Sessiebeleid

Microsoft Defender voor Cloud Apps-sessiebeleid biedt gedetailleerde zichtbaarheid in cloud-apps met realtime bewaking op sessieniveau. Gebruik sessiebeleid om verschillende acties uit te voeren, afhankelijk van het beleid dat u voor een gebruikerssessie hebt ingesteld.

In plaats van de toegang volledig toe te staan of te blokkeren, gebruikt u beleid voor sessiebeheer om toegang toe te staan tijdens het bewaken van de sessie. U kunt ook specifieke sessieactiviteiten beperken met behulp van de reverse proxy-ondersteuning van app-beheer voor voorwaardelijke toegang.

U kunt bijvoorbeeld besluiten dat u gebruikers toegang wilt geven tot een app vanaf onbeheerde apparaten of van sessies die afkomstig zijn van specifieke locaties. U wilt echter het downloaden van gevoelige bestanden beperken of vereisen dat specifieke documenten worden beveiligd bij het downloaden.

Met sessiebeleid kunt u besturingselementen voor gebruikerssessies instellen, toegang configureren en meer:

• Alle activiteiten bewaken
• Alle downloads blokkeren
• Specifieke activiteiten blokkeren
• Stapsgewijze verificatie vereisen (verificatiecontext)
• Bestanden beveiligen bij downloaden
• Uploads van gevoelige bestanden beveiligen
• Malware blokkeren bij uploaden
• Gebruikers informeren over het beveiligen van gevoelige bestanden

Notitie

• Er is geen limiet voor het aantal beleidsregels dat kan worden toegepast.
• Er is geen verbinding tussen een beleid dat u maakt voor een host-app en eventuele gerelateerde resource-apps. Sessiebeleid dat u maakt voor Teams, Exchange of Gmail, is bijvoorbeeld niet verbonden met Sharepoint, OneDrive of Google Drive. Als u naast de host-app een beleid voor de resource-app nodig hebt, maakt u een afzonderlijk beleid.

Vereisten voor het gebruik van sessiebeleid

Voordat u begint, moet u ervoor zorgen dat u aan de volgende vereisten voldoet:

• Een Defender voor Cloud Apps-licentie (zelfstandig of een deel van een andere licentie)

• Een licentie voor Microsoft Entra ID P1 (als een zelfstandige licentie of als een E5-licentie) of de licentie die is vereist voor uw id-provideroplossing (IdP)

• De relevante apps moeten worden geïmplementeerd met app-beheer voor voorwaardelijke toegang

• Zorg ervoor dat u uw IdP-oplossing als volgt hebt geconfigureerd voor gebruik met Defender voor Cloud Apps:

  • Zie Integratie met Microsoft Entra-id configureren voor voorwaardelijke toegang van Microsoft Entra
  • Zie Integratie met andere IdP-oplossingen configureren voor andere IdP-oplossingen

Een sessiebeleid voor Defender voor Cloud Apps maken

Gebruik de volgende stappen om een nieuw sessiebeleid te maken:

1. Ga in de Microsoft Defender-portal onder Cloud-apps naar Beleid -> Beleidsbeheer. Selecteer vervolgens het tabblad Voorwaardelijke toegang .

2. Selecteer Beleid maken en selecteer Sessiebeleid. Voorbeeld:

   

3. Wijs in het venster Sessiebeleid een naam toe voor uw beleid, zoals Downloaden van gevoelige documenten blokkeren in Box for Marketing Users.

4. Selecteer in het veld Type sessiebeheer:

   • Selecteer Alleen bewaken als u alleen activiteiten van gebruikers wilt bewaken. Met deze selectie maakt u alleen beleid voor de apps die u hebt geselecteerd, zijn alle aanmeldingen.

   • Selecteer Downloaden van besturingselementbestand (met inspectie) als u gebruikersactiviteiten wilt bewaken. U kunt meer acties uitvoeren, zoals downloads blokkeren of beveiligen voor gebruikers.

   • Selecteer Activiteiten blokkeren om specifieke activiteiten te blokkeren, die u kunt selecteren met het filter Activiteitstype . Alle activiteiten van geselecteerde apps worden bewaakt (en gerapporteerd in het activiteitenlogboek). De specifieke activiteiten die u selecteert, worden geblokkeerd als u de actie Blokkeren selecteert. De specifieke activiteiten die u selecteert, genereren waarschuwingen als u de actie Controle selecteert en waarschuwingen zijn ingeschakeld.

5. Selecteer onder Activiteitsbron in de sectie Activiteiten die overeenkomen met alle volgende secties meer activiteitsfilters om toe te passen op het beleid. Deze filters kunnen de volgende opties bevatten:

   • Apparaattags: Gebruik dit filter om onbeheerde apparaten te identificeren.

   • Locatie: Gebruik dit filter om onbekende (en daarom riskante) locaties te identificeren.

   • IP-adres: gebruik dit filter om te filteren op IP-adressen of om eerder toegewezen IP-adrestags te gebruiken.

   • Gebruikersagenttag: Gebruik dit filter om de heuristiek in te schakelen voor het identificeren van mobiele apps en desktop-apps. Dit filter kan worden ingesteld op gelijk aan of is niet gelijk aan systeemeigen client. Dit filter moet worden getest op uw mobiele en desktop-apps voor elke cloud-app.

   • Activiteitstype: Gebruik dit filter om specifieke activiteiten te selecteren die moeten worden beheerd, zoals:

     • Afdrukken

     • Klembordacties: Kopiëren, Knippen en Plakken

     • Items verzenden in apps zoals Teams, Slack en Salesforce

     • Items delen en het delen van items in verschillende apps ongedaan maken

     • Items in verschillende apps bewerken

     Gebruik bijvoorbeeld een activiteit items verzenden in uw voorwaarden om te voorkomen dat een gebruiker informatie probeert te verzenden in een Teams-chat- of Slack-kanaal en het bericht blokkeert als het gevoelige informatie bevat, zoals een wachtwoord of andere referenties.

   Notitie

   Sessiebeleid biedt geen ondersteuning voor mobiele apps en desktop-apps. Mobiele apps en desktop-apps kunnen ook worden geblokkeerd of toegestaan door een toegangsbeleid te maken.

6. Als u de optie voor downloaden van het besturingselementbestand hebt geselecteerd (met inspectie):

   • Selecteer onder Activiteitsbron in de sectie Bestanden die overeenkomen met alle volgende secties meer bestandsfilters die u op het beleid wilt toepassen. Deze filters kunnen de volgende opties bevatten:

     • Vertrouwelijkheidslabel: gebruik dit filter als uw organisatie gebruikmaakt van Microsoft Purview Informatiebeveiliging en uw gegevens zijn beveiligd door de vertrouwelijkheidslabels. U kunt bestanden filteren op basis van het vertrouwelijkheidslabel dat u erop hebt toegepast. Zie Microsoft Purview Informatiebeveiliging integratie voor meer informatie over integratie met Microsoft Purview Informatiebeveiliging.

     • Bestandsnaam: gebruik dit filter om het beleid toe te passen op specifieke bestanden.

     • Bestandstype: gebruik dit filter om het beleid toe te passen op specifieke bestandstypen, bijvoorbeeld downloaden blokkeren voor alle .xls bestanden.

   • Stel in de sectie Inhoudsinspectie in of u de DLP-engine wilt inschakelen om documenten en bestandsinhoud te scannen.

   • Selecteer onder Acties een van de volgende items:

     • Controleren (alle activiteiten bewaken): stel deze actie in om downloaden expliciet toe te staan op basis van de beleidsfilters die u hebt ingesteld.
     • Blokkeren (Downloaden van bestanden blokkeren en alle activiteiten bewaken): stel deze actie in om downloaden expliciet te blokkeren volgens de beleidsfilters die u hebt ingesteld. Zie Hoe blokkeren downloaden werkt voor meer informatie.
     • Beveiligen (vertrouwelijkheidslabel toepassen om alle activiteiten te downloaden en bewaken): deze optie is alleen beschikbaar als u het downloaden van besturingsbestanden (met inspectie) hebt geselecteerd onder Sessiebeleid. Als uw organisatie Microsoft Purview Informatiebeveiliging gebruikt, kunt u een actie instellen om een vertrouwelijkheidslabel in Microsoft Purview Informatiebeveiliging toe te passen op het bestand. Zie Hoe beveiligen het downloaden werkt voor meer informatie.

7. Als u de waarschuwing als een e-mailbericht wilt laten verzenden, selecteert u Een waarschuwing maken voor elke overeenkomende gebeurtenis met de ernst van het beleid en stelt u een waarschuwingslimiet in.

8. Gebruikers waarschuwen: wanneer u een sessiebeleid maakt, wordt elke gebruikerssessie die overeenkomt met het beleid omgeleid naar sessiebeheer in plaats van rechtstreeks naar de app.

   De gebruiker ziet een bewakingsmelding om hen te laten weten dat hun sessies worden bewaakt. Als u de gebruiker niet op de hoogte wilt stellen dat deze wordt bewaakt, kunt u het meldingsbericht uitschakelen.

   1. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps.

   2. Selecteer vervolgens onder App-beheer voor voorwaardelijke toegang gebruikersbewaking en schakel het selectievakje Gebruikers waarschuwen uit.

9. Logboeken bewaken: Om de gebruiker binnen de sessie te houden, vervangt App Control voor voorwaardelijke toegang alle relevante URL's, Java-scripts en cookies in de app-sessie door Microsoft Defender voor Cloud Apps-URL's. Als de app bijvoorbeeld een pagina retourneert met koppelingen waarvan de domeinen eindigen op myapp.com, vervangt App Control voor voorwaardelijke toegang de koppelingen door domeinen die eindigen op iets als myapp.com.mcas.ms. Op deze manier bewaakt Defender voor Cloud Apps de hele sessie.

Clouddetectielogboeken exporteren

App-beheer voor voorwaardelijke toegang registreert de verkeerslogboeken van elke gebruikerssessie die er doorheen wordt gerouteerd. De verkeerslogboeken bevatten de tijd, IP, gebruikersagent, BEZOCHTE URL's en het aantal geüploade en gedownloade bytes. Deze logboeken worden geanalyseerd en een doorlopend rapport, Defender voor Cloud App-beheer voor voorwaardelijke toegang voor apps, wordt toegevoegd aan de lijst met Cloud Discovery-rapporten in het Cloud Discovery-dashboard.

Cloud Discovery-logboeken exporteren vanuit het Cloud Discovery-dashboard:

1. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps. Selecteer onder Verbinding maken apps app-beheer voor voorwaardelijke toegang.

2. Selecteer boven de tabel de knop Exporteren. Voorbeeld:

   

3. Selecteer het bereik van het rapport en selecteer Exporteren. Dit proces kan enige tijd duren.

4. Als u het geëxporteerde logboek wilt downloaden nadat het rapport gereed is, gaat u in de Microsoft Defender-portal naar Rapporten ->Cloud-apps en vervolgens geëxporteerde rapporten.

5. Selecteer in de tabel het relevante rapport in de lijst met verkeerslogboeken voor app-beheer voor voorwaardelijke toegang en selecteer Downloaden. Voorbeeld:

   

Alles bewaken

Alleen activiteiten bewaken bewaakt alleen de aanmeldingsactiviteit en er worden geen waarschuwingen verzonden. 

Als u andere activiteiten wilt bewaken, selecteert u de controleactie . In dat geval worden waarschuwingen verzonden in overeenstemming met uw beleid. De activiteiten in de controleactie worden bewaakt en geregistreerd, ongeacht of het beleid overeenkomt of niet. 

Notitie

Als u andere activiteiten wilt bewaken naast downloads en uploads, moet er ten minste één blok per activiteitsbeleid in uw monitorbeleid staan.

Alle downloads blokkeren

Wanneer Blokkeren is ingesteld als de actie die u wilt uitvoeren in het sessiebeleid voor Defender voor Cloud Apps, voorkomt u dat een gebruiker een bestand downloadt volgens de bestandsfilters van het beleid. Defender voor Cloud Apps herkent een download gebeurtenis voor elke app wanneer een gebruiker een download start. App-beheer voor voorwaardelijke toegang grijpt in realtime in om te voorkomen dat het wordt uitgevoerd. Wanneer het signaal wordt ontvangen dat een gebruiker een download heeft gestart, retourneert App Control voor voorwaardelijke toegang een bericht met beperkte download voor de gebruiker en vervangt het gedownloade bestand door een tekstbestand. Het bericht van het tekstbestand aan de gebruiker kan worden geconfigureerd en aangepast vanuit het sessiebeleid.

Stapsgewijze verificatie vereisen (verificatiecontext)

Wanneer het type sessiebeheer is ingesteld op Activiteiten blokkeren, downloaden van besturingsbestanden (met inspectie), uploaden van besturingsbestanden (met inspectie) kunt u een actievan stapsgewijze verificatie vereisen selecteren. Wanneer deze actie is geselecteerd, stuurt Defender voor Cloud Apps de sessie om naar voorwaardelijke toegang van Microsoft Entra voor beleidsherwaardering wanneer de geselecteerde activiteit plaatsvindt. Op basis van de geconfigureerde verificatiecontext in Microsoft Entra ID kunnen claims zoals meervoudige verificatie en apparaatcompatibiliteit tijdens een sessie worden gecontroleerd.

Specifieke activiteiten blokkeren

Wanneer Activiteiten blokkeren is ingesteld als het activiteitstype, kunt u specifieke activiteiten selecteren die u wilt blokkeren in specifieke apps. Alle activiteiten van geselecteerde apps worden bewaakt en gerapporteerd in het activiteitenlogboek. De specifieke activiteiten die u selecteert, worden geblokkeerd als u de actie Blokkeren selecteert. De specifieke activiteiten die u hebt geselecteerd, genereren waarschuwingen als u de actie Controle selecteert en waarschuwingen hebt ingeschakeld.

Voorbeelden van geblokkeerde activiteiten zijn:

• Teams-bericht verzenden: hiermee kunt u berichten blokkeren die vanuit Microsoft Teams worden verzonden of Teams-berichten met specifieke inhoud blokkeren
• Afdrukken: Hiermee kunt u afdrukacties blokkeren
• Kopiëren: Hiermee kunt u kopiëren naar klembordacties blokkeren of alleen kopiëren blokkeren voor specifieke inhoud

Blokkeer specifieke activiteiten en pas deze toe op specifieke groepen om een uitgebreide modus voor alleen-lezen te maken voor uw organisatie.

Bestanden beveiligen bij downloaden

Selecteer Activiteiten blokkeren om specifieke activiteiten te blokkeren, die u kunt vinden met behulp van het filter Activiteitstype . Alle activiteiten van geselecteerde apps worden bewaakt (en gerapporteerd in het activiteitenlogboek). De specifieke activiteiten die u selecteert, worden geblokkeerd als u de actie Blokkeren selecteert. De specifieke activiteiten die u hebt geselecteerd, genereren waarschuwingen als u de actie Controle selecteert en waarschuwingen hebt ingeschakeld.

Wanneer Beveiligen is ingesteld als de actie die moet worden uitgevoerd in het sessiebeleid voor Defender voor Cloud Apps, dwingt App Control voor voorwaardelijke toegang het labelen en de daaropvolgende beveiliging van een bestand af volgens de bestandsfilters van het beleid. Labels worden geconfigureerd in de Microsoft Purview-nalevingsportal en het label moet worden geconfigureerd om versleuteling toe te passen zodat deze wordt weergegeven als een optie in het beleid Defender voor Cloud Apps.

Wanneer u een specifiek label hebt geselecteerd en een gebruiker een bestand downloadt dat voldoet aan de beleidscriteria, worden het label en de bijbehorende beveiligingen en machtigingen toegepast op het bestand.

Het oorspronkelijke bestand blijft ongewijzigd in de cloud-app terwijl het gedownloade bestand nu is beveiligd. Gebruikers die toegang proberen te krijgen tot het bestand, moeten voldoen aan de machtigingsvereisten die zijn bepaald door de toegepaste beveiliging.

Defender voor Cloud Apps ondersteunt momenteel het toepassen van vertrouwelijkheidslabels van Microsoft Purview Informatiebeveiliging voor de volgende bestandstypen:

• Word: docm, docx, dotm, dotx
• Excel: xlam, xlsm, xlsx, xltx
• PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
• PDF

Notitie

• Voor PDF moet u geïntegreerde labels gebruiken.
• Het is niet mogelijk om bestanden te overschrijven die al een bestaand label hebben met de optie Beveiligen in sessiebeleid.

Uploads van gevoelige bestanden beveiligen

Wanneer het uploaden van het besturingselementbestand (met inspectie) is ingesteld als het type Sessiebeheer van het Defender voor Cloud Apps-sessiebeleid, voorkomt app-beheer voor voorwaardelijke toegang dat een gebruiker een bestand uploadt volgens de bestandsfilters van het beleid. Wanneer een upload-gebeurtenis wordt herkend, treedt app-beheer voor voorwaardelijke toegang in realtime in om te bepalen of het bestand gevoelig is en beveiliging nodig heeft. Als het bestand gevoelige gegevens bevat en geen geschikt label heeft, wordt het uploaden van het bestand geblokkeerd.

U kunt bijvoorbeeld een beleid maken waarmee de inhoud van een bestand wordt gescand om te bepalen of het een overeenkomst met gevoelige inhoud bevat, zoals een burgerservicenummer. Als het gevoelige inhoud bevat en niet is gelabeld met een Microsoft Purview Informatiebeveiliging vertrouwelijk label, wordt het uploaden van bestanden geblokkeerd. Wanneer het bestand is geblokkeerd, kunt u een aangepast bericht weergeven aan de gebruiker waarin wordt uitgelegd hoe het bestand moet worden gelabeld om het te uploaden. Door dit te doen, zorgt u ervoor dat bestanden die zijn opgeslagen in uw cloud-apps voldoen aan uw beleid.

Malware blokkeren bij uploaden

Wanneer uploaden van besturingsbestanden (met inspectie) is ingesteld als sessiebeheertype en malwaredetectie is ingesteld als de inspectiemethode in het sessiebeleid van Defender voor Cloud Apps, voorkomt app-beheer voor voorwaardelijke toegang dat een gebruiker een bestand in realtime uploadt als er malware wordt gedetecteerd. Bestanden worden gescand met behulp van de Engine voor bedreigingsinformatie van Microsoft.

U kunt de bestanden weergeven die zijn gemarkeerd als mogelijke malware met behulp van het filter Potential Malware Detected in het activiteitenlogboek.

U kunt ook sessiebeleid configureren om malware bij het downloaden te blokkeren.

Gebruikers informeren over het beveiligen van gevoelige bestanden

Het is belangrijk om gebruikers te informeren wanneer ze in strijd zijn met een beleid, zodat ze leren hoe ze voldoen aan uw organisatiebeleid.

Aangezien elke onderneming unieke behoeften en beleidsregels heeft, kunt u met Defender voor Cloud Apps de filters van een beleid aanpassen en het bericht dat wordt weergegeven aan de gebruiker wanneer een schending wordt gedetecteerd.

U kunt specifieke richtlijnen geven aan uw gebruikers, zoals het verstrekken van instructies voor het op de juiste wijze labelen van een bestand of het inschrijven van een niet-beheerd apparaat om ervoor te zorgen dat bestanden met succes worden geüpload.

Als een gebruiker bijvoorbeeld een bestand uploadt zonder vertrouwelijkheidslabel, kan een bericht worden weergegeven waarin wordt uitgelegd dat het bestand gevoelige inhoud bevat waarvoor een geschikt label is vereist. Als een gebruiker probeert een document te uploaden vanaf een niet-beheerd apparaat, kan een bericht worden weergegeven met instructies voor het inschrijven van dat apparaat of een bericht dat meer uitleg biedt over waarom het apparaat moet worden ingeschreven.

Conflicten tussen beleidsregels

Wanneer er een conflict is tussen twee beleidsregels, wint het meer beperkende beleid. Voorbeeld:

• Als een gebruikerssessie is gericht op een downloadbeleid blokkeren en een label bij het downloaden van beleid, wordt de actie voor het downloaden van bestanden geblokkeerd.

• Als een gebruikerssessie is gericht op een downloadbeleid blokkeren en naar een controledownloadbeleid , wordt de actie voor het downloaden van bestanden geblokkeerd.

Volgende stappen

Zie voor meer informatie:

• Webinar voor app-beheer voor voorwaardelijke toegang (video).
• Problemen met toegangs- en sessiebesturingselementen oplossen
• Downloads blokkeren op niet-beheerde apparaten met app-beheer voor voorwaardelijke toegang van Microsoft Entra

« VORIGE: App-beheer voor voorwaardelijke toegang onboarden en implementeren voor elke app »

VOLGENDE: Een toegangsbeleid maken »

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.