Erstellen einer Microsoft Defender for Cloud Apps-Zugriffsrichtlinie.
Zugriffsrichtlinien für Microsoft Defender for Cloud Apps verwenden die App-Steuerung für bedingten Zugriff, um Echtzeitüberwachung und Kontrolle über den Zugriff auf Cloud-Apps zu ermöglichen. Zugriffsrichtlinien steuern den Zugriff basierend auf Benutzer, Standort, Gerät und App und werden für jedes Gerät unterstützt.
Richtlinien, die für eine Host-App erstellt wurden, sind nicht mit verwandten Ressourcen-Apps verbunden. Beispielsweise sind Zugriffsrichtlinien, die Sie für Teams, Exchange oder Gmail erstellen, nicht mit SharePoint, OneDrive oder Google Drive verbunden. Wenn Sie zusätzlich zur Host-App eine Richtlinie für die Ressourcen-App benötigen, erstellen Sie eine separate Richtlinie.
Tipp
Wenn Sie den Zugriff generell zulassen möchten, während Sitzungen überwacht oder bestimmte Sitzungsaktivitäten eingeschränkt werden, erstellen Sie stattdessen Sitzungsrichtlinien. Weitere Informationen finden Sie unter Sitzungsrichtlinien.
Voraussetzungen
Stellen Sie zuerst sicher, dass die folgenden Voraussetzungen erfüllt sind:
Eine Defender for Cloud Apps-Lizenz, entweder als eigenständige Lizenz oder als Teil einer anderen Lizenz.
Eine Lizenz für Microsoft Entra ID P1, entweder als eigenständige Lizenz oder als Teil einer anderen Lizenz.
Wenn Sie einen IdP verwenden, der nicht von Microsoft stammt, wird die von Ihrer IdP-Lösung geforderte Lizenz verwendet.
Die relevanten Apps, die in die App-Steuerung für bedingten Zugriff integriert wurden. Microsoft Entra ID-Apps werden automatisch integriert, während Nicht-Microsoft IdP-Apps manuell integriert werden müssen.
Wenn Sie mit einem Nicht-Microsoft-IdP arbeiten, stellen Sie sicher, dass Sie auch Ihren IdP für die Arbeit mit Microsoft Defender for Cloud Apps konfiguriert haben. Weitere Informationen finden Sie unter:
Damit Ihre Zugriffs- oder Sitzungsrichtlinie funktioniert, müssen Sie auch über eine Microsoft Entra ID-Richtlinie für bedingten Zugriff verfügen, die die Berechtigungen zum Steuern des Datenverkehrs erstellt.
Beispiel: Erstellen von Microsoft Entra ID-Richtlinien für bedingten Zugriff für die Verwendung mit Defender for Cloud Apps
Dieses Verfahren bietet ein allgemeines Beispiel für das Erstellen einer Richtlinie für bedingten Zugriff für die Verwendung mit Defender for Cloud Apps.
Wählen Sie in Microsoft Entra ID unter „Bedingter Zugriff“ die Option Neue Richtlinie erstellen aus.
Geben Sie einen aussagekräftigen Namen für Ihre Richtlinie ein, und wählen Sie dann den Link unter Sitzung aus, um Ihrer Richtlinie Steuerelemente hinzuzufügen.
Wählen Sie im Bereich Sitzung die Option App-Steuerung für bedingten Zugriff verwenden aus.
Wählen Sie im Bereich Benutzer aus, dass nur alle Benutzer oder bestimmte Benutzer und Gruppen einbezogen werden sollen.
Wählen Sie in den Bereichen Bedingungen und Client-Apps die Bedingungen und Client-Apps aus, die Sie in Ihre Richtlinie einbeziehen möchten.
Speichern Sie die Richtlinie, indem Sie Nur melden auf Ein setzen und dann Erstellen auswählen.
Microsoft Entra ID unterstützt sowohl browserbasierte als auch nicht browserbasierte Richtlinien. Wir empfehlen für eine erhöhte Sicherheitsabdeckung, beide Typen zu erstellen.
Wiederholen Sie dieses Verfahren, um eine nicht browserbasierte Richtlinie für bedingten Zugriff zu erstellen. Setzen Sie im Bereich Client-Apps die Option Konfigurieren auf Ja. Löschen Sie dann unter Clients mit moderner Authentifizierung, die Option Browser. Lassen Sie alle anderen Standardauswahlen ausgewählt.
Weitere Informationen finden Sie unter Richtlinien für bedingten Zugriff und Erstellen einer Richtlinie für bedingten Zugriff.
Eine Zugriffsrichtlinie für Defender for Cloud-Apps erstellen
In diesem Verfahren wird beschrieben, wie Sie eine neue Zugriffsrichtlinie in Defender for Cloud Apps erstellen.
Wählen Sie in Microsoft Defender XDR die Registerkarte Cloud-Apps > Richtlinien > Richtlinienmanagement > Bedingter Zugriff aus.
Wählen Sie Richtlinie erstellen>Zugriffsrichtlinie aus. Zum Beispiel:
Geben Sie auf der Seite Zugriffsrichtlinie erstellen die folgenden grundlegenden Informationen ein:
Name Beschreibung Richtlinienname Aussagekräftiger Name für Ihre Richtlinie, z. B. Zugriff von nicht verwalteten Geräten blockieren Schweregrad der Richtlinie Wählen Sie den Schweregrad aus, der auf diese Richtlinie angewendet werden soll. Kategorie Behalten Sie den Standardwert der Zugriffssteuerung bei Beschreibung Geben Sie eine optionale, aussagekräftige Beschreibung für Ihre Richtlinie ein, um Ihrem Team zu helfen, ihren Zweck zu verstehen. Wählen Sie im Bereich Aktivitäten, die alles Folgende erfüllen zusätzliche Aktivitätsfilter aus, die auf die Richtlinie angewendet werden sollen. Filter können folgende Optionen umfassen:
Name Beschreibung App Filter für eine bestimmte App, die in die Richtlinie aufgenommen werden soll. Wählen Sie Apps aus, indem Sie zuerst auswählen, ob sie Automatisiertes Azure AD-Onboarding (für Microsoft Entra ID-Apps) oder Manuelles Onboarding (für Nicht-Microsoft-IdP-Apps) verwenden. Wählen Sie dann aus der Liste die App aus, die Sie in den Filter aufnehmen möchten.
Wenn Ihre Nicht-Microsoft IdP-App in der Liste fehlt, stellen Sie sicher, dass Sie sie vollständig integriert haben. Weitere Informationen finden Sie unter:
- Onboarding von Katalog-Apps mit Nicht-Microsoft-IdPs für die App-Steuerung für bedingten Zugriff
- Onboarding von benutzerdefinierten Apps mit Nicht-Microsoft-IdPs für die App-Steuerung für bedingten Zugriff
Wenn Sie sich entscheiden, den App-Filter nicht zu verwenden, gilt die Richtlinie für alle Anwendungen, die als Aktiviert auf der Seite Einstellungen > Cloud-Apps > Verbundene Apps > Apps mit App-Steuerung für bedingten Zugriff markiert sind.
Hinweis: Möglicherweise sehen Sie einige Überlappungen zwischen Apps, die integriert sind, und Apps, die manuelles Onboarding erfordern. Im Falle eines Konflikts in Ihrem Filter zwischen den Apps haben manuell integrierte Apps Vorrang.Client-App Filtern nach Browser- oder Mobil/Desktop-Apps. Device Filtern nach Geräte-Tags, z. B. nach einer bestimmten Geräteverwaltungsmethode oder Gerätetypen, wie etwa PC, Mobilgerät oder Tablet. IP-Adresse Filtern nach IP-Adresse oder Verwendung vorher zugewiesener IP-Adressen-Tags. Location Filtern nach geographischem Standort. Das Fehlen eines klar definierten Standorts kann zum Erkennen riskanter Aktivitäten führen. Registrierter ISP Filtern nach Aktivitäten, die von einem bestimmten ISP stammen. Benutzer Filtern nach einem bestimmten Benutzer oder einer bestimmten Gruppe von Benutzern. Benutzer-Agent-Zeichenfolge Filtern nach einer bestimmten Benutzer-Agent-Zeichenfolge. Benutzer-Agent-Tag Filtern nach Benutzer-Agent-Tags, z. B. nach veralteten Browsern oder Betriebssystemen. Zum Beispiel:
Wählen Sie Ergebnisse bearbeiten und Vorschau anzeigen, um eine Vorschau der Arten der Aktivitäten zu erhalten, die mit Ihrer aktuellen Auswahl zurückgegeben werden.
Wählen Sie im Bereich Aktionen eine der folgenden Optionen aus:
Audit: Legen Sie diese Aktion fest, um den Zugriff gemäß den von Ihnen festgelegten Richtlinienfiltern explizit zu gewähren.
Blockieren: Legen Sie diese Aktion fest, um den Zugriff gemäß den von Ihnen festgelegten Richtlinienfiltern explizit zu blockieren.
Konfigurieren Sie im Bereich Warnungen nach Bedarf eine oder mehrere der folgenden Aktionen:
- Warnung für jedes mit dem Schweregrad der Richtlinie übereinstimmende Ereignis erstellen
- Senden einer Warnung als E-Mail
- Grenzwert für tägliche Warnungen pro Richtlinie
- Warnungen an Power Automate senden
Wählen Sie Erstellen, wenn Sie fertig sind.
Testen Ihrer Richtlinie
Nachdem Sie Ihre Zugriffsrichtlinie erstellt haben, testen Sie sie, indem Sie sie erneut für jede App authentifizieren, die in der Richtlinie konfiguriert ist. Stellen Sie sicher, dass die App-Umgebung den Erwartungen entspricht, und überprüfen Sie dann die Aktivitätsprotokolle.
Wir empfehlen Folgendes:
- Erstellen Sie eine Richtlinie für einen Benutzer, den Sie speziell für Tests erstellt haben.
- Melden Sie sich bei allen vorhandenen Sitzungen ab, bevor Sie ihre Apps erneut authentifizieren.
- Melden Sie sich über verwaltete und nicht verwaltete Geräte bei mobilen und Desktop-Apps an, um sicherzustellen, dass die Aktivitäten vollständig im Aktivitätsprotokoll erfasst werden.
Stellen Sie sicher, dass Sie sich als ein Benutzer anmelden, der Ihrer Richtlinie entspricht.
So testen Sie Ihre Richtlinie in Ihrer App:
- Besuchen Sie alle Seiten innerhalb der App, die Teil des Arbeitsprozesses eines Benutzers sind, und überprüfen Sie, ob die Seiten ordnungsgemäß gerendert werden.
- Stellen Sie sicher, dass das Verhalten und die Funktionalität der App nicht beeinträchtigt werden, indem Sie allgemeine Aktionen wie das Herunterladen und Hochladen von Dateien ausführen.
- Wenn Sie mit benutzerdefinierten Nicht-Microsoft-IdP-Apps arbeiten, überprüfen Sie die einzelnen Domänen, die Sie manuell für Ihre App hinzugefügt haben.
So überprüfen Sie Aktivitätsprotokolle:
Wählen Sie im Microsoft Defender XDR Cloud-Apps > Aktivitätsprotokoll, und suchen Sie nach den Anmeldeaktivitäten, die für jeden Schritt erfasst werden. Sie können filtern, indem Sie Erweiterte Filter auswählen und nach Quelle ist gleich Zugriffssteuerung filtern.
Anmeldungsaktivitäten per Single Sign-on sind Ereignisse mit App-Steuerung für bedingten Zugriff.
Wählen Sie eine Aktivität aus, und erweitern Sie sie, um weitere Details zu erhalten. Vergewissern Sie sich, dass der Benutzer-Agent-Tag korrekt angibt, ob es sich bei dem Gerät um einen nativen Client (also entweder um eine Mobil-App oder um eine Desktop-App) oder um ein verwaltetes Gerät (kompatibel, mit der Domäne verknüpft oder mit gültigem Client-Zertifikat) handelt.
Wenn Fehler oder Probleme auftreten, verwenden Sie die Symbolleiste Administratoransicht, um Ressourcen wie .Har
Dateien und aufgezeichnete Sitzungen für die Einreichung eines Supporttickets zu sammeln.
Erstellen von Zugriffsrichtlinien für identitätsverwaltete Geräte
Verwenden Sie Client-Zertifikate, um den Zugriff für Geräte zu steuern, die nicht mit Microsoft Entra-Hybrid verbunden sind und nicht von Microsoft Intune verwaltet werden. Stellen Sie neue Zertifikate für verwaltete Geräte bereit, oder verwenden Sie vorhandene Zertifikate, z. B. MDM-Zertifikate von Drittanbietern. Beispielsweise können Sie Client-Zertifikate für verwaltete Geräte bereitstellen und anschließend den Zugriff über Geräte ohne Zertifikate blockieren.
Weitere Informationen finden Sie unter Identitätsverwaltete Geräte mit App-Steuerung für bedingten Zugriff.
Zugehöriger Inhalt
Weitere Informationen finden Sie unter:
- Problembehandlung für Zugriffs- und Sitzungssteuerung
- Tutorial: Blockieren des Downloads vertraulicher Informationen mit App-Steuerung für bedingten Zugriff
- Blockieren von Downloads auf nicht verwalteten Geräten mithilfe von Sitzungssteuerelementen
- Webinar zur App-Steuerung für bedingten Zugriff
Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.