Microsoft Defender for Cloud Apps 条件访问应用控制

在当今的工作区中,知道云环境中幕后发生的情况是不够的。 您还需要实时阻止违规和泄密,并防止员工有意或无意地将您的数据和组织置于危险之中。

您希望支持组织中的用户,让他们使用可用的最佳云应用并自带设备工作。 但是,您还需要工具来实时保护您的组织免遭数据泄露和盗窃。 Microsoft Defender for Cloud Apps 与任何标识提供者 (IdP) 集成,通过访问会话策略提供此保护。

例如:

  • 使用访问策略可以:

    • 阻止来自非托管设备的用户访问 Salesforce
    • 阻止本机客户端访问 Dropbox。
  • 使用会话策略可以

    • 阻止将敏感文件从 OneDrive 下载到非托管设备
    • 阻止将恶意软件文件上传到 SharePoint Online

Microsoft Edge 用户受益于 浏览器内直接保护,由浏览器地址栏中显示的锁图标表示。

其他浏览器的用户通过反向代理重定向到 Defender for Cloud Apps,并在链接的 URL 中显示 *.mcas.ms 后缀。 例如,如果应用 URL 为 myapp.com,则应用 URL 将更新为 myapp.com.mcas.ms

本文介绍 Defender for Cloud Apps 的条件访问应用控制与 Microsoft Entra 条件访问策略。

可用性

条件访问应用控制不需要在设备上安装任何内容,因此非常适合监视或控制来自非托管设备或合作伙伴用户的会话。

Defender for Cloud 应用使用一流的专利启发式方法来识别和控制用户在目标应用程序中执行的活动。 我们的启发式方法旨在优化和平衡安全性与可用性。

在少数情况下,当服务器端阻止活动导致应用不可用时,只在客户端保护这些活动,导致这些活动可能容易受到恶意内部人员的攻击。

系统性能和数据存储

Defender for Cloud Apps 使用世界各地的 Azure 数据中心,通过地理位置提供优化的性能。 这意味着,用户会话可能托管在特定区域之外,具体视流量模式及其位置而定。 但是,为了保护隐私,这些数据中心不会存储任何会话数据。

Defender for Cloud Apps 代理服务器不会存储静态数据。 我们遵循 RFC 7234(HTTP 缓存)中规定的要求进行内容缓存,并且只缓存公共内容。

受支持活动的参考

条件访问应用控制使用访问策略会话策略 在整个组织中实时监视和控制用户应用访问和会话。

每项策略都有条件来定义应用策略的人员(用户或用户组)、对象(哪个云应用程序)和位置(哪个位置和网络)。 确定条件后,先将用户路由到 Defender for Cloud Apps,您可在其中应用访问和会话控制来保护数据。

访问和会话策略包括以下类型的活动:

活动 说明
阻止数据渗透 阻止下载、剪切、复制和打印敏感文档,例如在在非托管设备上。
要求身份验证上下文 当会话中发生敏感操作(例如需要多重身份验证)时重新评估 Microsoft Entra 条件访问策略。
下载时保护 与 Microsoft Purview Information Protection 集成后,与其阻止下载敏感文档,不如要求对文档进行标记和加密。 此操作可确保文档受到保护,并在有潜在风险的会话中限制用户访问。
阻止上传未标记文件 在用户对内容进行分类之前,确保阻止上传包含敏感内容的不带标签的文件。 在上传、分发敏感文件并由其他人使用之前,请务必确保敏感文件具有组织策略定义的标签。
阻止潜在的恶意软件 通过阻止上传潜在恶意文件来保护您的环境免受恶意软件的侵害。 所有上传或下载的文件都可以使用 Microsoft 威胁情报进行扫描并立即阻止。
监视用户会话的合规性 调查和分析用户的行为,以了解将来应在何处、在何种条件下应用会话策略。 有风险的用户在登录应用时会受到监视,并且在会话内记录其操作。
阻止访问 根据多种风险因素,以不同的粒度阻止特定应用和用户的访问。 例如,如果它们使用客户端证书作为设备管理的一种形式,则可以阻止它们。
阻止自定义活动 某些应用的独特使用场景会带来风险,例如,在 Microsoft Teams 或 Slack 等应用中发送包含敏感内容的消息。 在此类场景中,扫描消息中的敏感内容并实时阻止。

有关详细信息,请参阅:

受支持的应用和客户端

对使用 SAML 2.0 身份验证协议的任何交互式单一登录应用会话和访问权限。 内置移动和桌面客户端应用也支持访问控制。

此外,如果您使用的是 Microsoft Entra ID 应用,请将会话和访问控制应用于:

Defender for Cloud Apps 使用云应用目录中的数据标识应用。 如果已使用插件自定义应用,则必须将任何关联的自定义域添加到目录中的相关应用中。 有关详细信息,请参阅使用风险评分

注意

具有非交互式登录流(例如 Authenticator 应用和其他内置应用)的应用不能用于访问控制。

预加入的应用

可以将使用之前提及的身份验证协议配置的任何 Web 应用加入,以配合访问和会话控制使用。 此外,以下应用已加入 Microsoft Entra ID 的访问和会话控制。

注意

必须将所需的应用程序传送到访问和会话控制,并执行第一次登录。

  • AWS
  • Box
  • Concur
  • CornerStone on Demand
  • DocuSign
  • Dropbox
  • Egnyte
  • GitHub
  • Google Workspace
  • HighQ
  • JIRA/Confluence
  • LinkedIn 学习
  • Microsoft Azure DevOps(Visual Studio Team Services)
  • Microsoft Azure 门户
  • Microsoft Dynamics 365 CRM
  • Microsoft Exchange Online
  • 适用于企业的 Microsoft OneDrive
  • Microsoft Power BI
  • Microsoft Office SharePoint Online
  • Microsoft Teams
  • Microsoft Yammer
  • Salesforce
  • Slack
  • Tableau
  • Workday
  • Workiva
  • 来自 Meta 的工作区

如果希望预加入某个应用,请向我们发送该应用的详细信息。 请务必发送你感兴趣的用例以便加入该应用。

支持的浏览器

虽然会话控件旨在与任何操作系统上任何主要平台上的任何浏览器一起使用而构建的,但我们支持以下浏览器:

Microsoft Edge 用户受益于浏览器内保护,而无需重定向到反向代理。 有关详细信息,请参阅 Microsoft Edge for Business (预览版)的浏览器内保护

TLS 1.2+ 的应用支持

Defender for Cloud Apps 使用传输层安全性 (TLS) 协议 1.2+ 提供一流的加密,而不支持 TLS 1.2+ 的内置客户端应用程序和浏览器在配置了会话控制后将无法访问。

但是,使用 Defender for Cloud Apps 配置时,使用 TLS 1.1 或更低版本的 SaaS 应用程序在浏览器中会显示为使用 TLS 1.2+。

有关详细信息,请参阅: