Sitzungsrichtlinien

  • Artikel

Microsoft Defender for Cloud Apps-Sitzungsrichtlinien bieten präzise Einblicke in Cloud-Apps mit Echtzeitüberwachung auf Sitzungsebene. Verwenden Sie Sitzungsrichtlinien, um je nach der Richtlinie, die Sie für eine Benutzersitzung festgelegt haben, unterschiedliche Aktionen auszuführen.

Sie können mit den Sitzungsrichtlinien den Zugriff während der Überwachung der Sitzung zulassen und bzw. oder bestimmte Sitzungsaktivitäten einschränken, statt den Zugriffvollständig zuzulassen oder zu blockieren. Möglicherweise möchten Sie auch bestimmte Sitzungsaktivitäten mithilfe der Reverseproxyunterstützung der App-Steuerung für bedingten Zugriff einschränken.

Beispielsweise können Sie entscheiden, dass der Benutzer von nicht verwalteten Geräten aus oder für Sitzungen, die von bestimmten Standorten stammen. Sie möchten jedoch den Download vertraulicher Dateien einschränken oder vorschreiben, dass bestimmte Dokumente beim Download geschützt sind.

Mithilfe von Sitzungsrichtlinien können Sie Benutzersitzungssteuerelemente festlegen, den Zugriff konfigurieren und vieles mehr:

Hinweis

  • Es gibt keine Beschränkung für die Anzahl der Richtlinien, die angewendet werden können.
  • Es gibt keine Verbindung zwischen einer Richtlinie, die Sie für eine Host-App erstellen, und Apps, die verwandte Ressourcen verwenden. Sitzungsrichtlinien, die Sie für Teams, Exchange oder Gmail erstellen, sind beispielsweise nicht mit SharePoint, OneDrive oder Google Drive verbunden. Wenn Sie zusätzlich zur Host-App eine Richtlinie für die Ressourcen-App benötigen, erstellen Sie eine separate Richtlinie.

Voraussetzungen für das Verwenden von Sitzungsrichtlinien

Stellen Sie zuerst sicher, dass die folgenden Voraussetzungen erfüllt sind:

Erstellen Sie eine Defender for Cloud Apps-Sitzungsrichtlinie

Gehen Sie folgendermaßen vor, um eine neue Richtlinie zu erstellen:

  1. Gehen Sie im Microsoft Defender Portal unter Cloud Apps zu Richtlinien und wählen Sie dann Richtlinienverwaltung aus. Wählen Sie die Registerkarte Bedingter Zugriff aus.

  2. Klicken Sie auf Richtlinie erstellen und anschließend auf Dateirichtlinie. Beispiel:

    Screenshot of the Create a Conditional access policy page.

  3. Weisen Sie Ihrer Richtlinie im Fenster Sitzungsrichtlinie einen Namen zu, z. B. Blockieren von Downloads vertraulicher Dokumente für Marketingbenutzer in Box.

  4. Im Feld Art der Sitzungssteuerung:

    • Wählen Sie Nur überwachen aus, wenn Sie nur Aktivitäten von Benutzern überwachen möchten. Diese Auswahl erstellt eine Richtlinie „Nur Überwachen“ für die von Ihnen ausgewählten Apps, die alle Anmeldungen waren.

    • Wählen Sie Dateidownload steuern (mit Inspektion) aus, wenn Sie Benutzeraktivitäten überwachen möchten. Sie können zusätzliche Aktionen durchführen, z. B. das Blockieren oder Schützen von Downloads für Benutzer.

    • Wählen Sie Aktivitäten blockieren aus, um bestimmte Aktivitäten zu blockieren, die Sie mit dem Filter Aktivitätstyp auswählen können. Alle Aktivitäten der ausgewählten Apps werden überwacht (und im Aktivitätsprotokoll gemeldet). Die ausgewählten Aktivitäten werden blockiert, wenn Sie die Aktion Blockieren auswählen. Die ausgewählten Aktivitäten lösen Warnungen aus, wenn Sie die Aktion Testen auswählen und Warnungen aktiviert haben.

  5. Wählen Sie unter Aktivitätsquelle im Abschnitt Aktivitäten, die Folgendem vollständig entsprechen zusätzliche Aktivitätsfilter aus, die auf die Richtlinie angewendet werden sollen. Diese Filter können folgende Optionen umfassen:

    • Gerätetags: Verwenden Sie diesen Filter, um nicht verwaltete Geräte zu identifizieren.

    • Standort: Verwenden Sie diesen Filter, um unbekannte (und daher riskante) Standorte zu identifizieren.

    • IP-Adresse: Verwenden Sie diesen Filter, um nach IP-Adressen zu filtern oder zuvor zugewiesene IP-Adresstags zu verwenden.

    • Benutzer-Agent-Tag: Verwenden Sie diesen Filter, um die Heuristik für das Identifizieren von mobilen Apps und Desktop-Apps zu aktivieren. Diese Filter können auf „Ist gleich Nativer Client“ oder Ungleich Nativer Client festgelegt werden. Diese Filter sollten für jede Cloud-App für Ihre mobilen Apps und Desktop-Apps getestet werden.

    • Aktivitätstyp: Verwenden Sie diesen Filter, um bestimmte Aktivitäten auszuwählen, die gesteuert werden sollen, z. B.:

      • Drucken

      • Aktionen der Zwischenablage: Kopieren, Ausschneiden und Einfügen

      • Senden von Elementen in Apps wie Teams, Slack und Salesforce

      • Freigeben und Aufheben der Freigabe von Elementen in verschiedenen Apps

      • Bearbeiten von Elementen in verschiedenen Apps

      Verwenden Sie beispielsweise eine Aktivität zum Senden von Elementen in Ihren Bedingungen, um einen Benutzer abzufangen, der versucht, Informationen in einem Teams-Chat oder Slack-Kanal zu senden, und blockieren Sie die Nachricht, wenn sie vertrauliche Informationen wie ein Kennwort oder andere Anmeldeinformationen enthält.

    Hinweis

    Sitzungsrichtlinien unterstützen keine mobilen Apps und Desktop-Apps. Mobile Apps und Desktop-Apps können auch mithilfe einer Zugriffsrichtlinie gesperrt oder zugelassen werden.

  6. Wenn Sie die Option Dateidownload steuern (mit Inspektion) ausgewählt haben:

    • Wählen Sie unter Aktivitätsquelle im Abschnitt Dateien, die Folgendem vollständig entsprechen (zusätzliche Dateifilter aus, die auf die Richtlinie angewendet werden sollen. Diese Filter können folgende Optionen umfassen:

      • Sensitivitätskennzeichnungen: Verwenden Sie diesen Filter, wenn Ihre Organisation Microsoft Purview Information Protection verwendet und Ihre Daten durch die zugehörigen Sensitivitätskennzeichnungen geschützt werden. Sie können Dateien basierend auf den Klassifizierungsbezeichnern filtern, die Sie auf diese angewendet haben. Weitere Informationen zur Integration mit Microsoft Purview Information Protection finden Sie unter Integration mit Microsoft Purview Information Protection.

      • Dateiname: - Verwenden Sie diesen Filter, um die Richtlinie auf bestimmte Dateien anzuwenden.

      • Dateityp: Verwenden Sie diesen Filter, um die Richtlinie auf bestimmte Dateitypen anzuwenden. Beispielsweise können Sie den Download für alle .xls-Dateien blockieren.

    • Legen Sie im Abschnitt Inhaltsuntersuchung fest, ob Sie es der DLP-Engine ermöglichen möchten, Dokumente und Dateiinhalte zu scannen.

    • Wählen Sie unter Aktionen eine der folgenden Optionen aus:

      • Testen (alle Aktivitäten überwachen): Legen Sie diese Aktion fest, um den Download gemäß den von Ihnen festgelegten Richtlinienfiltern ausdrücklich zuzulassen.
      • Blockieren (Dateidownload blockieren und alle Aktivitäten überwachen): Legen Sie diese Aktion fest, um den Download gemäß den von Ihnen festgelegten Richtlinienfiltern explizit zu blockieren. Weitere Informationen finden Sie unter How block download works (Funktionsweise des Blockierens von Downloads).
      • Schützen (Klassifizierungsbezeichnung auf Download anwenden und alle Aktivitäten überwachen): Diese Option ist nur verfügbar, wenn Sie Dateidownload steuern (mit Inspektion) unter Sitzungsrichtlinie ausgewählt haben. Wenn Ihre Organisation Microsoft Purview Information Protection verwendet, können Sie eine Aktion festlegen, um eine Klassifizierungsbezeichnung in Microsoft Purview Information Protection auf die Datei anzuwenden. Weitere Informationen finden Sie unter Wie Downloads schützen funktioniert.

  7. Wenn Sie die Warnung als E-Mail zugeschickt haben wollen, wählen Sie Warnung für jedes Ereignis erstellen, das mit dem Schweregrad der Richtlinie übereinstimmt und legen Sie ein Limit für Warnungen fest..

  8. Benutzer benachrichtigenWenn Sie eine Sitzungsrichtlinie erstellen, wird jede Benutzersitzung, die mit der Richtlinie übereinstimmt, an die Sitzungssteuerung statt direkt an die App umgeleitet.

    Benutzern wird ein Überwachungshinweis angezeigt, um darüber zu informieren, dass die Sitzungen überwacht werden. Wenn Sie die Benutzer nicht über die Überwachung informieren möchten, können Sie die Benachrichtigung deaktivieren.

    1. Wählen Sie im Microsoft Defender Portal die Option Einstellungen. Wählen Sie dann Cloud Apps aus.

    2. Wählen Sie dann unter App-Steuerung für bedingten Zugriff die Option Benutzerüberwachung aus, und deaktivieren Sie das Kontrollkästchen Benutzer benachrichtigen.

  9. Überwachungsprotokolle: Damit der Benutzer innerhalb der Sitzung gehalten wird, ersetzt Conditional Access App Control alle relevanten URLs, Javascripts und Cookies innerhalb der App durch Microsoft Defender for Cloud Apps-URLs. Wenn die App beispielsweise eine Seite mit Links zurückgibt, deren Domänen mit „myapp.com“ enden, ersetzt die App-Steuerung für bedingten Zugriff die Links durch Domänen, die z. B. auf myapp.com.mcas.ms enden. Auf diese Weise überwacht Defender for Cloud Apps die gesamte Sitzung.

Exportieren von Cloud Discovery-Protokollen

Conditional Access App Control zeichnet die Datenverkehrsprotokolle jeder Benutzersitzung auf, die darüber weitergeleitet wird. Diese Datenverkehrsprotokolle enthalten die Zeit, IP-Adresse, den Benutzer-Agent, besuchte URLs und die Anzahl von hoch- und heruntergeladenen Bytes. Diese Protokolle werden analysiert, und ein fortlaufender Bericht mit dem Namen Defender for Cloud Apps Conditional Access App Control (Defender for Cloud Apps-App-Steuerung für bedingten Zugriff) wird der Liste der Cloud Discovery-Berichte im Cloud Discovery-Dashboard hinzugefügt.

So exportieren Sie Cloud Discovery-Protokolle aus dem Cloud Discovery-Dashboard:

  1. Wählen Sie im Microsoft Defender Portal die Option Einstellungen. Wählen Sie dann Cloud Apps aus. Wählen Sie unter Verbundene Apps die Option App-Steuerung für bedingten Zugriff.

  2. Wählen Sie oberhalb der Tabelle die Schaltfläche „Exportieren“ aus. Beispiel:

    Screenshot of the export button.

  3. Wählen Sie den Bereich des Berichts aus, und klicken Sie auf Exportieren. Dies kann einige Zeit dauern.

  4. Sobald der Bericht fertig ist, wechseln Sie im Microsoft Defender Portal zu Berichte und dann zu >Cloud-AppsExportierte Berichte.

  5. Wählen Sie in der Tabelle den entsprechenden Bericht aus der Liste der Verkehrsprotokolle der Conditional Access App Control aus und wählen Sie Herunterladen. Beispiel:

    Screenshot of the download button.

Alle überwachen

Überwachen sie nur die Anmeldeaktivität , und es werden keine Benachrichtigungen gesendet. 

Um andere Aktivitäten zu überwachen, wählen Sie die Überwachungsaktion aus, in diesem Fall werden Benachrichtigungen gemäß Ihrer Richtlinie gesendet. Die Aktivitäten in der Überwachungsaktion werden überwacht und protokolliert, unabhängig davon, ob die Richtlinie übereinstimmt oder nicht. 

Hinweis

Um andere Aktivitäten neben Downloads und Hochladens zu überwachen, muss in Ihrer Monitorrichtlinie mindestens ein Block pro Aktivitätsrichtlinie vorhanden sein.

Alle Downloads blockieren

Wenn Blockieren als die Aktion festgelegt ist, die Sie in der Defender for Cloud Apps-Sitzungsrichtlinie durchführen möchten, verhindert die App-Steuerung für bedingten Zugriff den Dateifiltern der Richtlinie entsprechend, dass ein Benutzer eine Datei herunterlädt. Defender for Cloud Apps erkennt ein Downloadereignis für jede App, wenn ein Benutzer einen Download startet. Die App-Steuerung für bedingten Zugriff verhindert in Echtzeit, dass der Download ausgeführt wird. Wenn das Signal empfangen wird, dass ein Benutzer einen Download initiiert hat, gibt die App-Steuerung für bedingten Zugriff die Benachrichtigung Download eingeschränkt an den Benutzer zurück und ersetzt die heruntergeladene Datei durch eine Textdatei. Die in der Textdatei enthaltene Meldung für den Benutzer kann konfiguriert und über die Sitzungsrichtlinie angepasst werden.

Vorschreiben einer strengeren Authentifizierung (Authentifizierungskontext)

Wenn der Sitzungssteuerungstyp auf Aktivitäten blockieren, Download der Steuerelementdatei (mit Inspektion), Hochladen der Steuererelementedatei (mit Inspektion) gesetzt ist, können Sie als Aktion das Vorschreiben einer strengeren Authentifizierung wählen. Wenn diese Aktion ausgewählt ist, leitet Defender for Cloud Apps die Sitzung zur erneuten Überprüfung der Richtlinie an Microsoft Entra Conditional Access um, wenn die ausgewählte Aktivität auftritt. Basierend auf dem konfigurierten Authentifizierungskontext in der Microsoft Entra-ID können Ansprüche wie mehrstufige Authentifizierung und Gerätekompatibilität während einer Sitzung überprüft werden.

Bestimmte Aktivitäten blockieren

Wenn Aktivitäten blockieren als Aktivitätstyp festgelegt ist, können Sie auswählen, dass bestimmte Aktivitäten in bestimmten Apps blockiert werden. Alle Aktivitäten der ausgewählten Apps werden überwacht und im Aktivitätsprotokoll gemeldet. Die ausgewählten Aktivitäten werden blockiert, wenn Sie die Aktion Blockieren auswählen. Die ausgewählten Aktivitäten lösen Warnungen aus, wenn Sie die Aktion Testen auswählen und Warnungen aktiviert haben.

Beispiele für blockierte Aktivitäten sind:

  • Teams-Nachricht senden: Verwenden Sie sie zum Blockieren von Nachrichten, die von Microsoft Teams gesendet wurden, oder blockieren Sie Teams-Nachrichten, die bestimmte Inhalte enthalten.
  • Drucken: Verwenden, um Druckaktionen zu blockieren
  • Kopieren: Verwenden Sie sie, um die Kopieraktionen in die Zwischenablage zu blockieren oder nur die Kopie für bestimmte Inhalte zu blockieren

Wenden Sie Bestimmte Aktivitäten blockieren auf bestimmte Gruppen an, um einen umfassenden schreibgeschützten Modus für Ihre Organisation zu erstellen.

Dateien beim Herunterladen schützen

Wählen Sie Aktivitäten blockieren aus, um bestimmte Aktivitäten zu blockieren, die Sie mit dem Filter Aktivitätstyp ermitteln können. Alle Aktivitäten der ausgewählten Apps werden überwacht (und im Aktivitätsprotokoll gemeldet). Die ausgewählten Aktivitäten werden blockiert, wenn Sie die Aktion Blockieren auswählen. Die ausgewählten Aktivitäten lösen Warnungen aus, wenn Sie die Aktion Testen auswählen und Warnungen aktiviert haben.

Wenn Schützen als die Aktion festgelegt ist, die Sie in der Defender for Cloud Apps-Sitzungsrichtlinie durchführen möchten, erzwingt die App-Steuerung für bedingten Zugriff die Bezeichnung und den nachfolgenden Schutz einer Datei entsprechend den Dateifiltern der Richtlinie. Bezeichnungen werden im Microsoft Purview-Complianceportal konfiguriert, und die Bezeichnung muss so konfiguriert werden, dass die Anwendung von Verschlüsselung auf sie als Option in der Defender for Cloud Apps-Richtlinie angezeigt wird.

Wenn Sie eine bestimmte Bezeichnung ausgewählt haben und ein Benutzer eine Datei herunterlädt, die den Richtlinienkriterien entspricht, werden die Bezeichnung und alle entsprechenden Schutzmaßnahmen und Berechtigungen auf die Datei angewendet.

Die Originaldatei verbleibt im vorliegenden Zustand in der Cloud-App, während die heruntergeladene Datei nun geschützt ist. Benutzer, die versuchen, auf die Datei zuzugreifen, müssen die Berechtigungsanforderungen erfüllen, die sich nach dem angewendeten Schutz richten.

Defender for Cloud Apps unterstützt derzeit das Anwenden von Sensitivitätskennzeichnungen aus Microsoft Purview Information Protection für die folgenden Dateitypen:

  • Word: docm, docx, dotm, dotx
  • Excel: xlam, xlsm, xlsx, xltx
  • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • PDF

Hinweis

  • Für PDF müssen Sie einheitliche Bezeichnungen verwenden.
  • Es ist nicht möglich, Dateien zu überschreiben, die bereits über eine vorhandene Bezeichnung mit der Option "Schützen" in Sitzungsrichtlinien verfügen.

Schützen von Hochladens vertraulicher Dateien

Wenn Dateiupload steuern (mit Inspektion) als Sitzungssteuerungstyp in der Defender for Cloud Apps-Sitzungsrichtlinie festgelegt ist, verhindert die App-Steuerung für bedingten Zugriff entsprechend den Dateifiltern der Richtlinie, dass ein Benutzer eine Datei hochlädt. Wenn ein Upload-Ereignis erkannt wird, greift die App-Steuerung für bedingten Zugriff in Echtzeit ein, um festzustellen, ob die Datei vertraulich ist und Schutz benötigt. Wenn die Datei vertrauliche Daten enthält und keine richtige Bezeichnung aufweist, wird der Dateiupload blockiert.

Sie können z. B. eine Richtlinie erstellen, die den Inhalt einer Datei durchsucht, um festzustellen, ob sie eine Übereinstimmung mit vertraulichen Inhalten enthält, z. B. eine Sozialversicherungsnummer. Wenn sie vertrauliche Inhalte enthält und nicht mit einer vertraulichen Bezeichnung von Microsoft Purview Information Protection bezeichnet wird, wird der Dateiupload blockiert. Wenn die Datei blockiert ist, können Sie den Benutzern eine benutzerdefinierte Meldung anzeigen, die sie anweist, wie die Datei zu bezeichnen ist, um sie hochzuladen. Dadurch stellen Sie sicher, dass Dateien, die in Ihren Cloud-Apps gespeichert sind, Ihren Richtlinien entsprechen.

Blockieren von Schadsoftware beim Hochladen

Wenn Kontrolle von Dateiupload (mit Inspektion) als Sitzungssteuerungstyp festgelegt ist und Erkennung von Schadsoftware als Inspektionsmethode in der Sitzungsrichtlinie für Defender for Cloud Apps festgelegt ist, hindert die App-Steuerung für bedingten Zugriff einen Benutzer daran, eine Datei in Echtzeit hochzuladen, wenn Schadsoftware erkannt wird. Dateien werden mithilfe des Microsoft Threat Intelligence-Moduls gescannt.

Sie können die Dateien anzeigen, die als potenzielle Schadsoftware gekennzeichnet sind, indem Sie den Filter Potenzielle Schadsoftware erkannt im Aktivitätsprotokoll verwenden.

Sie können auch Sitzungsrichtlinien so konfigurieren, dass Schadsoftware beim Download blockiert wird.

Benutzern im Schutz vertraulicher Dateien schulen

Es ist wichtig, die Benutzer zu informieren, wenn sie gegen eine Richtlinie verstoßen, damit sie erfahren, wie sie Ihre Organisationsrichtlinien einhalten können.

Da jedes Unternehmen über eigene Anforderungen und Richtlinien verfügt, können Sie mit Defender for Cloud Apps die Filter einer Richtlinie und die Meldung anpassen, die dem Benutzer angezeigt wird, wenn eine Verletzung erkannt wird.

Sie können Ihren Benutzern spezifische Anleitungen geben, z. B. Anweisungen zum ordnungsgemäßen Bezeichnen einer Datei oder zum Registrieren eines nicht verwalteten Geräts, um sicherzustellen, dass Dateien erfolgreich hochgeladen werden.

Wenn ein Benutzer beispielsweise eine Datei ohne Vertraulichkeitsbezeichnung hochlädt, kann eine Meldung angezeigt werden, in der erläutert wird, dass die Datei vertrauliche Inhalte enthält, für die eine entsprechende Bezeichnung erforderlich ist. Wenn ein Benutzer versucht, ein Dokument von einem nicht verwalteten Gerät hochzuladen, kann eine Meldung mit Anweisungen zum Registrieren dieses Geräts oder eine angezeigt werden, die nähere Erläuterungen dazu enthält, warum das Gerät registriert werden muss.

Konflikte zwischen Richtlinien

Wenn es einen Konflikt zwischen zwei Richtlinien gibt, gewinnt die restriktivere Richtlinie. Beispiel:

  • Wenn eine Benutzersitzung auf eine Richtlinie zum Blockieren des Downloads und auf eine Bezeichnung nach dem Herunterladen festgelegt ist, wird die Dateidownloadaktion blockiert.

  • Wenn eine Benutzersitzung auf eine Richtlinie zum Blockieren des Downloads und auf eine Richtlinie zum Überwachen des Herunterladend festgelegt ist, wird die Dateidownloadaktion blockiert.

Nächste Schritte

Weitere Informationen finden Sie unter

« ZURÜCK: Onboarding und Bereitstellen der App-Steuerung für bedingten Zugriff für jede App »

WEITER: Erstellen einer Zugriffsrichtlinie »

Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.