within the app session are replaced with Microsoft Cloud App Security URLs. Na przykład, jeśli aplikacja zwróci strony wraz z łączami, w których domeny kończyć się znakiem myapp.com, łącze jest zastępowany domen kończące się wierszem podobnym: myapp.com.us.cas.msFor example, if the app returns a page with links whose domains end with myapp.com, the link is replaced with domains ending with something like: myapp.com.us.cas.ms

Ta metoda nie wymaga instalowania żadnych narzędzi na urządzeniu.This method doesn't require you to install anything on the device. Ta metoda jest idealnym rozwiązaniem w przypadku monitorowania sesji z niezarządzanych urządzeń.This method is ideal when monitoring sessions from unmanaged devices.

Po sesji są kierowane za pośrednictwem Microsoft Cloud App Security, możesz zrobić następujące akcje:After a session is directed through Microsoft Cloud App Security, the following actions can be done:

  1. Sprawdzanie ruchu dla działań użytkownikaInspect the traffic for user activities
  2. Wyświetlanie działań zidentyfikowanych w Dzienniku działań zabezpieczeń aplikacji w chmurze firmy MicrosoftDisplay the identified activities in the Microsoft Cloud App Security Activity log
  3. Zapisywanie dzienników ruchu i analizowanie ichSave the traffic logs and analyze them
  4. Włącz administratora wyeksportować dzienniki ruchuEnable the admin to export the traffic logs
  5. Wymuszanie zasad sesjiEnforce policies on the session

Identyfikacji urządzeń zarządzanychManaged device identification

Kontroli dostępu warunkowego aplikacji umożliwia tworzenie zasad, które wziąć pod uwagę, czy urządzenie jest zarządzane, czy nie.Conditional Access App Control enables you to create policies that take into account whether a device is managed or not. Aby ustalić, czy urządzenie jest zarządzane, czy nie, korzysta z funkcji:To identify whether a device is managed or not, the feature uses:

  • Zgodne urządzeniaCompliant devices
  • Urządzenia przyłączone do domenyDomain-joined devices
  • Wdrażanie certyfikatów klientaClient certificates deployment

Urządzenia przyłączone do zgodne i domenyCompliant and domain joined devices

Dostęp warunkowy usługi Azure AD umożliwia informacje o urządzeniu zgodne i przyłączone do domeny, które zostaną przekazane bezpośrednio do firmy Microsoft Cloud App Security.Azure AD conditional access enables compliant and domain-joined device information to be passed directly to Microsoft Cloud App Security. W efekcie zasad dostępu lub zasady sesji mogą być tworzone używającej stan urządzenia jako filtr.From there, an access policy or a session policy can be developed that uses device state as a filter. Aby uzyskać więcej informacji, zobacz wprowadzenie do zarządzania urządzeniami w usłudze Azure Active Directory.For more information, see the Introduction to device management in Azure Active Directory.

Certyfikat klienta uwierzytelniony urządzeńClient-certificate authenticated devices

Mechanizm identyfikacji urządzenia mogą żądać uwierzytelniania z odpowiednich urządzeń przy użyciu certyfikatów klienta.The device identification mechanism can request authentication from relevant devices using client certificates. Możesz użyć istniejących certyfikatów klienta już wdrożony w organizacji lub roll out nowe certyfikaty klienta na zarządzanych urządzeniach.You can either use existing client certificates already deployed in your organization or roll out new client certificates to managed devices. Następnie należy użyć te certyfikaty, aby ustawić zasady dostępu i sesji.You then use the presence of those certificates to set access and session policies. Aby uzyskać informacje dotyczące sposobu wdrażania certyfikatów klienta zobacz wdrażanie kontroli dostępu warunkowego aplikacji dla aplikacji usługi Azure AD.For information on how to deploy client certificates see Deploy Conditional Access App Control for Azure AD apps.

Obsługiwane aplikacje i klientówSupported apps and clients

Kontroli dostępu warunkowego aplikacji obsługuje obecnie SAML i Open ID Connect aplikacje skonfigurowane za pomocą logowania jednokrotnego, wraz z aplikacji sieci web hostowanych skonfigurowano lokalną serwera Proxy aplikacji usługi Azure AD.Conditional Access App Control currently supports SAML and Open ID Connect apps configured with single sign-on, along with web apps hosted on-prem configured with the Azure AD App Proxy.

Uwaga

Kontroli dostępu warunkowego aplikacji obsługuje również aplikacje, które są skonfigurowane za pomocą dostawców tożsamości innych niż Usługa Azure AD.Conditional Access App Control also supports apps that are configured with identity providers other than Azure AD. Aby uzyskać więcej informacji na temat tego scenariusza, Wyślij wiadomość e-mail do mcaspreview@microsoft.com.For more information about this scenario, send an email to mcaspreview@microsoft.com.

Kontrola sesji jest dostępna dla dowolnej przeglądarki, na dowolnej platformie głównych.Session control is available for any browser on any major platform. Aplikacje mobilne i aplikacje komputerowe można być zablokowane lub dozwolone.Mobile apps and desktop apps can also be blocked or allowed. Dzięki natywnej integracji z usługą Azure AD, wszystkich aplikacji, które są skonfigurowane przy użyciu protokołu SAML lub Open ID Connect aplikacji za pomocą logowania jednokrotnego w usłudze Azure AD mogą być obsługiwane, w tym następujących polecane aplikacje:By natively integrating with Azure AD, any apps that are configured with SAML or Open ID Connect apps with single sign-on in Azure AD can be supported, including the following featured apps:

  • AWSAWS
  • BoxBox
  • ConcurConcur
  • Podstawa na żądanieCornerStone on Demand
  • DocuSignDocuSign
  • DropboxDropbox
  • EgnyteEgnyte
  • G SuiteG Suite
  • GitHubGitHub
  • HighQHighQ
  • JIRA/ConfluenceJIRA/Confluence
  • Usługi SalesForceSalesforce
  • ServiceNowServiceNow
  • SlackSlack
  • TABLEAUTableau
  • Dzień roboczyWorkday
  • WorkivaWorkiva
  • Obszar roboczy w serwisie FacebookWorkplace by Facebook
  • Exchange Online (wersja zapoznawcza)Exchange Online (preview)
  • OneDrive dla firm (wersja zapoznawcza)OneDrive for Business (preview)
  • Usługa Power BI (wersja zapoznawcza)Power BI (preview)
  • SharePoint Online (wersja zapoznawcza)SharePoint Online (preview)
  • Usługa Azure DevOps (Visual Studio Team Services) (wersja zapoznawcza)Azure DevOps (Visual Studio Team Services) (preview)
  • Usługi Yammer (wersja zapoznawcza)Yammer (preview)
  • Microsoft Flow (wersja zapoznawcza)Microsoft Flow (preview)

Dodatkowe aplikacje są stale uruchomiona do kontroli sesji.Additional apps are being continuously on-boarded to session control. Jeśli interesuje Cię określoną aplikację, która nie jest wymieniona w tym miejscu Wyślij nam szczegółowe informacje o aplikacji.If you're interested in a specific app that isn't mentioned here, send us details about the app. Pamiętaj wysłać przypadek użycia, które interesują Cię do wdrażania go.Be sure to send the use case you're interested in for on-boarding it.

DALEJ: Wdrażanie kontroli dostępu warunkowego aplikacji»NEXT: Deploy Conditional Access App Control »

Następne krokiNext steps

Wdrażanie kontroli dostępu warunkowego do aplikacji w aplikacjach usługi Azure ADDeploy Conditional Access App Control for Azure AD apps

Klienci wersji Premium mogą również utworzyć nowe żądanie pomocy technicznej bezpośrednio w portalu Premium.Premier customers can also create a new support request directly in the Premier Portal.