Sessiebeleid voor Microsoft Defender voor Cloud Apps maken
Microsoft Defender voor Cloud Apps-sessiebeleid biedt gedetailleerde zichtbaarheid in cloud-apps met realtime bewaking op sessieniveau. Gebruik sessiebeleid om verschillende acties uit te voeren, afhankelijk van het beleid dat u voor een gebruikerssessie hebt ingesteld.
In tegenstelling tot toegangsbeleid, waardoor toegang volledig wordt toegestaan of geblokkeerd, staat sessiebeleid toegang toe tijdens het bewaken van de sessie. Voeg app-beheer voor voorwaardelijke toegang toe aan uw sessiebeleid om specifieke sessieactiviteiten te beperken.
U kunt bijvoorbeeld toestaan dat gebruikers toegang hebben tot een app vanaf niet-beheerde apparaten of vanaf specifieke locaties. U kunt echter het downloaden van gevoelige bestanden tijdens deze sessies beperken of vereisen dat specifieke documenten worden beveiligd tegen downloaden, uploaden of kopiëren wanneer u de app afsluit.
Beleid dat is gemaakt voor een host-app, is niet verbonden met gerelateerde resource-apps. Toegangsbeleid dat u maakt voor Teams, Exchange of Gmail, is bijvoorbeeld niet verbonden met SharePoint, OneDrive of Google Drive. Als u naast de host-app een beleid voor de resource-app nodig hebt, maakt u een afzonderlijk beleid.
Er is geen limiet voor het aantal beleidsregels dat kan worden toegepast.
Vereisten
Voordat u begint, moet u ervoor zorgen dat u aan de volgende vereisten voldoet:
Een Defender voor Cloud Apps-licentie, hetzij als een zelfstandige licentie of als onderdeel van een andere licentie
Een licentie voor Microsoft Entra ID P1, hetzij als zelfstandige licentie of als onderdeel van een andere licentie.
Als u een niet-Microsoft IdP gebruikt, is de licentie die is vereist voor uw id-provideroplossing (IdP).
De relevante apps die zijn geïmplementeerd voor app-beheer voor voorwaardelijke toegang. Microsoft Entra ID-apps worden automatisch onboarding uitgevoerd, terwijl niet-Microsoft IdP-apps handmatig moeten worden voorbereid.
Als u met een niet-Microsoft IdP werkt, moet u ervoor zorgen dat u uw IdP ook hebt geconfigureerd voor gebruik met Microsoft Defender voor Cloud Apps. Zie voor meer informatie:
Als u wilt dat uw sessiebeleid werkt, moet u ook beschikken over beleid voor voorwaardelijke toegang van Microsoft Entra ID, waarmee de machtigingen worden gemaakt om verkeer te beheren.
Voorbeeld: Beleid voor voorwaardelijke toegang voor Microsoft Entra ID maken voor gebruik met Defender voor Cloud-apps
Deze procedure bevat een voorbeeld op hoog niveau van het maken van beleid voor voorwaardelijke toegang voor gebruik met Defender voor Cloud Apps.
Selecteer nieuw beleid maken in voorwaardelijke toegang van Microsoft Entra ID.
Voer een betekenisvolle naam in voor uw beleid en selecteer vervolgens de koppeling onder Sessie om besturingselementen aan uw beleid toe te voegen.
Selecteer In het gebied Sessie de optie App-beheer voor voorwaardelijke toegang gebruiken.
Selecteer in het gebied Gebruikers dat u alle gebruikers of alleen specifieke gebruikers en groepen wilt opnemen.
Selecteer in de gebieden Voorwaarden en Client-apps de voorwaarden en client-apps die u wilt opnemen in uw beleid.
Sla het beleid op door alleen rapporten in te schakelen op Aan en selecteer vervolgens Maken.
Microsoft Entra ID ondersteunt zowel beleid op basis van browsers als niet-browserbeleid. U wordt aangeraden beide typen te maken voor een betere beveiligingsdekking.
Herhaal deze procedure om een beleid voor voorwaardelijke toegang op basis van niet-browser te maken. Schakel in het gebied Client-apps de optie Configureren in op Ja. Schakel vervolgens onder Clients voor moderne verificatie de optie Browser uit. Laat alle andere standaardselecties geselecteerd.
Zie beleid voor voorwaardelijke toegang en het maken van beleid voor voorwaardelijke toegang voor meer informatie.
Een sessiebeleid voor Defender voor Cloud Apps maken
In deze procedure wordt beschreven hoe u een nieuw sessiebeleid maakt in Defender voor Cloud Apps.
Selecteer in Microsoft Defender XDR het tabblad Beleid voor beleid voor cloud-apps > > voor beleid voor > voorwaardelijke toegang .
Selecteer Beleid voor sessiebeleid> maken. Voorbeeld:
Selecteer op de pagina Sessiebeleid maken eerst een sjabloon in de vervolgkeuzelijst Beleidssjabloon of door alle details handmatig in te voeren.
Voer de volgende basisinformatie voor uw beleid in. Als u een sjabloon gebruikt, wordt veel van de inhoud al voor u ingevuld.
Name Beschrijving Beleidsnaam Een betekenisvolle naam voor uw beleid, zoals Het downloaden van gevoelige documenten blokkeren in Box for Marketing Users Ernst van beleid Selecteer de ernst die u wilt toepassen op uw beleid. Categorie Selecteer de categorie die u wilt toepassen. Beschrijving Voer een optionele, zinvolle beschrijving in voor uw beleid om uw team te helpen het doel ervan te begrijpen. Type sessiebeheer Selecteer een van de volgende opties:
- Alleen bewaken. Alleen bewaakt gebruikersactiviteiten en maakt alleen beleid voor de apps die u selecteert.
- Activiteiten blokkeren. Hiermee blokkeert u specifieke activiteiten die zijn gedefinieerd door het filter Activiteitstype . Alle activiteiten van geselecteerde apps worden bewaakt en gerapporteerd in het activiteitenlogboek.
- Download van besturingsbestand (met inspectie). Bewaakt bestandsdownloads en kan worden gecombineerd met andere acties, zoals het blokkeren of beveiligen van downloads.
- Uploaden van bestanden beheren (met inspectie). Bewaakt bestandsuploads en kan worden gecombineerd met andere acties, zoals het blokkeren of beveiligen van uploads.
Zie Ondersteunde activiteiten voor sessiebeleid voor meer informatie.Selecteer in het gedeelte Activiteiten die overeenkomen met alle volgende gebieden extra activiteitsfilters die u wilt toepassen op het beleid. Filters bevatten de volgende opties:
Name Beschrijving Activiteitstype Selecteer het activiteitstype dat u wilt toepassen, zoals:
-Drukkerij
- Klembordacties zoals knippen, kopiëren, plakken
- Items verzenden, delen, delen, delen of bewerken in ondersteunde apps.
Gebruik bijvoorbeeld een activiteit items verzenden in uw voorwaarden om te voorkomen dat een gebruiker informatie probeert te verzenden in een Teams-chat- of Slack-kanaal en het bericht blokkeert als het gevoelige informatie bevat, zoals een wachtwoord of andere referenties.App Filters voor een specifieke app die moet worden opgenomen in het beleid. Selecteer apps door eerst te selecteren of ze geautomatiseerde Azure AD-onboarding gebruiken, voor Microsoft Entra ID-apps of handmatige onboarding, voor niet-Microsoft IdP-apps. Selecteer vervolgens de app die u wilt opnemen in uw filter in de lijst.
Als uw niet-Microsoft IdP-app ontbreekt in de lijst, controleert u of u de app volledig hebt voorbereid. Zie voor meer informatie:
- Onboarding van niet-Microsoft IdP-catalogus-apps voor app-beheer voor voorwaardelijke toegang.
- Aangepaste apps van niet-Microsoft IdP onboarden voor app-beheer voor voorwaardelijke toegang
Als u ervoor kiest om het app-filter niet te gebruiken, is het beleid van toepassing op alle toepassingen die zijn gemarkeerd als Ingeschakeld op de pagina Apps > voor app-beheer van app-beheer voor voorwaardelijke toegang voor cloud-apps > in Cloud Apps>.
Opmerking: er is mogelijk sprake van overlapping tussen apps die onboarding hebben en apps waarvoor handmatige onboarding nodig is. In het geval van een conflict in uw filter tussen de apps hebben handmatig ge onboardde apps voorrang.Apparaat Filter op apparaattags, zoals voor een specifieke apparaatbeheermethode of apparaattypen, zoals pc, mobiel of tablet. IP-adres Filter per IP-adres of gebruik eerder toegewezen IP-adrestags. Location Filteren op geografische locatie. Het ontbreken van een duidelijk gedefinieerde locatie kan riskante activiteiten identificeren. Geregistreerde internetprovider Filter op activiteiten die afkomstig zijn van een specifieke internetprovider. Gebruiker Filter op een specifieke gebruiker of groep gebruikers. Tekenreeks voor gebruikersagent Filter op een specifieke tekenreeks van de gebruikersagent. Gebruikersagenttag Filter op tags van gebruikersagenten, zoals voor verouderde browsers of besturingssystemen. Voorbeeld:
Selecteer Bewerken en voorbeeldresultaten om een voorbeeld te krijgen van de typen activiteiten die met uw huidige selectie worden geretourneerd.
Configureer extra opties die beschikbaar zijn voor specifieke typen sessiebeheer.
Als u bijvoorbeeld Activiteiten blokkeren hebt geselecteerd, selecteert u Inhoudsinspectie gebruiken om de inhoud van de activiteit te controleren en configureert u de instellingen indien nodig. In dit geval wilt u mogelijk controleren op tekst die specifieke expressies bevat, zoals een burgerservicenummer.
Als u het downloaden van besturingsbestanden (met inspectie) of het uploaden van besturingsbestanden (met inspectie) hebt geselecteerd, configureert u de bestanden die overeenkomen met alle volgende instellingen.
Configureer een van de volgende bestandsfilters:
Name Beschrijving Vertrouwelijkheidslabel Filter op Microsoft Purview Informatiebeveiliging vertrouwelijkheidslabels als u ook Microsoft Purview gebruikt en uw gegevens worden beveiligd door de vertrouwelijkheidslabels. Bestandsnaam Filter op specifieke bestanden. Extensie Filter op specifieke bestandstypen, bijvoorbeeld het blokkeren van downloaden voor alle .xls bestanden. Bestandsgrootte (MB) Filter op specifieke bestandsgrootten, zoals grote of kleine bestanden. In het gebied Toepassen op (preview):
- Selecteer of u het beleid alleen wilt toepassen op alle bestanden of bestanden in opgegeven mappen
- Selecteer een inspectiemethode die u wilt gebruiken, zoals services voor gegevensclassificatie of malware. Zie Microsoft Data Classification Services-integratie voor meer informatie.
- Configureer gedetailleerdere opties voor uw beleid, zoals scenario's op basis van elementen zoals vingerafdrukken of trainbare classificaties.
Selecteer een van de volgende opties in het gebied Acties :
Name Beschrijving Controleren Bewaakt alle activiteiten. Selecteer deze optie om downloaden expliciet toe te staan op basis van de beleidsfilters die u hebt ingesteld. Blokkade Hiermee blokkeert u het downloaden van bestanden en bewaakt u alle activiteiten. Selecteer deze optie om downloads expliciet te blokkeren op basis van de beleidsfilters die u hebt ingesteld.
Met beleid voor blokkeren kunt u gebruikers ook per e-mail op de hoogte stellen en het blokbericht aanpassen.Beschermen Hiermee past u een vertrouwelijkheidslabel toe op het downloaden en bewaakt u alle activiteiten. Alleen beschikbaar als u het downloaden van het besturingselementbestand (met inspectie) hebt geselecteerd.
Als u Microsoft Purview Informatiebeveiliging gebruikt, kunt u ook een vertrouwelijkheidslabel toepassen op overeenkomende bestanden, aangepaste machtigingen toepassen op de gebruiker die bestanden downloadt of het downloaden van specifieke bestanden blokkeren.
Als u een beleid voor voorwaardelijke toegang van Microsoft Entra ID hebt, kunt u er ook voor kiezen om stapsgewijze verificatie (preview) te vereisen.Selecteer desgewenst de geselecteerde actie Altijd toepassen, zelfs als de gegevens niet kunnen worden gescand als dat nodig is voor uw beleid.
Configureer in het gebied Waarschuwingen een van de volgende acties indien nodig:
- Een waarschuwing maken voor elke overeenkomende gebeurtenis met de ernst van het beleid
- Een waarschuwing verzenden als e-mail
- Dagelijkse waarschuwingslimiet per beleid
- Waarschuwingen verzenden naar Power Automate
Selecteer Maken als u klaar bent.
Uw beleid testen
Nadat u uw sessiebeleid hebt gemaakt, test u het door opnieuw te verifiëren bij elke app die is geconfigureerd in het beleid en het scenario te testen dat u in uw beleid hebt geconfigureerd.
U wordt aangeraden dat u:
- Meld u af bij alle bestaande sessies voordat u de verificatie bij uw apps opnieuw uitvoert.
- Meld u aan bij mobiele en desktop-apps vanaf beheerde en onbeheerde apparaten om ervoor te zorgen dat activiteiten volledig worden vastgelegd in het activiteitenlogboek.
Zorg ervoor dat u zich aanmeldt met een gebruiker die overeenkomt met uw beleid.
Uw beleid testen in uw app:
Controleer of het vergrendelingspictogram wordt weergegeven in uw browser of als u in een andere browser dan Microsoft Edge werkt, controleert u of de URL van uw app het
.mcas
achtervoegsel bevat. Zie In-browserbeveiliging met Microsoft Edge voor Bedrijven (preview) voor meer informatie.Ga naar alle pagina's in de app die deel uitmaken van het werkproces van een gebruiker en controleer of de pagina's correct worden weergegeven.
Controleer of het gedrag en de functionaliteit van de app niet nadelig worden beïnvloed door veelvoorkomende acties uit te voeren, zoals het downloaden en uploaden van bestanden.
Als u met aangepaste, niet-Microsoft IdP-apps werkt, controleert u elk van de domeinen die u handmatig hebt toegevoegd voor uw app.
Als u fouten of problemen ondervindt, gebruikt u de werkbalk Beheerder om resources te verzamelen, zoals .har
bestanden en opgenomen sessies voor het indienen van een ondersteuningsticket.
Controleren op updates in Microsoft Defender XDR:
Ga in de Microsoft Defender-portal onder Cloud Apps naar Beleid en selecteer Vervolgens Beleidsbeheer.
Selecteer het beleid dat u hebt gemaakt om het beleidsrapport weer te geven. Er moet binnenkort een overeenkomst met sessiebeleid worden weergegeven.
In het beleidsrapport ziet u welke aanmeldingen zijn omgeleid naar Microsoft Defender voor Cloud Apps voor sessiebeheer, evenals andere acties, zoals welke bestanden zijn gedownload of geblokkeerd voor de bewaakte sessies.
Instellingen voor gebruikersmeldingen uitschakelen
Standaard ontvangen gebruikers een melding wanneer hun sessies worden bewaakt. Als u liever wilt dat uw gebruikers geen melding krijgen of als u het meldingsbericht wilt aanpassen, configureert u instellingen voor meldingen.
Selecteer in Microsoft Defender XDR instellingen > voor > app-beheer voor voorwaardelijke toegang app-controle > voor app-beheer van gebruikers.
Maak een van de volgende selecties:
- Wis de optie Gebruikers waarschuwen dat hun activiteit helemaal wordt bewaakt
- Behoud de selectie en selecteer deze om het standaardbericht te gebruiken of om uw bericht aan te passen.
Selecteer de koppeling Voorbeeld om een voorbeeld van het geconfigureerde bericht in een nieuw browsertabblad weer te geven.
Clouddetectielogboeken exporteren
App-beheer voor voorwaardelijke toegang registreert de verkeerslogboeken van elke gebruikerssessie die er doorheen wordt gerouteerd. De verkeerslogboeken bevatten de tijd, IP, gebruikersagent, BEZOCHTE URL's en het aantal geüploade en gedownloade bytes. Deze logboeken worden geanalyseerd en een doorlopend rapport, Defender voor Cloud App-beheer voor voorwaardelijke toegang voor apps, wordt toegevoegd aan de lijst met clouddetectierapporten in het dashboard voor clouddetectie.
Cloud discovery-logboeken exporteren vanuit het clouddetectiedashboard:
Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps. Selecteer onder Verbonden apps app-beheer voor voorwaardelijke toegang.
Selecteer boven de tabel de knop Exporteren. Voorbeeld:
Selecteer het bereik van het rapport en selecteer Exporteren. Dit proces kan enige tijd duren.
Als u het geëxporteerde logboek wilt downloaden nadat het rapport gereed is, gaat u in de Microsoft Defender-portal naar Rapporten ->Cloud-apps en vervolgens geëxporteerde rapporten.
Selecteer in de tabel het relevante rapport in de lijst met verkeerslogboeken voor app-beheer voor voorwaardelijke toegang en selecteer Downloaden. Voorbeeld:
Ondersteunde activiteiten voor sessiebeleid
In de volgende secties vindt u meer informatie over elke activiteit die wordt ondersteund door Defender voor Cloud Apps-sessiebeleid.
Alleen bewaken
Het besturingselementtype Alleen sessiebeheer bewaken bewaakt alleen de aanmeldingsactiviteit.
Als u andere activiteiten wilt bewaken, selecteert u een van de andere typen sessiebeheer en gebruikt u de actie Controle.
Als u andere activiteiten dan downloads en uploads wilt bewaken, moet u ten minste één blok per activiteitsbeleid in uw monitorbeleid hebben.
Alle downloads blokkeren
Wanneer het downloaden van het besturingselementbestand (met inspectie) is ingesteld als sessiebeheertype en Blokkeren als actie wordt ingesteld, voorkomt u dat gebruikers een bestand downloaden volgens de beleidsbestandsfilters.
Wanneer een gebruiker een download initieert, wordt er een bericht met beperkte download voor de gebruiker weergegeven en wordt het gedownloade bestand vervangen door een tekstbestand. Configureer het bericht van het tekstbestand zo nodig voor de gebruiker voor uw organisatie.
Stapsgewijze verificatie vereisen
De actie Voor stapsgewijze verificatie vereisen is beschikbaar wanneer het sessiebeheertype is ingesteld op Activiteiten blokkeren, downloaden van besturingsbestanden (met inspectie) of Uploaden van besturingsbestanden (met inspectie).
Wanneer deze actie is geselecteerd, Defender voor Cloud Apps de sessie omleidt naar voorwaardelijke toegang van Microsoft Entra voor beleidsherwaardering wanneer de geselecteerde activiteit plaatsvindt.
Gebruik deze optie om claims zoals meervoudige verificatie en apparaatcompatibiliteit tijdens een sessie te controleren, op basis van de geconfigureerde verificatiecontext in Microsoft Entra-id.
Specifieke activiteiten blokkeren
Wanneer Activiteiten blokkeren is ingesteld als sessiebeheertype, selecteert u specifieke activiteiten die u wilt blokkeren in specifieke apps.
Alle activiteiten van geconfigureerde apps worden bewaakt en gerapporteerd in het activiteitenlogboek van cloud-apps.>
Als u specifieke activiteiten wilt blokkeren, selecteert u de actie Blokkeren en selecteert u de activiteiten die u wilt blokkeren.
Als u waarschuwingen voor specifieke activiteiten wilt genereren, selecteert u de controleactie en configureert u de instellingen voor waarschuwingen.
U wilt bijvoorbeeld de volgende activiteiten blokkeren:
Verzonden Teams-bericht. Voorkomen dat gebruikers berichten verzenden vanuit Microsoft Teams of Teams-berichten blokkeren die specifieke inhoud bevatten.
Afdrukken. Alle afdrukacties blokkeren.
Kopiëren. Blokkeer alle kopieeracties naar klembordacties of blokkeer alleen kopiëren voor specifieke inhoud.
Bestanden beveiligen bij downloaden
Selecteer het type sessiebeheer blokkeren om specifieke activiteiten te blokkeren, die u definieert met behulp van het filter Activiteitstype.
Alle activiteiten van geconfigureerde apps worden bewaakt en gerapporteerd in het activiteitenlogboek van cloud-apps.>
Selecteer de actie Blokkeren om specifieke activiteiten te blokkeren of selecteer de actie Controle en definieer waarschuwingsinstellingen om waarschuwingen voor specifieke activiteiten te genereren.
Selecteer de actie Beveiligen om bestanden te beveiligen met vertrouwelijkheidslabels en andere beveiligingen volgens de bestandsfilters van het beleid.
Vertrouwelijkheidslabels worden geconfigureerd in Microsoft Purview en moeten worden geconfigureerd om versleuteling toe te passen zodat deze worden weergegeven als een optie in het sessiebeleid van Defender voor Cloud Apps.
Wanneer u uw sessiebeleid hebt geconfigureerd met een specifiek label en de gebruiker een bestand downloadt dat voldoet aan de criteria van het beleid, worden het label en de bijbehorende beveiligingen en machtigingen toegepast op het bestand.
Het oorspronkelijke bestand blijft ongewijzigd in de cloud-app terwijl het gedownloade bestand is beveiligd. Gebruikers die toegang proberen te krijgen tot het gedownloade bestand, moeten voldoen aan de machtigingsvereisten die zijn bepaald door de toegepaste beveiliging.
Defender voor Cloud Apps ondersteunt momenteel het toepassen van vertrouwelijkheidslabels van Microsoft Purview Informatiebeveiliging voor de volgende bestandstypen:
- Word: docm, docx, dotm, dotx
- Excel: xlam, xlsm, xlsx, xltx
- PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
Notitie
PDF-bestanden moeten worden gelabeld met geïntegreerde labels.
De optie Beveiligen biedt geen ondersteuning voor het overschrijven van bestanden met een bestaand label in sessiebeleid.
Uploads van gevoelige bestanden beveiligen
Selecteer het sessiebeheertype Controlebestand uploaden (met inspectie) om te voorkomen dat een gebruiker een bestand uploadt volgens de bestandsfilters van het beleid.
Als het bestand dat wordt geüpload gevoelige gegevens bevat en niet het juiste label heeft, wordt het uploaden van het bestand geblokkeerd.
Maak bijvoorbeeld een beleid waarmee de inhoud van een bestand wordt gescand om te bepalen of het een gevoelige inhoudsovereenkomst bevat, zoals een burgerservicenummer. Als het gevoelige inhoud bevat en niet is gelabeld met een Microsoft Purview Informatiebeveiliging vertrouwelijk label, wordt het uploaden van bestanden geblokkeerd.
Tip
Configureer een aangepast bericht voor de gebruiker wanneer een bestand wordt geblokkeerd en geef aan hoe het bestand moet worden gelabeld om het te uploaden, zodat bestanden die zijn opgeslagen in uw cloud-apps, voldoen aan uw beleid.
Zie Gebruikers informeren over het beveiligen van gevoelige bestanden voor meer informatie.
Malware blokkeren bij uploaden of downloaden
Selecteer het uploaden van het besturingselementbestand (met inspectie) of het downloaden van besturingsbestanden (met inspectie) als het sessiebeheertype en malwaredetectie als inspectiemethode om te voorkomen dat een gebruiker een bestand met malware uploadt of downloadt. Bestanden worden gescand op malware met behulp van de Engine voor bedreigingsinformatie van Microsoft.
Bekijk alle bestanden die zijn gemarkeerd als mogelijke malware in het activiteitenlogboek van cloud-apps > door te filteren op mogelijke gedetecteerde malware-items. Zie Activiteitsfilters en -query's voor meer informatie.
Gebruikers informeren over het beveiligen van gevoelige bestanden
U wordt aangeraden gebruikers te informeren wanneer ze in strijd zijn met uw beleid, zodat ze leren voldoen aan de vereisten van uw organisatie.
Aangezien elke onderneming unieke behoeften en beleidsregels heeft, kunt u met Defender voor Cloud Apps de filters van een beleid aanpassen en het bericht dat wordt weergegeven aan de gebruiker wanneer een schending wordt gedetecteerd.
Geef specifieke richtlijnen aan uw gebruikers, zoals instructies voor het op de juiste wijze labelen van een bestand of het inschrijven van een niet-beheerd apparaat om ervoor te zorgen dat bestanden correct worden geüpload.
Als een gebruiker bijvoorbeeld een bestand uploadt zonder vertrouwelijkheidslabel, configureert u een bericht dat moet worden weergegeven, waarin wordt uitgelegd dat het bestand gevoelige inhoud bevat en een geschikt label vereist. Als een gebruiker probeert een document te uploaden vanaf een niet-beheerd apparaat, configureert u een bericht dat moet worden weergegeven met instructies voor het inschrijven van dat apparaat of een bericht dat meer uitleg biedt over waarom het apparaat moet worden ingeschreven.
Besturingselementen voor toegang in sessiebeleid
Veel organisaties die ervoor kiezen om sessiebesturingselementen te gebruiken voor cloud-apps om activiteiten in sessies te beheren, passen ook toegangsbeheer toe om dezelfde set ingebouwde mobiele en desktopclient-apps te blokkeren, waardoor uitgebreide beveiliging voor de apps wordt geboden.
Blokkeer de toegang tot ingebouwde mobiele en desktopclient-apps met toegangsbeleid door het filter client-app in te stellen op Mobiel en desktop. Sommige ingebouwde client-apps kunnen afzonderlijk worden herkend, terwijl andere apps die deel uitmaken van een suite met apps, alleen kunnen worden geïdentificeerd als hun app op het hoogste niveau. Apps zoals SharePoint Online kunnen bijvoorbeeld alleen worden herkend door een toegangsbeleid te maken dat is toegepast op Microsoft 365-apps.
Notitie
Tenzij het client-app-filter specifiek is ingesteld op Mobiel en desktop, is het resulterende toegangsbeleid alleen van toepassing op browsersessies. Dit is bedoeld om onbedoeld proxygebruikerssessies te voorkomen.
Hoewel de meeste belangrijke browsers ondersteuning bieden voor het uitvoeren van een controle van een clientcertificaat, maken sommige mobiele en desktop-apps gebruik van ingebouwde browsers die deze controle mogelijk niet ondersteunen. Daarom kan het gebruik van dit filter van invloed zijn op de verificatie voor deze apps.
Conflicten tussen beleidsregels
Wanneer er een conflict is tussen twee sessiebeleidsregels, wint het meer beperkende beleid.
Voorbeeld:
- Als een gebruikerssessie overeenkomt met beide beleidsregels waarbij downloads worden geblokkeerd
- En een beleid waarbij bestanden worden gelabeld bij het downloaden of waar downloads worden gecontroleerd,
- De optie voor het downloaden van bestanden wordt geblokkeerd om te voldoen aan het meer beperkende beleid.
Gerelateerde inhoud
Zie voor meer informatie:
- Problemen met toegangs- en sessiebesturingselementen oplossen
- Zelfstudie: Downloaden van gevoelige informatie blokkeren met app-beheer voor voorwaardelijke toegang
- Downloads op niet-beheerde apparaten blokkeren met sessiebesturingselementen
- Webinar app-beheer voor voorwaardelijke toegang
Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.