Dela via

Skapa sessionsprinciper för Microsoft Defender för Cloud Apps

  • Artikel

Microsoft Defender för Cloud Apps-sessionsprinciper ger detaljerad insyn i molnappar med övervakning på sessionsnivå i realtid. Använd sessionsprinciper för att vidta olika åtgärder, beroende på vilken princip du har angett för en användarsession.

Till skillnad från åtkomstprinciper, som tillåter eller blockerar åtkomst helt, tillåter sessionsprinciper åtkomst under övervakning av sessionen. Lägg till appkontroll för villkorsstyrd åtkomst i dina sessionsprinciper för att begränsa specifika sessionsaktiviteter.

Du kanske till exempel vill tillåta användare att komma åt en app från ohanterade enheter eller från specifika platser. Du kanske dock vill begränsa nedladdningen av känsliga filer under dessa sessioner eller kräva att specifika dokument skyddas från nedladdning, uppladdning eller kopiering när appen avslutas.

Principer som skapats för en värdapp är inte anslutna till några relaterade resursappar. Åtkomstprinciper som du skapar för Teams, Exchange eller Gmail är till exempel inte anslutna till SharePoint, OneDrive eller Google Drive. Om du behöver en princip för resursappen utöver värdappen skapar du en separat princip.

Det finns ingen gräns för hur många principer som kan tillämpas.

Förutsättningar

Kontrollera att du har följande förutsättningar innan du börjar:

För att din åtkomstprincip ska fungera måste du också ha en princip för villkorsstyrd åtkomst för Microsoft Entra-ID som skapar behörigheter för att styra trafiken.

Exempel: Skapa principer för villkorsstyrd åtkomst för Microsoft Entra-ID för användning med Defender för Cloud Apps

Den här proceduren innehåller ett exempel på hur du skapar en princip för villkorsstyrd åtkomst för användning med Defender för Cloud Apps.

  1. I Villkorsstyrd åtkomst för Microsoft Entra ID väljer du Skapa ny princip.

  2. Ange ett beskrivande namn för principen och välj sedan länken under Session för att lägga till kontroller i principen.

  3. I området Session väljer du Använd appkontroll för villkorsstyrd åtkomst.

  4. I området Användare väljer du att endast inkludera alla användare eller specifika användare och grupper.

  5. I apparna Villkor och Klient väljer du de villkor och klientappar som du vill inkludera i din princip.

  6. Spara principen genom att växla Endast rapport till och sedan välja Skapa.

Microsoft Entra-ID stöder både webbläsarbaserade och icke-webbläsarbaserade principer. Vi rekommenderar att du skapar båda typerna för ökad säkerhetstäckning.

Upprepa den här proceduren för att skapa en icke-inväxlarbaserad princip för villkorsstyrd åtkomst. I området Klientappar växlar du alternativet Konfigurera till Ja. Under Moderna autentiseringsklienter avmarkerar du sedan alternativet Webbläsare. Låt alla andra standardval vara markerade.

Mer information finns i Principer för villkorsstyrd åtkomst och Skapa en princip för villkorsstyrd åtkomst.

Skapa en defender för Cloud Apps-sessionsprincip

Den här proceduren beskriver hur du skapar en ny sessionsprincip i Defender för Cloud Apps.

  1. I Microsoft Defender XDR väljer du fliken Principhantering av principhantering > för molnappar >> villkorsstyrd åtkomst.

  2. Välj Skapa princip>Sessionsprincip. Till exempel:

    Skärmbild av sidan Skapa en princip för villkorsstyrd åtkomst.

  3. På sidan Skapa sessionsprincip börjar du med att antingen välja en mall i listrutan Principmall eller genom att ange all information manuellt.

  4. Ange följande grundläggande information för principen. Om du använder en mall är mycket av innehållet redan fyllt i åt dig.

    Name beskrivning
    Principnamn Ett beskrivande namn på din princip, till exempel Blockera nedladdning av känsliga dokument i Box för marknadsföringsanvändare
    Allvarlighetsgrad för princip Välj den allvarlighetsgrad som du vill tillämpa på principen.
    Kategori Välj den kategori som du vill använda.
    Beskrivning Ange en valfri, meningsfull beskrivning för din princip som hjälper ditt team att förstå dess syfte.
    Typ av sessionskontroll Välj något av följande alternativ:

    - Övervaka endast. Övervakar endast användaraktivitet och skapar en princip för endast övervakare för de appar du väljer.
    - Blockera aktiviteter. Blockerar specifika aktiviteter som definieras av filtret Aktivitetstyp . Alla aktiviteter från valda appar övervakas och rapporteras i aktivitetsloggen.
    - Kontrollera filnedladdning (med kontroll). Övervakar filnedladdningar och kan kombineras med andra åtgärder, till exempel blockering eller skydd av nedladdningar.
    - Kontrollera filuppladdning (med kontroll). Övervakar filuppladdningar och kan kombineras med andra åtgärder, till exempel blockering eller skydd av uppladdningar.

    Mer information finns i Aktiviteter som stöds för sessionsprinciper.

  5. I området Aktiviteter som matchar hela följande område väljer du ytterligare aktivitetsfilter som ska tillämpas på principen. Filter innehåller följande alternativ:

    Name beskrivning
    Aktivitetstyp Välj den aktivitetstyp som du vill använda, till exempel:

    -Utskrift
    – Urklippsåtgärder som klippning, kopiering, klistra in
    – Skicka, dela, dela eller redigera objekt i appar som stöds.

    Använd till exempel en aktivitet för att skicka objekt i dina villkor för att fånga en användare som försöker skicka information i en Teams-chatt eller Slack-kanal och blockera meddelandet om det innehåller känslig information som ett lösenord eller andra autentiseringsuppgifter.
    App Filter för en specifik app som ska ingå i principen. Välj appar genom att först välja om de använder automatiserad Azure AD-registrering för Microsoft Entra-ID-appar eller manuell registrering för IdP-appar som inte kommer från Microsoft. Välj sedan den app som du vill inkludera i filtret i listan.

    Om din icke-Microsoft IdP-app saknas i listan kontrollerar du att du har registrerat den helt. För ytterligare information, se:
    - Registrera icke-Microsoft IdP-katalogappar för appkontroll för villkorsstyrd åtkomst.
    - Registrera anpassade appar som inte är från Microsoft IdP för appkontroll för villkorsstyrd åtkomst

    Om du väljer att inte använda appfiltret gäller principen för alla program som har markerats som Aktiveradesidan Inställningar > Cloud Apps > Connected Apps > Conditional Access App Control-appar .

    Obs! Du kan se viss överlappning mellan appar som är registrerade och appar som behöver manuell registrering. Om det uppstår en konflikt i filtret mellan apparna har manuellt registrerade appar företräde.
    Enhet Filtrera efter enhetstaggar, till exempel för en specifik enhetshanteringsmetod eller enhetstyper, till exempel pc, mobil eller surfplatta.
    IP-adress Filtrera per IP-adress eller använd tidigare tilldelade IP-adresstaggar.
    Plats Filtrera efter geografisk plats. Avsaknaden av en tydligt definierad plats kan identifiera riskfyllda aktiviteter.
    Registrerad internetleverantör Filtrera efter aktiviteter som kommer från en specifik ISP.
    Användare Filtrera efter en specifik användare eller grupp av användare.
    Användaragentsträng Filtrera efter en specifik användaragentsträng.
    Tagg för användaragent Filtrera efter användaragenttaggar, till exempel för inaktuella webbläsare eller operativsystem.

    Till exempel:

    Skärmbild av ett exempelfilter när du skapar en åtkomstprincip.

    Välj Redigera och förhandsgranska resultat för att få en förhandsversion av de typer av aktiviteter som skulle returneras med ditt aktuella val.

  6. Konfigurera extra alternativ för alla specifika sessionskontrolltyper.

    Om du till exempel har valt Blockera aktiviteter väljer du Använd innehållsgranskning för att inspektera aktivitetsinnehållet och konfigurerar sedan inställningarna efter behov. I det här fallet kanske du vill söka efter text som innehåller specifika uttryck, till exempel ett personnummer.

  7. Om du har valt Kontrollera filnedladdning (med kontroll) eller Kontrollfiluppladdning (med kontroll)konfigurerar du filerna som matchar alla följande inställningar.

    1. Konfigurera något av följande filfilter:

      Name beskrivning
      Känslighetsetikett Filtrera efter Känslighetsetiketter för Microsoft Purview Information Protection om du även använder Microsoft Purview och dina data skyddas av dess känslighetsetiketter.
      Filnamn Filtrera efter specifika filer.
      Förlängning Filtrera efter specifika filtyper, till exempel blockera nedladdning för alla .xls filer.
      Filstorlek (MB) Filtrera efter specifika filstorlekar, till exempel stora eller små filer.

    2. I området Tillämpa(förhandsversion):

      • Välj om principen ska tillämpas på alla filer eller filer i angivna mappar
      • Välj en inspektionsmetod som ska användas, till exempel dataklassificeringstjänster eller skadlig kod. Mer information finns i Microsoft Data Classification Services-integrering.
      • Konfigurera mer detaljerade alternativ för din princip, till exempel scenarier som baseras på element som fingeravtryck eller träningsbara klassificerare.

  8. I området Åtgärder väljer du något av följande alternativ:

    Name beskrivning
    Audit (Granska) Övervakar alla aktiviteter. Välj för att uttryckligen tillåta nedladdning enligt de principfilter som du anger.
    Block Blockerar filnedladdningar och övervakar alla aktiviteter. Välj att uttryckligen blockera nedladdningar enligt de principfilter som du anger.

    Med blockeringsprinciper kan du också välja att meddela användare via e-post och anpassa blockmeddelandet.
    Skydda Tillämpar en känslighetsetikett på nedladdningen och övervakar alla aktiviteter. Endast tillgängligt om du hade valt Nedladdning av Kontrollfil (med kontroll).

    Om du använder Microsoft Purview Information Protection kan du också välja att använda en känslighetsetikett för matchande filer, tillämpa anpassade behörigheter för användaren som laddar ned filer eller blockera nedladdningen av specifika filer.

    Om du har en princip för villkorsstyrd åtkomst för Microsoft Entra-ID kan du också välja att kräva stegvis autentisering (förhandsversion).

    Du kan också välja alternativet Använd alltid den valda åtgärden även om data inte kan genomsökas efter behov för principen.

  9. I området Aviseringar konfigurerar du någon av följande åtgärder efter behov:

    • Skapa en avisering för varje matchande händelse med principens allvarlighetsgrad
    • Skicka en avisering som e-post
    • Daglig aviseringsgräns per princip
    • Skicka aviseringar till Power Automate

  10. Välj Skapa när du är klar.

Testa principen

När du har skapat din sessionsprincip testar du den genom att autentisera på nytt till varje app som konfigurerats i principen och testa det scenario som du har konfigurerat i principen.

Vi rekommenderar att du gör följande:

  • Logga ut från alla befintliga sessioner innan du autentiserar till dina appar igen.
  • Logga in på mobil- och skrivbordsappar från både hanterade och ohanterade enheter för att säkerställa att aktiviteterna är helt insamlade i aktivitetsloggen.

Se till att logga in med en användare som matchar din princip.

Så här testar du principen i din app:

  • Kontrollera om låsikonen visas i webbläsaren eller om du arbetar i en annan webbläsare än Microsoft Edge. Kontrollera att appens URL innehåller suffixet .mcas . Mer information finns i Webbläsarskydd med Microsoft Edge för företag (förhandsversion).

  • Besök alla sidor i appen som ingår i en användares arbetsprocess och kontrollera att sidorna återges korrekt.

  • Kontrollera att appens beteende och funktioner inte påverkas negativt av vanliga åtgärder som att ladda ned och ladda upp filer.

  • Om du arbetar med anpassade IdP-appar som inte är från Microsoft kontrollerar du var och en av de domäner som du har lagt till manuellt för din app.

Om du stöter på fel eller problem använder du administratörsfältet för att samla in resurser, till exempel .har filer och inspelade sessioner för att skicka in ett supportärende.

Så här söker du efter uppdateringar i Microsoft Defender XDR:

  1. I Microsoft Defender-portalen går du till Molnappar, går till Principer och väljer sedan Principhantering.

  2. Välj den princip som du har skapat för att visa principrapporten. En sessionsprincipmatchning bör visas inom kort.

Principrapporten visar vilka inloggningar som omdirigerades till Microsoft Defender för Cloud Apps för sessionskontroll, samt andra åtgärder, till exempel vilka filer som laddades ned eller blockerades från de övervakade sessionerna.

Inaktivera inställningar för användarmeddelanden

Som standard meddelas användarna när deras sessioner övervakas. Om du föredrar att användarna inte meddelas, eller om du vill anpassa aviseringsmeddelandet, konfigurerar du meddelandeinställningarna.

I Microsoft Defender XDR väljer du Inställningar > Molnappar > Villkorlig åtkomst Appkontroll > Användarövervakning.

Gör något av följande val:

  • Rensa alternativet Meddela användare om att deras aktivitet övervakas helt och hållet
  • Behåll markeringen och välj om du vill använda standardmeddelandet eller anpassa meddelandet.

Välj länken Förhandsgranska för att visa ett exempel på det konfigurerade meddelandet på en ny webbläsarflik.

Exportera molnidentifieringsloggar

Appkontroll för villkorsstyrd åtkomst registrerar trafikloggarna för varje användarsession som dirigeras genom den. Trafikloggarna omfattar tid, IP, användaragent, besökta URL:er och antalet byte som laddats upp och laddats ned. Dessa loggar analyseras och en kontinuerlig rapport, Defender for Cloud Apps Conditional Access App Control, läggs till i listan över Cloud Discovery-rapporter på Instrumentpanelen för Cloud Discovery.

Så här exporterar du molnidentifieringsloggar från Cloud Discovery-instrumentpanelen:

  1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslutna appar väljer du Appkontroll för villkorsstyrd åtkomst.

  2. Välj exportknappen ovanför tabellen. Till exempel:

    Skärmbild av exportknappen.

  3. Välj rapportens intervall och välj Exportera. Den här processen kan ta lite tid.

  4. Om du vill ladda ned den exporterade loggen när rapporten är klar går du till Rapporter> Molnappar i Microsoft Defender-portalen och sedan Exporterade rapporter.

  5. I tabellen väljer du relevant rapport i listan över trafikloggar för villkorlig åtkomstappkontroll och väljer Ladda ned. Till exempel:

    Skärmbild av nedladdningsknappen.

Aktiviteter som stöds för sessionsprinciper

Följande avsnitt innehåller mer information om varje aktivitet som stöds av Defender för Cloud Apps-sessionsprinciper.

Endast övervakare

Endast sessionskontrolltypen Övervakarövervakar endast inloggningsaktiviteten.

Om du vill övervaka andra aktiviteter väljer du någon av de andra sessionskontrolltyperna och använder åtgärden Granskning.

Om du vill övervaka andra aktiviteter än nedladdningar och uppladdningar måste du ha minst ett block per aktivitetsprincip i din övervakningsprincip.

Blockera alla nedladdningar

När Kontrollfilnedladdning (med kontroll) anges som sessionskontrolltyp och Blockera anges som åtgärden förhindrar appkontrollen för villkorsstyrd åtkomst att användare laddar ned en fil enligt principfilfilerna.

När en användare initierar en nedladdning visas ett meddelande om begränsad nedladdning för användaren och den nedladdade filen ersätts med en textfil. Konfigurera textfilens meddelande till användaren efter behov för din organisation.

Kräv stegvis autentisering

Åtgärden Kräv stegvis autentiseringär tillgänglig när sessionskontrolltypen är inställd på Blockera aktiviteter, Kontrollera filnedladdning (med inspektion) eller Kontrollfiluppladdning (med kontroll).

När den här åtgärden har valts omdirigerar Defender for Cloud Apps sessionen till Microsoft Entra Villkorlig åtkomst för principomvärdering, när den valda aktiviteten inträffar.

Använd det här alternativet om du vill kontrollera anspråk som multifaktorautentisering och enhetsefterlevnad under en session, baserat på den konfigurerade autentiseringskontexten i Microsoft Entra-ID.

Blockera specifika aktiviteter

När Blockera aktiviteter anges som sessionskontrolltyp väljer du specifika aktiviteter som ska blockeras i specifika appar.

  • Alla aktiviteter från konfigurerade appar övervakas och rapporteras i aktivitetsloggen molnappar>.

  • Om du vill blockera specifika aktiviteter väljer du åtgärden Blockera och väljer de aktiviteter som du vill blockera.

  • Om du vill skapa aviseringar för specifika aktiviteter väljer du åtgärden Granskaoch konfigurerar aviseringsinställningarna.

Du kanske till exempel vill blockera följande aktiviteter:

  • Skickade Teams-meddelande. Blockera användare från att skicka meddelanden från Microsoft Teams eller blockera Teams-meddelanden som innehåller specifikt innehåll.

  • Skriv ut. Blockera alla utskriftsåtgärder.

  • Kopiera. Blockera alla kopieringsåtgärder till Urklipp eller blockera endast kopiering för specifikt innehåll.

Skydda filer vid nedladdning

Välj sessionskontrolltypen Blockera aktiviteterför att blockera specifika aktiviteter, som du definierar med hjälp av filtret Aktivitetstyp.

Alla aktiviteter från konfigurerade appar övervakas och rapporteras i aktivitetsloggen molnappar>.

  • Välj åtgärden Blockeraför att blockera specifika aktiviteter eller välj åtgärden Granskaoch definiera aviseringsinställningar för att skapa aviseringar för specifika aktiviteter.

  • Välj åtgärden Skyddaför att skydda filer med känslighetsetiketter och andra skydd enligt principens filfilter.

    Känslighetsetiketter har konfigurerats i Microsoft Purview och måste konfigureras för att tillämpa kryptering för att det ska visas som ett alternativ i Defender för Cloud Apps-sessionsprincipen.

    När du har konfigurerat din sessionsprincip med en specifik etikett och användaren laddar ned en fil som uppfyller principens kriterier tillämpas etiketten och eventuella motsvarande skydd och behörigheter på filen.

    Den ursprungliga filen finns kvar som den var i molnappen medan den nedladdade filen är skyddad. Användare som försöker komma åt den nedladdade filen måste uppfylla de behörighetskrav som bestäms av det skydd som tillämpas.

Defender för Cloud Apps stöder för närvarande användning av känslighetsetiketter från Microsoft Purview Information Protection för följande filtyper:

  • Ord: docm, docx, dotm, dotx
  • Excel: xlam, xlsm, xlsx, xltx
  • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • PDF

Kommentar

PDF-filer måste vara märkta med enhetliga etiketter.

Alternativet Skydda stöder inte överskrivning av filer med en befintlig etikett i sessionsprinciper.

Skydda uppladdningar av känsliga filer

Välj kontrollfilens uppladdning (med kontroll)sessionskontrolltyp för att förhindra att en användare laddar upp en fil enligt principens filfilter.

Om filen som laddas upp har känsliga data och inte har rätt etikett blockeras filuppladdningen.

Skapa till exempel en princip som söker igenom innehållet i en fil för att avgöra om den innehåller en känslig innehållsmatchning, till exempel ett personnummer. Om det innehåller känsligt innehåll och inte är märkt med en Microsoft Purview Information Protection Confidential-etikett blockeras filuppladdningen.

Dricks

Konfigurera ett anpassat meddelande till användaren när en fil blockeras, instruera dem om hur filen ska märkas för att ladda upp den, vilket hjälper till att säkerställa att filer som lagras i dina molnappar följer dina principer.

Mer information finns i Utbilda användare att skydda känsliga filer.

Blockera skadlig kod vid uppladdning eller nedladdning

Välj kontrollfilens uppladdning (med inspektion) eller Kontrollfilnedladdning (med inspektion) som sessionskontrolltyp och Identifiering av skadlig kod som kontrollmetod för att förhindra att en användare laddar upp eller laddar ned en fil med skadlig kod. Filer genomsöks efter skadlig kod med hjälp av Microsofts hotinformationsmotor.

Visa filer som flaggats som potentiell skadlig kod i aktivitetsloggen för molnappar > genom att filtrera efter potentiell skadlig kod identifierade objekt. Mer information finns i Aktivitetsfilter och frågor.

Utbilda användare att skydda känsliga filer

Vi rekommenderar att du utbildar användare när de bryter mot dina principer så att de lär sig att uppfylla organisationens krav.

Eftersom varje företag har unika behov och principer kan du anpassa en princips filter och meddelandet som visas för användaren när en överträdelse upptäcks.

Ge specifika riktlinjer till dina användare, till exempel att ge instruktioner om hur du etiketterar en fil på rätt sätt eller hur du registrerar en ohanterad enhet för att säkerställa att filerna har laddats upp.

Om en användare till exempel laddar upp en fil utan känslighetsetikett konfigurerar du ett meddelande som ska visas och förklarar att filen innehåller känsligt innehåll och kräver en lämplig etikett. På samma sätt, om en användare försöker ladda upp ett dokument från en ohanterad enhet, konfigurerar du ett meddelande som ska visas med instruktioner om hur du registrerar enheten eller en som ger ytterligare förklaring av varför enheten måste registreras.

Åtkomstkontroller i sessionsprinciper

Många organisationer som väljer att använda sessionskontroller för molnappar för att styra aktiviteter under sessionen använder också åtkomstkontroller för att blockera samma uppsättning inbyggda mobilappar och skrivbordsklientappar, vilket ger omfattande säkerhet för apparna.

Blockera åtkomst till inbyggda mobilappar och skrivbordsklientappar med åtkomstprinciper genom att ange klientappfiltret till Mobil och skrivbord. Vissa inbyggda klientappar kan identifieras individuellt, medan andra som ingår i en uppsättning appar bara kan identifieras som deras toppnivåapp. Appar som SharePoint Online kan till exempel bara identifieras genom att skapa en åtkomstprincip som tillämpas på Microsoft 365-appar.

Kommentar

Om inte klientappfiltret är specifikt inställt på Mobil och skrivbord gäller den resulterande åtkomstprincipen endast för webbläsarsessioner. Detta är avsett att förhindra oavsiktlig proxykörning av användarsessioner.

De flesta större webbläsare har stöd för att utföra en klientcertifikatkontroll, men vissa mobilappar och skrivbordsappar använder inbyggda webbläsare som kanske inte stöder den här kontrollen. Därför kan användning av det här filtret påverka autentiseringen för dessa appar.

Konflikter mellan principer

När det finns en konflikt mellan två sessionsprinciper vinner den mer restriktiva principen.

Till exempel:

  • Om en användarsession matchar båda en princip där nedladdningar blockeras
  • Och en princip där filer är märkta vid nedladdning, eller där nedladdningar granskas,
  • Alternativet filnedladdning blockeras för att följa den mer restriktiva principen.

Relaterat innehåll

Mer information finns i:

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.