Ochrona aplikacji przy użyciu aplikacji kontroli dostępu warunkowego usługi Microsoft Cloud App Security

Dotyczy: Microsoft Cloud App Security

Ważne

Nazwy produktów ochrony przed zagrożeniami firmy Microsoft są zmieniane. Więcej informacji na temat tego i innych aktualizacji można znaleźć tutaj. Będziemy aktualizować nazwy w produktach i w dokumentach w najbliższej przyszłości.

W dzisiejszym miejscu pracy często nie wystarczy wiedzieć, co dzieje się w środowisku chmury po fakcie. Chcesz zapobiec naruszeniom i wyciekom w czasie rzeczywistym, zanim pracownicy celowo lub nieumyślnie naniesieją na nie ryzyko danych i organizacji. Ważne jest, aby umożliwić użytkownikom w organizacji jak najwięcej usług i narzędzi dostępnych w aplikacjach w chmurze oraz umożliwić im pracę na własnych urządzeniach. Jednocześnie potrzebne są narzędzia, które pomagają chronić organizację przed wyciekami danych i kradzieżą danych w czasie rzeczywistym. Microsoft Cloud App Security integruje się z dowolnym dostawcą tożsamości w celu zapewnienia tych możliwości za pomocą kontroli dostępu i sesji. Jeśli używasz usługi Azure Active Directory (Azure AD) jako tożsamości, te kontrolki są zintegrowane i usprawnione w celu prostszego i bardziej dostosowanego wdrożenia, które jest wbudowane w narzędzie dostępu warunkowego usługi Azure AD.

Uwaga

  • Oprócz ważnej licencji Cloud App Security, do korzystania z Cloud App Security Kontrola dostępu warunkowego aplikacji potrzebna jest również licencja Azure Active Directory P1lub licencja wymagana przez rozwiązanie idP, a także licencja Cloud App Security tożsamości.

Jak to działa

Kontrola dostępu warunkowego aplikacji korzysta z architektury zwrotnego serwera proxy i integruje się z tożsamością. Podczas integracji z dostępem warunkowym usługi Azure AD można skonfigurować aplikacje do pracy z usługą Kontrola dostępu warunkowego aplikacji za pomocą zaledwie kilku kliknięć, co pozwala łatwo i selektywnie wymuszać kontrolę dostępu i sesji w aplikacjach organizacji na podstawie dowolnego warunku w funkcji dostępu warunkowego. Warunki określają, kto (użytkownik lub grupa użytkowników) i co (które aplikacje w chmurze) oraz gdzie (do których lokalizacji i sieci) są stosowane zasady dostępu warunkowego. Po ujednaniu warunków można przekierowyć użytkowników do Cloud App Security, gdzie można chronić dane za pomocą Kontrola dostępu warunkowego aplikacji stosując kontrole dostępu i sesji.

Kontrola dostępu warunkowego aplikacji umożliwia monitorowanie dostępu do aplikacji użytkownika i sesji oraz kontrolowanie ich w czasie rzeczywistym na podstawie zasad dostępu i sesji. Zasady dostępu i sesji są używane w portalu Cloud App Security, aby dodatkowo uściślić filtry i ustawić akcje, które mają zostać wykonane na użytkowniku. Dzięki zasadom dostępu i sesji można:

  • Zapobiegaj eksfiltracji danych: możesz zablokować pobieranie, wycinanie, kopiowanie i drukowanie poufnych dokumentów na przykład na urządzeniach niezamaniowych.

  • Wymagaj kontekstu uwierzytelniania: możesz ponownie sprawdzić zasady dostępu warunkowego usługi Azure AD, gdy w sesji wystąpi akcja wrażliwa. Na przykład wymagaj uwierzytelniania wieloskładnikowego po pobraniu wysoce poufnego pliku.

  • Ochrona podczas pobierania: zamiast blokowania pobierania poufnych dokumentów można wymagać, aby dokumenty zostały oznaczone etykietami i chronione za pomocą Azure Information Protection. Ta akcja gwarantuje, że dokument jest chroniony, a dostęp użytkowników jest ograniczony w sesji potencjalnie ryzykownej.

  • Zapobiegaj przekazywaniu plików bez etykiet: przed przekazaniem, rozpowszechnianym i używanym przez inne osoby poufnym plikiem należy się upewnić, że plik ma odpowiednią etykietę i ochronę. Możesz upewnić się, że nieoznakowane pliki z poufnej zawartości nie będą przekazywane, dopóki użytkownik nie klasyfikuje zawartości.

  • Blokuj potencjalne złośliwe oprogramowanie: możesz chronić środowisko przed złośliwym oprogramowaniem, blokując przekazywanie potencjalnie złośliwych plików. Każdy przekazany lub pobrany plik może być skanowany pod względem analizy zagrożeń firmy Microsoft i natychmiast blokowany.

  • Monitoruj sesje użytkowników pod kątem zgodności: ryzykowni użytkownicy są monitorowani, gdy logują się do aplikacji, a ich działania są rejestrowane w ramach sesji. Możesz zbadać i przeanalizować zachowanie użytkowników, aby zrozumieć, gdzie i w jakich warunkach zasady sesji powinny być stosowane w przyszłości.

  • Blokuj dostęp: możesz zablokować szczegółowy dostęp do określonych aplikacji i użytkowników w zależności od kilku czynników ryzyka. Można je na przykład zablokować, jeśli jako formy zarządzania urządzeniami są one korzystające z certyfikatów klienta.

  • Blokuj działania niestandardowe: Niektóre aplikacje mają unikatowe scenariusze, które niosą za sobą ryzyko, na przykład wysyłanie komunikatów z poufnej zawartości w aplikacjach, takich jak Microsoft Teams lub Slack. W tego typu scenariuszach można skanować komunikaty pod poszukiwaniu poufnej zawartości i blokować je w czasie rzeczywistym.

Jak działa kontrola sesji

Tworzenie zasad sesji za pomocą Kontrola dostępu warunkowego aplikacji umożliwia kontrolowanie sesji użytkowników przez przekierowywanie użytkownika za pośrednictwem zwrotnego serwera proxy, a nie bezpośrednio do aplikacji. Od tego czasu żądania i odpowiedzi użytkowników są Cloud App Security a nie bezpośrednio do aplikacji.

Gdy sesja jest chroniona przez serwer proxy, wszystkie odpowiednie adresy URL i pliki cookie są zastępowane przez Cloud App Security. Jeśli na przykład aplikacja zwraca stronę z linkami, których domeny kończą się na , domena łącza ma sufiks podobny myapp.com do *.mcas.ms następującego:

Adres URL aplikacji Zamieniony adres URL
myapp.com myapp.com.mcas.ms

Ta metoda nie wymaga instalowania niczego na urządzeniu, dzięki czemu idealnie nadaje się do monitorowania lub kontrolowania sesji z urządzeń nieza zarządzaniem lub użytkowników partnerów.

Uwaga

  • Nasza technologia używa najlepszych w swojej klasie, patentowanych heurystycznych, aby identyfikować i kontrolować działania wykonywane przez użytkownika w aplikacji docelowej. Nasze heurystyczne zostały zaprojektowane w celu optymalizacji i zrównoważenia zabezpieczeń z użytecznością. W niektórych rzadkich scenariuszach blokowanie działań po stronie serwera powoduje, że aplikacja jest niezdatna do użytku, zabezpieczamy te działania tylko po stronie klienta, co sprawia, że są one potencjalnie podatne na wykorzystanie przez złośliwych niejawnych testerów.
  • Cloud App Security korzysta z centrów danych platformy Azure na całym świecie, aby zapewnić zoptymalizowaną wydajność dzięki geolokalizacji. Oznacza to, że sesja użytkownika może być hostowana poza określonym regionem, w zależności od wzorców ruchu i ich lokalizacji. Jednak w celu ochrony prywatności żadne dane sesji nie są przechowywane w tych centrach danych.
  • Nasze serwery proxy nie przechowują danych w spoczynku. Podczas buforowania zawartości przestrzegamy wymagań określonych w dokumencie RFC 7234 (buforowanie HTTP) i buforujemy tylko zawartość publiczną.

Identyfikacja urządzenia zarządzanego

Kontrola dostępu warunkowego aplikacji umożliwia tworzenie zasad uwzględniających to, czy urządzenie jest zarządzane, czy też nie. Aby rozpoznać stan urządzenia, można skonfigurować zasady dostępu i sesji, wykrywające:

  • Microsoft Intune Zgodne urządzenia [dostępne tylko w usłudze Azure AD]
  • urządzenia dołączone hybrydowo do usługi Azure AD [dostępne tylko w przypadku korzystania z usługi Azure AD],
  • obecność certyfikatów klienta w zaufanym łańcuchu.

Urządzenia zgodne z usługą Intune i urządzenia przyłączone hybrydową do usługi Azure AD

Dostęp warunkowy w usłudze Azure AD umożliwia bezpośrednie przekazywane informacje o urządzeniach zgodnych z usługą Intune i przyłączone hybrydowo do usługi Azure AD Cloud App Security. W tym miejscu można utworzyć zasady dostępu lub zasady sesji, które będą używać stanu urządzenia jako filtru. Aby uzyskać więcej informacji, zobacz Wprowadzenie do zarządzania urządzeniami w Azure Active Directory.

Uwaga

Niektóre przeglądarki mogą wymagać dodatkowej konfiguracji, takiej jak zainstalowanie rozszerzenia. Aby uzyskać więcej informacji, zobacz Obsługa przeglądarki dostępu warunkowego.

Urządzenia uwierzytelnione certyfikatem klienta

Mechanizm identyfikacji urządzeń może żądać uwierzytelniania z odpowiednich urządzeń przy użyciu certyfikatów klienta. Możesz użyć istniejących certyfikatów klienta wdrożonych już w organizacji lub wdrożyć nowe certyfikaty klienta na zarządzanych urządzeniach. Upewnij się, że certyfikat klienta jest zainstalowany w magazynie użytkowników, a nie w magazynie komputerów. Następnie użyj obecności tych certyfikatów, aby ustawić zasady dostępu i sesji.

Certyfikaty klienta SSL są weryfikowane za pośrednictwem łańcucha zaufania. Można przekazać główny lub pośredni urząd certyfikacji X.509 sformatowany w formacie certyfikatu PEM. Te certyfikaty muszą zawierać klucz publiczny urzędu certyfikacji, który jest następnie używany do podpisywania certyfikatów klienta prezentowanych podczas sesji.

Po przesłaniu certyfikatu i skonfigurowaniu odpowiednich zasad, gdy odpowiednią sesję przechodzi przez Kontrola dostępu warunkowego aplikacji, punkt końcowy usługi Cloud App Security żąda od przeglądarki przedstawienia certyfikatów klienta SSL. Przeglądarka obsługuje certyfikaty klienta SSL, które są instalowane z kluczem prywatnym. Ta kombinacja certyfikatu i klucza prywatnego jest wykonywana przy użyciu PKCS #12, zazwyczaj p12 lub pfx.

Podczas sprawdzania certyfikatu klienta program Cloud App Security następujące warunki:

  1. Wybrany certyfikat klienta jest prawidłowy i znajduje się w obszarze prawidłowego głównego lub pośredniego urzędu certyfikacji.
  2. Certyfikat nie zostanie odwołany (jeśli jest włączona listy CRL).

Uwaga

Większość głównych przeglądarek obsługuje sprawdzanie certyfikatu klienta. Jednak aplikacje mobilne i klasyczne często wykorzystują wbudowane przeglądarki, które mogą nie obsługiwać tego sprawdzania i w związku z tym wpływać na uwierzytelnianie dla tych aplikacji.

Aby skonfigurować zasady w celu wykorzystania zarządzania urządzeniami za pośrednictwem certyfikatów klienta:

  1. Na Cloud App Security menu kliknij ikonę ustawień z kołem startowym. i wybierz pozycję Ustawienia.

  2. Wybierz kartę Identyfikacja urządzenia.

  3. Upload tyle certyfikatów głównych lub pośrednich, ile potrzebujesz.

    Porada

    Aby przetestować, jak to działa, możesz użyć naszego przykładowego głównego urzędu certyfikacji i certyfikatu klienta w następujący sposób:

    1. Pobierz przykładowy główny urząd certyfikacji i certyfikat klienta.
    2. Upload głównego urzędu certyfikacji, aby Cloud App Security.
    3. Zainstaluj certyfikat klienta (password=Microsoft) na odpowiednich urządzeniach.

Po przesłaniu certyfikatów można utworzyć zasady dostępu i sesji na podstawie tagu urządzenia i prawidłowego certyfikatu klienta.

Obsługiwane aplikacje i klienci

Kontrolę dostępu i sesji można stosować do dowolnego interakcyjnego logowania pojedynczego przy użyciu protokołu uwierzytelniania SAML 2.0 lub, jeśli używasz usługi Azure AD, protokołu uwierzytelniania open id Połączenie. Ponadto jeśli aplikacje są skonfigurowane za pomocą usługi Azure AD, możesz również zastosować te kontrolki do aplikacji hostowanych lokalnie przy użyciu serwera proxy usługi aplikacja usługi Azure AD . Ponadto kontrole dostępu można stosować do natywnych mobilnych i klasycznych aplikacji klienckich.

Cloud App Security identyfikuje aplikacje przy użyciu informacji dostępnych w katalogu aplikacji w chmurze. Niektóre organizacje i użytkownicy dostosują aplikacje, dodając wtyczki. Jednak aby kontrolki sesji działały poprawnie z tymi wtyczkami, skojarzone domeny niestandardowe muszą zostać dodane do odpowiedniej aplikacji w wykazie.

Uwaga

aplikacja Authenticator, wśród innych przepływów logowania natywnych aplikacji klienckich, używa nieinteraktywnego przepływu logowania i nie może być używana z kontrolami dostępu.

Kontrole dostępu

Wiele organizacji, które używają kontrolek sesji dla aplikacji w chmurze do kontrolowania działań w sesji, stosuje również mechanizmy kontroli dostępu w celu blokowania tego samego zestawu natywnych mobilnych i klasycznych aplikacji klienckich, zapewniając tym samym kompleksowe zabezpieczenia aplikacji.

Możesz zablokować dostęp do natywnych mobilnych i klasycznych aplikacji klienckich przy użyciu zasad dostępu, ustawiając filtr Aplikacja kliency na aplikacje mobilne i klasyczne. Niektóre natywne aplikacje klienckie można rozpoznać indywidualnie, podczas gdy inne, które są częścią pakietu aplikacji, mogą być identyfikowane tylko jako aplikacje najwyższego poziomu. Na przykład aplikacje takie jak SharePoint Online można rozpoznać tylko przez utworzenie zasad dostępu stosowanych do Office 365 aplikacji.

Uwaga

Jeśli filtr Aplikacja kliency nie został specjalnie ustawiony na aplikacje mobilne i klasyczne, wynikowe zasady dostępu będą stosowane tylko do sesji przeglądarki. Ma to na celu zapobieganie przypadkowemu pośredniszemu używaniu sesji użytkowników, co może być uboczącym zastosowaniem tego filtru. Chociaż większość popularnych przeglądarek obsługuje sprawdzanie certyfikatu klienta, niektóre aplikacje mobilne i klasyczne używają wbudowanych przeglądarek, które mogą nie obsługiwać tego sprawdzania. W związku z tym użycie tego filtru może mieć wpływ na uwierzytelnianie dla tych aplikacji.

Kontrolki sesji

Kontrolki sesji są zbudowane tak, aby działały z dowolną przeglądarką na dowolnej dużej platformie w dowolnym systemie operacyjnym, jednak obsługujemy programy Microsoft Edge (najnowsza wersja), Google Chrome (najnowsza wersja), Mozilla Firefox (najnowsza wersja) lub Apple Safari (najnowsza wersja). Dostęp do aplikacji mobilnych i klasycznych może być również blokowany lub dozwolony.

Uwaga

  • Cloud App Security używa protokołów Transport Layer Security (TLS) 1.2+ w celu zapewnienia najlepszego w swojej klasie szyfrowania. Natywne aplikacje klienckie i przeglądarki, które nie obsługują wersji TLS 1.2+, nie będą dostępne po skonfigurowaniu kontroli sesji. Jednak aplikacje SaaS korzystające z TLS 1.1 lub niższego będą wyświetlane w przeglądarce jako aplikacje korzystające z TLS 1.2+ po skonfigurowaniu przy użyciu Cloud App Security.
  • Aby zastosować kontrolki sesji do portal.office.com, należy do dołączać centrum administracyjne platformy Microsoft 365. Aby uzyskać więcej informacji na temat dołączania aplikacji, zobacz Dołączanie i wdrażanie Kontrola dostępu warunkowego aplikacji dla dowolnej aplikacji.

Do pracy z kontrolą dostępu i sesji można do niej do dołączać dowolną aplikację internetową skonfigurowaną przy użyciu wcześniej wymienionych protokołów uwierzytelniania. Ponadto następujące aplikacje są już dołączane do kontroli dostępu i sesji:

  • AWS
  • Azure DevOps (Visual Studio Team Services)
  • Azure Portal
  • Box
  • Concur
  • CornerStone on Demand
  • DocuSign
  • Dropbox
  • Dynamics 365 CRM (wersja zapoznawcza)
  • Egnyte
  • Exchange Online
  • GitHub
  • Obszar roboczy Google
  • HighQ
  • JIRA/Confluence
  • OneDrive dla Firm
  • LinkedIn Learning
  • Power BI
  • SalesForce
  • ServiceNow
  • SharePoint Online
  • Slack
  • Tableau
  • Microsoft Teams (wersja zapoznawcza)
  • Workday
  • Workiva
  • Workplace by Facebook
  • Yammer (wersja zapoznawcza)

Poniżej znajduje się lista polecanych aplikacji obsługiwanych w programie Office 365 Cloud App Security.

  • Exchange Online
  • OneDrive dla Firm
  • Power BI
  • SharePoint Online
  • Microsoft Teams (wersja zapoznawcza)
  • Yammer (wersja zapoznawcza)

Jeśli interesuje Cię polecanie konkretnej aplikacji, wyślij do nasszczegółowe informacje o aplikacji. Pamiętaj, aby wysłać przypadek użycia, który Cię interesuje w celu jego do dołączania.

Następne kroki

Jeśli znajdziesz jakieś problemy, pomożemy Ci. Aby uzyskać pomoc lub pomoc techniczną dla problemu z produktem, otwórz bilet pomocy technicznej.