Sessionsprinciper

Microsoft Defender för molnet Apps-sessionsprinciper ger detaljerad insyn i molnappar med övervakning på sessionsnivå i realtid. Använd sessionsprinciper för att vidta olika åtgärder, beroende på vilken princip du har angett för en användarsession.

I stället för att tillåta eller blockera åtkomst helt använder du sessionskontrollprinciper för att tillåta åtkomst under övervakning av sessionen. Du kanske också vill begränsa specifika sessionsaktiviteter med hjälp av appkontrollens omvända proxysupport för villkorlig åtkomst.

Du kan till exempel bestämma att du vill tillåta användare att komma åt en app från ohanterade enheter eller från sessioner som kommer från specifika platser. Du vill dock begränsa nedladdningen av känsliga filer eller kräva att specifika dokument skyddas vid nedladdning.

Med sessionsprinciper kan du ange användarsessionskontroller, konfigurera åtkomst med mera:

• Övervaka alla aktiviteter
• Blockera alla nedladdningar
• Blockera specifika aktiviteter
• Kräv stegvis autentisering (autentiseringskontext)
• Skydda filer vid nedladdning
• Skydda uppladdningar av känsliga filer
• Blockera skadlig kod vid uppladdning
• Utbilda användare att skydda känsliga filer

Kommentar

• Det finns ingen gräns för hur många principer som kan tillämpas.
• Det finns ingen anslutning mellan en princip som du skapar för en värdapp och relaterade resursappar. Till exempel är sessionsprinciper som du skapar för Teams, Exchange eller Gmail inte anslutna till Sharepoint, OneDrive eller Google Drive. Om du behöver en princip för resursappen utöver värdappen skapar du en separat princip.

Förutsättningar för att använda sessionsprinciper

Kontrollera att du har följande förutsättningar innan du börjar:

• En Defender för molnet Apps-licens (fristående eller en del av en annan licens)

• En licens för Microsoft Entra ID P1 (som en fristående licens eller som en E5-licens) eller den licens som krävs av din identitetsproviderlösning (IdP)

• Relevanta appar ska distribueras med appkontroll för villkorsstyrd åtkomst

• Kontrollera att du har konfigurerat din IdP-lösning så att den fungerar med Defender för molnet-appar på följande sätt:

  • Villkorsstyrd åtkomst för Microsoft Entra finns i Konfigurera integrering med Microsoft Entra-ID
  • Andra IdP-lösningar finns i Konfigurera integrering med andra IdP-lösningar

Skapa en Defender för molnet Apps-sessionsprincip

Använd följande steg för att skapa en ny sessionsprincip:

1. I Microsoft Defender-portalen går du till Principer –> Principhantering under Molnappar. Välj sedan fliken Villkorsstyrd åtkomst .

2. Välj Skapa princip och välj Sessionsprincip. Till exempel:

   

3. I fönstret Sessionsprincip tilldelar du ett namn för din princip, till exempel Blockera nedladdning av känsliga dokument i Rutan för marknadsföringsanvändare.

4. I fältet Sessionskontrolltyp väljer du:

   • Välj Övervaka endast om du bara vill övervaka aktiviteter av användare. Det här valet skapar en princip för endast övervakare för de appar som du har valt var alla inloggningar.

   • Välj Kontrollera filnedladdning (med kontroll) om du vill övervaka användaraktiviteter. Du kan vidta fler åtgärder som att blockera eller skydda nedladdningar för användare.

   • Välj Blockera aktiviteter för att blockera specifika aktiviteter, som du kan välja med hjälp av filtret Aktivitetstyp . Alla aktiviteter från valda appar övervakas (och rapporteras i aktivitetsloggen). De specifika aktiviteter som du väljer blockeras om du väljer åtgärden Blockera . De specifika aktiviteter som du väljer skapar aviseringar om du väljer åtgärden Granskning och har aktiverat aviseringar.

5. Under Aktivitetskälla i avsnittet Aktiviteter som matchar alla i följande avsnitt väljer du fler aktivitetsfilter som ska tillämpas på principen. Dessa filter kan innehålla följande alternativ:

   • Enhetstaggar: Använd det här filtret för att identifiera ohanterade enheter.

   • Plats: Använd det här filtret för att identifiera okända (och därmed riskfyllda) platser.

   • IP-adress: Använd det här filtret för att filtrera per IP-adresser eller använda tidigare tilldelade IP-adresstaggar.

   • Tagg för användaragent: Använd det här filtret för att aktivera heuristiken för att identifiera mobilappar och skrivbordsappar. Det här filtret kan anges till lika med eller är inte lika med intern klient. Det här filtret bör testas mot dina mobil- och skrivbordsappar för varje molnapp.

   • Aktivitetstyp: Använd det här filtret för att välja specifika aktiviteter som ska kontrolleras, till exempel:

     • Skriv ut

     • Åtgärder för Urklipp: Kopiera, Klippa ut och klistra in

     • Skicka objekt i appar som Teams, Slack och Salesforce

     • Dela och avdela objekt i olika appar

     • Redigera objekt i olika appar

     Använd till exempel en aktivitet för att skicka objekt i dina villkor för att fånga en användare som försöker skicka information i en Teams-chatt eller Slack-kanal och blockera meddelandet om det innehåller känslig information som ett lösenord eller andra autentiseringsuppgifter.

   Kommentar

   Sessionsprinciper stöder inte mobilappar och skrivbordsappar. Mobilappar och skrivbordsappar kan också blockeras eller tillåtas genom att skapa en åtkomstprincip.

6. Om du har valt alternativet För att kontrollera filnedladdning (med kontroll):

   • Under Aktivitetskälla i filer som matchar alla följande avsnitt väljer du fler filfilter som ska tillämpas på principen. Dessa filter kan innehålla följande alternativ:

     • Känslighetsetikett – Använd det här filtret om din organisation använder Microsoft Purview Information Protection och dina data har skyddats av dess känslighetsetiketter. Du kan filtrera filer baserat på känslighetsetiketten som du använde för dem. Mer information om integrering med Microsoft Purview Information Protection finns i Microsoft Purview Information Protection-integrering.

     • Filnamn – Använd det här filtret för att tillämpa principen på specifika filer.

     • Filtyp – Använd det här filtret för att tillämpa principen på specifika filtyper, till exempel blockera nedladdning för alla .xls filer.

   • I avsnittet Innehållsgranskning anger du om du vill aktivera DLP-motorn för att söka igenom dokument och filinnehåll.

   • Under Åtgärder väljer du något av följande objekt:

     • Granskning (Övervaka alla aktiviteter): Ställ in den här åtgärden så att nedladdning uttryckligen tillåts enligt de principfilter som du anger.
     • Blockera (Blockera filnedladdning och övervaka alla aktiviteter): Ange att den här åtgärden uttryckligen ska blockera nedladdning enligt de principfilter som du anger. Mer information finns i Så här fungerar blockhämtning.
     • Skydda (Använd känslighetsetikett för att ladda ned och övervaka alla aktiviteter): Det här alternativet är endast tillgängligt om du har valt Kontrollera filnedladdning (med kontroll) under Sessionsprincip. Om din organisation använder Microsoft Purview Information Protection kan du ange en åtgärd för att tillämpa en känslighetsetikett som anges i Microsoft Purview Information Protection på filen. Mer information finns i Hur skydda nedladdning fungerar.

7. Om du vill att aviseringen ska skickas som ett e-postmeddelande väljer du Skapa en avisering för varje matchande händelse med principens allvarlighetsgrad och anger en aviseringsgräns.

8. Meddela användare: När du skapar en sessionsprincip omdirigeras varje användarsession som matchar principen till sessionskontroll i stället för direkt till appen.

   Användaren ser ett övervakningsmeddelande för att meddela dem att deras sessioner övervakas. Om du inte vill meddela användaren att de övervakas kan du inaktivera meddelandet.

   1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps.

   2. Under Appkontroll för villkorsstyrd åtkomst väljer du Användarövervakning och avmarkerar kryssrutan Meddela användare.

9. Övervaka loggar: För att hålla användaren inom sessionen ersätter appkontrollen för villkorsstyrd åtkomst alla relevanta URL:er, Java-skript och cookies i appsessionen med url:er för Microsoft Defender för molnet Appar. Om appen till exempel returnerar en sida med länkar vars domäner slutar med myapp.com ersätter appkontrollen för villkorsstyrd åtkomst länkarna med domäner som slutar med något som liknar myapp.com.mcas.ms. På så sätt övervakar Defender för molnet Apps hela sessionen.

Exportera molnidentifieringsloggar

Appkontroll för villkorsstyrd åtkomst registrerar trafikloggarna för varje användarsession som dirigeras genom den. Trafikloggarna omfattar tid, IP, användaragent, besökta URL:er och antalet byte som laddats upp och laddats ned. Dessa loggar analyseras och en kontinuerlig rapport, Defender för molnet Appkontroll för villkorsstyrd åtkomst, läggs till i listan över Cloud Discovery-rapporter på Instrumentpanelen för Cloud Discovery.

Så här exporterar du molnidentifieringsloggar från Cloud Discovery-instrumentpanelen:

1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslut appar väljer du Appkontroll för villkorsstyrd åtkomst.

2. Välj exportknappen ovanför tabellen. Till exempel:

   

3. Välj rapportens intervall och välj Exportera. Den här processen kan ta lite tid.

4. Om du vill ladda ned den exporterade loggen när rapporten är klar går du till Rapporter –> Molnappar i Microsoft Defender-portalen och sedan Exporterade rapporter.

5. I tabellen väljer du relevant rapport i listan över trafikloggar för villkorlig åtkomstappkontroll och väljer Ladda ned. Till exempel:

   

Övervaka alla

Övervaka endast aktivitet övervakar endast inloggningsaktiviteten och inga aviseringar skickas. 

Om du vill övervaka andra aktiviteter väljer du granskningsåtgärden, i vilket fall aviseringar skickas i enlighet med din princip. Aktiviteterna i granskningsåtgärden övervakas och loggas, oavsett om principen matchar eller inte. 

Kommentar

Om du vill övervaka andra aktiviteter förutom nedladdningar och uppladdningar måste det finnas minst ett block per aktivitetsprincip i din övervakningsprincip.

Blockera alla nedladdningar

När Blockera har angetts som den åtgärd som du vill vidta i sessionsprincipen Defender för molnet Appar hindrar Appkontroll för villkorsstyrd åtkomst en användare från att ladda ned en fil enligt principens filfilter. Defender för molnet Apps identifierar en nedladdningshändelse för varje app när en användare startar en nedladdning. Appkontroll för villkorsstyrd åtkomst ingriper i realtid för att förhindra att den körs. När signalen tas emot om att en användare har initierat en nedladdning returnerar appkontrollen för villkorsstyrd åtkomst ett meddelande om begränsad nedladdning till användaren och ersätter den nedladdade filen med en textfil. Textfilens meddelande till användaren kan konfigureras och anpassas från sessionsprincipen.

Kräv stegvis autentisering (autentiseringskontext)

När sessionskontrolltypen är inställd på Blockera aktiviteter, Kontrollera filnedladdning (med kontroll), Kontrollera filuppladdning (med inspektion), kan du välja en åtgärdför Kräv stegvis autentisering. När den här åtgärden har valts omdirigerar Defender för molnet Apps sessionen till Microsoft Entra Villkorlig åtkomst för principomvärdering, när den valda aktiviteten inträffar. Baserat på den konfigurerade autentiseringskontexten i Microsoft Entra-ID kan anspråk som multifaktorautentisering och enhetsefterlevnad kontrolleras under en session.

Blockera specifika aktiviteter

När Blockera aktiviteter anges som aktivitetstyp kan du välja specifika aktiviteter som ska blockeras i specifika appar. Alla aktiviteter från valda appar övervakas och rapporteras i aktivitetsloggen. De specifika aktiviteter som du väljer blockeras om du väljer åtgärden Blockera . De specifika aktiviteter som du valde skapar aviseringar om du väljer granskningsåtgärden och har aktiverat aviseringar.

Exempel på blockerade aktiviteter är:

• Skicka Teams-meddelande: Använd det för att blockera meddelanden som skickas från Microsoft Teams eller blockera Teams-meddelanden som innehåller specifikt innehåll
• Skriv ut: Använd den för att blockera utskriftsåtgärder
• Kopiera: Använd den för att blockera åtgärder för att kopiera till Urklipp eller endast blockera kopiering för specifikt innehåll

Blockera specifika aktiviteter och tillämpa den på specifika grupper för att skapa ett omfattande skrivskyddat läge för din organisation.

Skydda filer vid nedladdning

Välj Blockera aktiviteter för att blockera specifika aktiviteter, som du kan hitta med hjälp av filtret Aktivitetstyp . Alla aktiviteter från valda appar övervakas (och rapporteras i aktivitetsloggen). De specifika aktiviteter som du väljer blockeras om du väljer åtgärden Blockera . De specifika aktiviteter som du valde skapar aviseringar om du väljer granskningsåtgärden och har aktiverat aviseringar.

När Skydda anges som den åtgärd som ska vidtas i sessionsprincipen Defender för molnet Appar, framtvingar appkontroll för villkorsstyrd åtkomst etikettering och efterföljande skydd av en fil enligt principens filfilter. Etiketter konfigureras i efterlevnadsportal i Microsoft Purview och etiketten måste konfigureras för att tillämpa kryptering för att den ska visas som ett alternativ i principen Defender för molnet Apps.

När du har valt en specifik etikett och en användare laddar ned en fil som uppfyller principvillkoren tillämpas etiketten och eventuella motsvarande skydd och behörigheter på filen.

Den ursprungliga filen förblir som den är i molnappen medan den nedladdade filen nu är skyddad. Användare som försöker komma åt filen måste uppfylla de behörighetskrav som bestäms av det skydd som tillämpas.

Defender för molnet Apps stöder för närvarande användning av känslighetsetiketter från Microsoft Purview Information Protection för följande filtyper:

• Word: docm, docx, dotm, dotx
• Excel: xlam, xlsm, xlsx, xltx
• PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
• PDF

Kommentar

• För PDF måste du använda enhetliga etiketter.
• Det går inte att skriva över filer som redan har en befintlig etikett med alternativet Skydda i sessionsprinciper.

Skydda uppladdningar av känsliga filer

När Kontrollfiluppladdning (med kontroll) anges som sessionskontrolltyp i sessionsprincipen Defender för molnet Appar förhindrar appkontroll för villkorsstyrd åtkomst en användare från att ladda upp en fil enligt principens filfilter. När en uppladdningshändelse identifieras ingriper appkontrollen för villkorsstyrd åtkomst i realtid för att avgöra om filen är känslig och behöver skydd. Om filen har känsliga data och inte har någon korrekt etikett blockeras filuppladdningen.

Du kan till exempel skapa en princip som söker igenom innehållet i en fil för att avgöra om den innehåller en känslig innehållsmatchning, till exempel ett personnummer. Om det innehåller känsligt innehåll och inte är märkt med en konfidentiell etikett för Microsoft Purview Information Protection blockeras filuppladdningen. När filen blockeras kan du visa ett anpassat meddelande för användaren som instruerar dem om hur filen ska märkas för att ladda upp den. Genom att göra det ser du till att filer som lagras i dina molnappar följer dina principer.

Blockera skadlig kod vid uppladdning

När Kontrollfiluppladdning (med kontroll) anges som sessionskontrolltyp och Identifiering av skadlig kod anges som inspektionsmetod i sessionsprincipen Defender för molnet Appar, förhindrar villkorsstyrd åtkomstappkontroll en användare från att ladda upp en fil i realtid om skadlig kod identifieras. Filer genomsöks med hjälp av Microsofts hotinformationsmotor.

Du kan visa de filer som flaggas som potentiell skadlig kod med hjälp av filtret Potentiell skadlig kod som identifierats i aktivitetsloggen.

Du kan också konfigurera sessionsprinciper för att blockera skadlig kod vid nedladdning.

Utbilda användare att skydda känsliga filer

Det är viktigt att utbilda användare när de bryter mot en princip så att de lär sig att följa organisationens principer.

Eftersom varje företag har unika behov och principer kan du Defender för molnet Appar anpassa en princips filter och meddelandet som visas för användaren när en överträdelse upptäcks.

Du kan ge specifika riktlinjer till dina användare, till exempel att ge instruktioner om hur du etiketterar en fil på rätt sätt eller hur du registrerar en ohanterad enhet för att säkerställa att filerna laddas upp.

Om en användare till exempel laddar upp en fil utan känslighetsetikett kan ett meddelande visas som förklarar att filen innehåller känsligt innehåll som kräver en lämplig etikett. Om en användare försöker ladda upp ett dokument från en ohanterad enhet kan ett meddelande visas med instruktioner om hur du registrerar enheten eller ett som ger ytterligare förklaring av varför enheten måste registreras.

Konflikter mellan principer

När det finns en konflikt mellan två principer vinner den mer restriktiva principen. Till exempel:

• Om en användarsession är begränsad till en princip för blockhämtning och till en etikett vid nedladdningsprincip blockeras filnedladdningsåtgärden.

• Om en användarsession är begränsad till en princip för blockhämtning och en princip för granskningsnedladdning blockeras filhämtningsåtgärden.

Nästa steg

Mer information finns i:

• Webbseminarier för appkontroll för villkorsstyrd åtkomst (video).
• Felsöka åtkomst- och sessionskontroller
• Blockera nedladdningar på ohanterade enheter med microsoft entra-appkontroll för villkorsstyrd åtkomst

« FÖREGÅENDE: Registrera och distribuera villkorlig åtkomst appkontroll för alla appar »

NÄSTA: Skapa en åtkomstprincip »

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.