Skydda appar med appkontrollen för villkorsstyrd åtkomst i Microsoft Cloud App SecurityProtect apps with Microsoft Cloud App Security Conditional Access App Control

Gäller för: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Viktigt

Hot skydds produkt namn från Microsoft ändras.Threat protection product names from Microsoft are changing. Läs mer om det här och andra uppdateringar här.Read more about this and other updates here. Vi kommer att uppdatera namn i produkter och i dokumenten inom en snar framtid.We'll be updating names in products and in the docs in the near future.

I dagens arbets plats är det ofta inte tillräckligt att känna till vad som händer i din moln miljö efter faktumet.In today's workplace, it's often not enough to know what's happening in your cloud environment after the fact. Du vill stoppa överträdelser och läckor i real tid, innan anställda avsiktligt eller oavsiktligt kan placera dina data och din organisation i risk zonen.You want to stop breaches and leaks in real time, before employees intentionally or inadvertently put your data and your organization at risk. Det är viktigt att göra det möjligt för användare i din organisation att få ut mesta möjliga av de tjänster och verktyg som är tillgängliga för dem i molnappar och låta dem få sina egna enheter att fungera.It's important to enable users in your organization to make the most of the services and tools available to them in cloud apps and let them bring their own devices to work. Samtidigt behöver du verktyg som hjälper dig att skydda din organisation från data läckor och data stöld i real tid.At the same time, you need tools to help protect your organization from data leaks, and data theft, in real time. Microsoft Cloud App Security integreras med valfri identitets leverantör (IdP) för att leverera dessa funktioner med åtkomst-och sessionsnycklar.Microsoft Cloud App Security integrates with any identity provider (IdP) to deliver these capabilities with access and session controls. Om du använder Azure Active Directory (Azure AD) som IdP är dessa kontroller integrerade och effektiviserade för en enklare och mer skräddarsydd distribution som bygger på Azure ADs verktyg för villkorlig åtkomst.If you are using Azure Active Directory (Azure AD) as your IdP, these controls are integrated and streamlined for a simpler and more tailored deployment built on Azure AD's Conditional Access tool.

Anteckning

  • Förutom en giltig Cloud App Security-licens, för att använda Cloud App Security Appkontroll för villkorsstyrd åtkomst, behöver du också en Azure Active Directory P1-licenseller licensen som krävs av din IDP-lösning, samt en Cloud App Security-licens.In addition to a valid Cloud App Security license, to use Cloud App Security Conditional Access App Control, you also need an Azure Active Directory P1 license, or the license required by your IdP solution, as well as a Cloud App Security license.

Så här fungerar detHow it works

Appkontroll för villkorsstyrd åtkomst använder en arkitektur för omvänd proxy och integreras med din IdP.Conditional Access App Control uses a reverse proxy architecture and integrates with your IdP. När du integrerar med villkorlig åtkomst i Azure AD kan du konfigurera appar så att de fungerar med Appkontroll för villkorsstyrd åtkomst med bara några klick, så att du enkelt och selektivt kan genomdriva åtkomst-och sessionsnycklar i din organisations appar baserat på alla villkor i villkorlig åtkomst.When integrating with Azure AD Conditional Access, you can configure apps to work with Conditional Access App Control with just a few clicks, allowing you to easily and selectively enforce access and session controls on your organization's apps based on any condition in Conditional Access. Villkoren definierar vem (användare eller grupp av användare) och vad (vilka molnappar) och var (vilka platser och nätverk) en princip för villkorlig åtkomst tillämpas på.The conditions define who (user or group of users) and what (which cloud apps) and where (which locations and networks) a Conditional Access policy is applied to. När du har fastställt villkoren kan du dirigera användare till Cloud App Security där du kan skydda data med Appkontroll för villkorsstyrd åtkomst genom att använda åtkomst-och sessionsnycklar.After you've determined the conditions, you can route users to Cloud App Security where you can protect data with Conditional Access App Control by applying access and session controls.

Appkontroll för villkorsstyrd åtkomst gör att användarens app-åtkomst och sessioner kan övervakas och kontrol leras i real tid baserat på åtkomst-och sessionstillstånd.Conditional Access App Control enables user app access and sessions to be monitored and controlled in real time based on access and session policies. Åtkomst-och sessionstillstånd används i Cloud App Security Portal för att ytterligare förfina filter och ange åtgärder som ska vidtas för en användare.Access and session policies are used within the Cloud App Security portal to further refine filters and set actions to be taken on a user. Med åtkomst-och sessionstillstånd kan du:With the access and session policies, you can:

  • Förhindra data exfiltrering: du kan blockera nedladdning, klipp ut, kopiera och skriva ut känsliga dokument på, till exempel ohanterade enheter.Prevent data exfiltration: You can block the download, cut, copy, and print of sensitive documents on, for example, unmanaged devices.

  • Skydda vid nedladdning: i stället för att blockera nedladdning av känsliga dokument kan du kräva att dokument etiketteras och skyddas med Azure information Protection.Protect on download: Instead of blocking the download of sensitive documents, you can require documents to be labeled and protected with Azure Information Protection. Den här åtgärden säkerställer att dokumentet är skyddat och att användar åtkomsten är begränsad i en potentiellt riskfylld session.This action ensures the document is protected and user access is restricted in a potentially risky session.

  • Förhindra uppladdning av omärkta filer: innan en känslig fil överförs, distribueras och används av andra, är det viktigt att se till att filen har rätt etikett och skydd.Prevent upload of unlabeled files: Before a sensitive file is uploaded, distributed, and used by others, it's important to make sure that the file has the right label and protection. Du kan se till att omärkta filer med känsligt innehåll blockeras från att överföras tills användaren klassificerar innehållet.You can ensure that unlabeled files with sensitive content are blocked from being uploaded until the user classifies the content.

  • Blockera potentiell skadlig kod: du kan skydda din miljö mot skadlig kod genom att blockera överföringen av potentiellt skadliga filer.Block potential malware: You can protect your environment from malware by blocking the upload of potentially malicious files. Alla filer som laddas upp eller hämtas kan genomsökas mot Microsoft Threat intelligence och blockeras omedelbart.Any file that is uploaded or downloaded can be scanned against Microsoft threat intelligence and blocked instantaneously.

  • Övervaka användarsessioner för kompatibilitet: riskfyllda användare övervakas när de loggar in i appar och deras åtgärder loggas in i sessionen.Monitor user sessions for compliance: Risky users are monitored when they sign into apps and their actions are logged from within the session. Du kan undersöka och analysera användar beteende för att förstå var och under vilka omständigheter som ska användas i framtiden.You can investigate and analyze user behavior to understand where, and under what conditions, session policies should be applied in the future.

  • Blockera åtkomst: du kan i detalj blockera åtkomst för vissa appar och användare beroende på flera riskfaktorer.Block access: You can granularly block access for specific apps and users depending on several risk factors. Du kan till exempel blockera dem om de använder klient certifikat som en form av enhets hantering.For example, you can block them if they are using client certificates as a form of device management.

  • Blockera anpassade aktiviteter: vissa appar har unika scenarier som kan medföra risker, till exempel att skicka meddelanden med känsligt innehåll i appar som Microsoft Teams eller slack.Block custom activities: Some apps have unique scenarios that carry risk, for example, sending messages with sensitive content in apps like Microsoft Teams or Slack. I dessa typer av scenarier kan du söka igenom meddelanden för känsligt innehåll och blockera dem i real tid.In these kinds of scenarios, you can scan messages for sensitive content and block them in real time.

Så här fungerar sessions kontrollHow session control works

Genom att skapa en replikeringsprincip med Appkontroll för villkorsstyrd åtkomst kan du kontrol lera användarsessioner genom att omdirigera användaren via en omvänd proxy i stället för direkt till appen.Creating a session policy with Conditional Access App Control enables you to control user sessions by redirecting the user through a reverse proxy instead of directly to the app. Därefter går användar förfrågningar och svar genom Cloud App Security i stället för direkt till appen.From then on, user requests and responses go through Cloud App Security rather than directly to the app.

När en session skyddas av proxy ersätts alla relevanta URL: er och cookies av Cloud App Security.When a session is protected by proxy, all the relevant URLs and cookies are replaced by Cloud App Security. Om appen till exempel returnerar en sida med länkar vars domäner slutar med, så myapp.com har länkens domän suffix till något som liknar *.mcas.ms följande:For example, if the app returns a page with links whose domains end with myapp.com, the link's domain is suffixed with something like *.mcas.ms, as follows:

App-URLApp URL Ersatt URLReplaced URL
myapp.com myapp.com.mcas.ms

Den här metoden kräver inte att du installerar något på enheten, vilket gör det idealiskt vid övervakning eller styrning av sessioner från ohanterade enheter eller partner användare.This method doesn't require you to install anything on the device making it ideal when monitoring or controlling sessions from unmanaged devices or partner users.

Anteckning

  • Vår teknik använder sig av patenterade heuristiska heuristik för att identifiera och kontrol lera aktiviteter som utförs av användaren i mål programmet.Our technology uses best-in-class patented heuristics to identify and control activities performed by the user in the target app. Våra heuristik är utformade för att optimera och balansera säkerheten med användbarhet.Our heuristics are designed to optimize and balance security with usability. I vissa sällsynta fall, när blockering av aktiviteter på Server sidan gör att appen inte kan användas, säkrar vi dessa aktiviteter endast på klient sidan, vilket gör det potentiellt mottagligt för utnyttjande av skadliga Insiders.In some rare scenarios, when blocking activities on the server-side renders the app unusable, we secure these activities only on the client-side, which makes them potentially susceptible to exploitation by malicious insiders.
  • Cloud App Security utnyttjar Azure-datacenter runtom i världen för att tillhandahålla optimerade prestanda via geolokalisering.Cloud App Security leverages Azure Data Centers around the world to provide optimized performance through geolocation. Det innebär att en användares session kan finnas utanför en viss region, beroende på trafik mönster och deras plats.This means that a user's session may be hosted outside of a particular region, depending on traffic patterns and their location. Men för att skydda din integritet lagras inga sessionsdata i dessa data Center.However, to protect your privacy, no session data is stored in these data centers.
  • Våra proxyservrar lagrar inte data i vila.Our proxy servers do not store data at rest. Vid cachelagring av innehåll följer vi de krav som anges i RFC 7234 (http-cachelagring) och endast cachelagrat offentligt innehåll.When caching content, we follow the requirements laid out in RFC 7234 (HTTP caching) and only cache public content.

Identifiering av hanterad enhetManaged device identification

Med Appkontroll för villkorsstyrd åtkomst kan du skapa policyer som tar hänsyn till om en enhet är hanterad eller inte.Conditional Access App Control enables you to create policies that take into account whether a device is managed or not. Om du vill identifiera en enhets status kan du konfigurera åtkomst- och sessionspolicyer som kontrollerar följande:To identify the state of a device, you can configure access and session policies to check for:

  • Microsoft Intune kompatibla enheter [endast tillgängligt med Azure AD]Microsoft Intune Compliant devices [only available with Azure AD]
  • Hybrid Azure AD-anslutna enheter [endast tillgängligt med Azure AD]Hybrid Azure AD joined devices [only available with Azure AD]
  • Förekomst av klientcertifikat i en betrodd kedjaPresence of client certificates in a trusted chain

Intune-kompatibla och hybrid Azure AD-anslutna enheterIntune compliant and Hybrid Azure AD Joined devices

Med villkorlig åtkomst i Azure AD kan Intune-kompatibel och hybrid Azure AD-ansluten enhets information skickas direkt till Cloud App Security.Azure AD Conditional Access enables Intune compliant and Hybrid Azure AD Joined device information to be passed directly to Cloud App Security. Därifrån kan en åtkomst princip eller en replikeringsprincip utvecklas som använder enhets tillstånd som ett filter.From there, an access policy or a session policy can be developed that uses device state as a filter. Mer information finns i Introduktion till enhets hantering i Azure Active Directory.For more information, see the Introduction to device management in Azure Active Directory.

Anteckning

Vissa webbläsare kan kräva ytterligare konfiguration, till exempel att installera ett tillägg.Some browsers may require additional configuration such as installing an extension. Mer information finns i stöd för villkorlig åtkomst webbläsare.For more information, see Conditional Access browser support.

Autentiserade enheter för klient certifikatClient-certificate authenticated devices

Mekanismen för enhets identifiering kan begära autentisering från relevanta enheter med klient certifikat.The device identification mechanism can request authentication from relevant devices using client certificates. Du kan antingen använda befintliga klient certifikat som redan har distribuerats i din organisation eller distribuera nya klient certifikat till hanterade enheter.You can either use existing client certificates already deployed in your organization or roll out new client certificates to managed devices. Kontrol lera att klient certifikatet är installerat i användar arkivet och inte på dator arkivet.Make sure that the client certificate is installed in the user store and not the computer store. Sedan använder du förekomst av dessa certifikat för att ange åtkomst-och sessionstillstånd.You then use the presence of those certificates to set access and session policies.

SSL-klientcertifikat verifieras via en förtroende kedja.SSL client certificates are verified via a trust chain. Du kan ladda upp en X. 509-rot eller mellanliggande certifikat utfärdare (CA) som är formaterad i PEM-certifikatets format.You can upload an X.509 root or intermediate certificate authority (CA) formatted in the PEM certificate format. Dessa certifikat måste innehålla certifikat utfärdarens offentliga nyckel, som sedan används för att signera de klient certifikat som visas under en session.These certificates must contain the public key of the CA, which is then used to sign the client certificates presented during a session.

När certifikatet har laddats upp och en relevant princip har kon figurer ATS, när en lämplig session passerar Appkontroll för villkorsstyrd åtkomst, begär Cloud App Security-slutpunkten webbläsaren för att presentera SSL-klientcertifikatet.Once the certificate is uploaded and a relevant policy is configured, when an applicable session traverses Conditional Access App Control, the Cloud App Security endpoint requests the browser to present the SSL client certificates. Webbläsaren hanterar de SSL-klientcertifikat som installeras med en privat nyckel.The browser serves the SSL client certificates that are installed with a private key. Den här kombinationen av certifikat och privata nycklar görs med hjälp av PKCS #12-filformat, vanligt vis. p12 eller. pfx.This combination of certificate and private key is done by using the PKCS #12 file format, typically .p12 or .pfx.

Cloud App Security söker efter följande villkor när en klient certifikats kontroll utförs:When a client certificate check is performed, Cloud App Security checks for the following conditions:

  1. Det valda klient certifikatet är giltigt och har rätt rot-eller mellanliggande certifikat utfärdare.The selected client certificate is valid and is under the correct root or intermediate CA.
  2. Certifikatet har inte återkallats (om CRL är aktiverat).The certificate is not revoked (if CRL is enabled).

Anteckning

De flesta större webbläsare har stöd för att utföra en klient certifikat kontroll.Most major browsers support performing a client certificate check. Mobila och skrivbordsappar använder dock ofta inbyggda webbläsare som kanske inte stöder den här kontrollen och därför påverkar autentiseringen för dessa appar.However, mobile and desktop apps often leverage built-in browsers that may not support this check and therefore affect authentication for these apps.

Så här konfigurerar du en princip för att utnyttja enhets hantering via klient certifikat:To configure a policy to leverage device management via client certificates:

  1. I Cloud App Security i meny raden klickar du på ikonen Inställningar kugg hjuls Inställningar och väljer Inställningar.In Cloud App Security, in the menu bar, click the settings cog settings icon and select Settings.

  2. Välj fliken enhets identifiering .Select the Device identification tab.

  3. Ladda upp så många rot-eller mellanliggande certifikat som du behöver.Upload as many root or intermediate certificates as you require.

    Tips

    Du kan testa hur det fungerar genom att använda vår exempel rot certifikat utfärdare och klient certifikat på följande sätt:To test how this works, you can use our sample root CA and client certificate, as follows:

    1. Ladda ned exempel rot certifikat utfärdaren och klient certifikatet.Download the sample root CA and client certificate.
    2. Ladda upp rot certifikat utfärdaren till Cloud App Security.Upload the root CA to Cloud App Security.
    3. Installera klient certifikatet (Password = Microsoft) på relevanta enheter.Install the client certificate (password=Microsoft) onto the relevant devices.

När certifikaten har överförts kan du skapa åtkomst-och sessionstillstånd baserat på enhets tag gen och giltigt klient certifikat.After the certificates are uploaded, you can create access and session policies based on Device tag and Valid client certificate.

Appar och klienter som stödsSupported apps and clients

Sessions-och åtkomst kontroller kan tillämpas på alla interaktiva enkel inloggningar med hjälp av autentiseringsprotokollet SAML 2,0 eller, om du använder Azure AD, även protokollet Open-ID Connect-autentisering.Session and access controls can be applied to any interactive single sign-on, using the SAML 2.0 authentication protocol or, if you are using Azure AD, the Open ID Connect authentication protocol as well. Om dina appar har kon figurer ATS med Azure AD kan du också tillämpa dessa kontroller på appar som finns lokalt konfigurerade med Azure AD App proxy.Furthermore, if your apps are configured with Azure AD, you can also apply these controls to apps hosted on-premises configured with the Azure AD App Proxy. Dessutom kan åtkomst kontroller tillämpas på inbyggda mobila och Station ära klient program.In addition, access controls can be applied to native mobile and desktop client apps.

Cloud App Security identifierar appar med hjälp av information som finns i dess moln program katalog.Cloud App Security identifies Apps using information available in its Cloud App Catalog. Vissa organisationer och användare anpassar appar genom att lägga till plugin-program.Some organizations and users customize apps by adding plugins. För att sessionens kontroller ska fungera korrekt med dessa plugin-program måste däremot de associerade anpassade domänerna läggas till i respektive app i katalogen.However, in order for session controls to work correctly with these plugins, the associated custom domains must be added to the respective app in the catalog.

Anteckning

Authenticator-appen, bland andra inbyggda inloggningsflöden för klientprogram, använder ett icke-interaktivt inloggningsflöde och kan inte användas med åtkomstkontroller.The Authenticator app, among other native client app sign-in flows, uses a non-interactive sign-in flow and cannot be used with access controls.

ÅtkomstkontrollerAccess controls

Många organisationer som väljer att använda sessionsnycklar för molnappar för att kontrol lera aktiviteter i sessionen, använder också åtkomst kontroller för att blockera samma uppsättning appar för mobila och skriv bords klienter, vilket ger omfattande säkerhet för apparna.Many organizations that choose to use session controls for cloud apps to control in-session activities, also apply access controls to block the same set of native mobile and desktop client apps, thereby providing comprehensive security for the apps.

Du kan blockera åtkomst till interna mobil-och skriv bords klient program med åtkomst principer genom att ställa in klientens program filter på mobil och skriv bord.You can block access to native mobile and desktop client apps with access policies, by setting the Client app filter to Mobile and desktop. Vissa interna klient-appar kan identifieras individuellt, medan andra som ingår i en serie appar bara kan identifieras som sin översta app.Some native client apps can be individually recognized, whilst others that are part of a suite of apps can only be identified as their top-level app. Appar som SharePoint Online kan till exempel bara identifieras genom att skapa en åtkomst princip som tillämpas på Office 365-appar.For example, apps like SharePoint Online can only be recognized by creating an access policy applied to Office 365 apps.

Anteckning

Om inte klientens program filter specifikt är inställt på mobil och stationär, kommer den resulterande åtkomst principen endast att gälla för webbläsarsessionen.Unless the Client app filter is specifically set to Mobile and desktop, the resulting access policy will only apply to browser sessions. Orsaken till detta är att förhindra oavsiktlig proxy för användarsessioner som kan vara en byproduct med det här filtret.The reason for this is to prevent inadvertently proxying user sessions, which may be a byproduct of using this filter. Även om de flesta större webbläsare har stöd för att utföra en klient certifikat kontroll, använder vissa mobila appar och skrivbordsappar inbyggda webbläsare som kanske inte stöder den här kontrollen.Whilst most major browsers support performing a client certificate check, some mobile and desktop apps use built-in browsers that may not support this check. Därför kan du använda det här filtret för att påverka autentiseringen för de här apparna.Therefore, using this filter can affect authentication for these apps.

Kontroller av sessionerSession controls

Även om session kontroller har skapats för att fungera med en webbläsare på en större plattform på ett operativ system, stöder vi Microsoft Edge (senaste), Google Chrome (senaste), Mozilla Firefox (senaste) eller Apple Safari (senaste).While session controls are built to work with any browser on any major platform on any operating system, we support Microsoft Edge (latest), Google Chrome (latest), Mozilla Firefox (latest), or Apple Safari (latest). Åtkomst till mobila appar och skrivbordsappar kan också blockeras eller tillåtas.Access to mobile and desktop apps can also be blocked or allowed.

Anteckning

  • Cloud App Security utnyttjar Transport Layer Security (TLS) protokoll 1.2 + för att tillhandahålla optimal kryptering.Cloud App security leverages Transport Layer Security (TLS) protocols 1.2+ to provide best-in-class encryption. Inbyggda klient program och webbläsare som inte har stöd för TLS 1.2 +, är inte tillgängliga när de har kon figurer ATS med session Control.Native client apps and browsers that do not support TLS 1.2+, will not be accessible when configured with session control. SaaS-appar som använder TLS 1,1 eller lägre visas dock i webbläsaren som att använda TLS 1.2 + när det kon figurer ATS med Cloud App Security.However, SaaS apps that use TLS 1.1 or lower will appear in the browser as using TLS 1.2+ when configured with Cloud App Security.
  • Du måste Microsoft 365 administrations Center för att kunna tillämpa sessionsnycklar på portal.office.com.To apply session controls to portal.office.com, you must onboard Microsoft 365 admin center. Mer information om onboarding-appar finns i publicera och distribuera appkontroll för villkorsstyrd åtkomst för alla appar.For more information about onboarding apps, see Onboard and deploy Conditional Access App Control for any app.

Alla webbappar som kon figurer ATS med hjälp av de tidigare nämnda autentiseringsprotokollen kan registreras för att fungera med åtkomst-och sessionsnycklar.Any web app configured using the previously mentioned authentication protocols can be onboarded to work with access and session controls. Dessutom är följande appar redan inbyggda med både åtkomst-och sessionsnycklar:In addition, the following apps are already onboarded with both access and session controls:

  • AWSAWS
  • Azure-DevOps (Visual Studio Team Services)Azure DevOps (Visual Studio Team Services)
  • Azure PortalAzure portal
  • BoxBox
  • ConcurConcur
  • Hörn på begäranCornerStone on Demand
  • DocuSignDocuSign
  • DropboxDropbox
  • Dynamics 365 CRM (för hands version)Dynamics 365 CRM (preview)
  • EgnyteEgnyte
  • Exchange OnlineExchange Online
  • GitHubGitHub
  • Google-arbetsytaGoogle Workspace
  • HighQHighQ
  • JIRA/ConfluenceJIRA/Confluence
  • OneDrive för företagOneDrive for Business
  • LinkedIn LearningLinkedIn Learning
  • Power BIPower BI
  • SalesforceSalesforce
  • ServiceNowServiceNow
  • sharepoint onlineSharePoint Online
  • SlackSlack
  • TableauTableau
  • Microsoft Teams (för hands version)Microsoft Teams (preview)
  • WorkdayWorkday
  • WorkivaWorkiva
  • Workplace by FacebookWorkplace by Facebook
  • Yammer (för hands version)Yammer (preview)

Följande är en lista över aktuella appar som stöds i Office 365 Cloud App Security.The following is a list of featured apps that are supported in Office 365 Cloud App Security.

  • Exchange OnlineExchange Online
  • OneDrive för företagOneDrive for Business
  • Power BIPower BI
  • sharepoint onlineSharePoint Online
  • Microsoft Teams (för hands version)Microsoft Teams (preview)
  • Yammer (för hands version)Yammer (preview)

Om du är intresse rad av att en särskild app är aktuell skickar du oss information om appen.If you're interested in a specific app being featured, send us details about the app. Se till att skicka det användnings fall som du är intresse rad av för att registrera det.Be sure to send the use case you're interested in for onboarding it.

Nästa stegNext steps

Om du stöter på problem är vi här för att hjälpa dig.If you run into any problems, we're here to help. Öppna ett support ärendeom du vill ha hjälp eller support för produkt problemet.To get assistance or support for your product issue, please open a support ticket.