Sessiebeleid

Notitie

  • We hebben de naam van Microsoft Cloud App Security gewijzigd. Het heet nu Microsoft Defender for Cloud Apps. In de komende weken worden de schermafbeeldingen en instructies hier en op gerelateerde pagina's bijgewerkt. Zie deze aankondiging voor meer informatie over de wijziging. Zie het Microsoft Ignite Security-blog voor meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

  • Microsoft Defender for Cloud Apps maakt nu deel uit van Microsoft 365 Defender. Met de Microsoft 365 Defender-portal kunnen beveiligingsbeheerders hun beveiligingstaken op één locatie uitvoeren. Dit vereenvoudigt werkstromen en voegt de functionaliteit van de andere Microsoft 365 Defender-services toe. Microsoft 365 Defender is de thuisbasis voor het bewaken en beheren van beveiliging in uw Microsoft-identiteiten, gegevens, apparaten, apps en infrastructuur. Zie Microsoft Defender for Cloud Apps in Microsoft 365 Defender voor meer informatie over deze wijzigingen.

Microsoft Defender for Cloud Apps sessiebeleid maakt bewaking op sessieniveau in realtime mogelijk, waardoor u gedetailleerd inzicht krijgt in cloud-apps en de mogelijkheid om verschillende acties uit te voeren, afhankelijk van het beleid dat u hebt ingesteld voor een gebruikerssessie. In plaats van volledig toegang toe te staan of te blokkeren, kunt u met sessiebeheer toegang toestaan tijdens het bewaken van de sessie en/of specifieke sessieactiviteiten beperken met behulp van de mogelijkheden van app-beheer voor voorwaardelijke toegang.

U kunt bijvoorbeeld besluiten dat de gebruiker vanaf onbeheerde apparaten of voor sessies die afkomstig zijn van specifieke locaties, toegang tot de app mag krijgen, maar ook het downloaden van gevoelige bestanden beperkt of vereisen dat bepaalde documenten worden beveiligd bij het downloaden. Met sessiebeleid kunt u deze besturingselementen voor gebruikerssessies instellen en toegang toestaan en kunt u:

Vereisten voor het gebruik van sessiebeleid

Een sessiebeleid voor Defender voor Cloud Apps maken

Volg deze procedure om een nieuw sessiebeleid te maken:

  1. Ga naar>Beleid>voor voorwaardelijke toegang beheren.

  2. Selecteer Beleid maken en sessiebeleid selecteren.

    Create a Conditional access policy.

  3. Wijs in het venster Sessiebeleid een naam toe voor uw beleid, zoals Het downloaden van gevoelige documenten blokkeren in Box for Marketing Users.

  4. In het veld Sessiebeheertype :

    1. Selecteer Alleen bewaken als u alleen activiteiten wilt bewaken door gebruikers. Met deze selectie maakt u alleen beleid voor de apps die u hebt geselecteerd, waarbij alle aanmeldingen, heuristieke downloads en activiteitstypen worden gedownload.

    2. Selecteer Het downloaden van besturingsbestanden (met inspectie) als u gebruikersactiviteiten wilt bewaken. U kunt aanvullende acties uitvoeren, zoals downloads blokkeren of beveiligen voor gebruikers.

    3. Selecteer Activiteiten blokkeren om specifieke activiteiten te blokkeren, die u kunt selecteren met behulp van het filter Activiteitstype . Alle activiteiten van geselecteerde apps worden bewaakt (en gerapporteerd in het activiteitenlogboek). De specifieke activiteiten die u selecteert, worden geblokkeerd als u de actie Blokkeren selecteert. De specifieke activiteiten die u hebt geselecteerd, genereren waarschuwingen als u de actie Testen selecteert en waarschuwingen hebt ingeschakeld.

  5. Selecteer onder Activiteitsbron in de activiteiten die overeenkomen met alle volgende secties aanvullende activiteitsfilters die u op het beleid wilt toepassen. Deze filters kunnen de volgende opties voor het activiteitstype bevatten:

    • Apparaattags: Gebruik dit filter om onbeheerde apparaten te identificeren.

    • Locatie: Gebruik dit filter om onbekende (en daarom riskante) locaties te identificeren.

    • IP-adres: gebruik dit filter om te filteren op IP-adressen of gebruik eerder toegewezen IP-adrestags.

    • Gebruikersagenttag: Gebruik dit filter om de heuristiek in te schakelen voor het identificeren van mobiele en desktop-apps. Dit filter kan worden ingesteld op gelijk aan of is niet gelijk aan systeemeigen client. Dit filter moet worden getest op uw mobiele en desktop-apps voor elke cloud-app.

    • Activiteitstype: Gebruik dit filter om specifieke activiteiten te selecteren die moeten worden beheerd, zoals:

      • Afdrukken
      • Klembordacties: Kopiëren, knippen en plakken
      • Items verzenden in apps zoals Teams, Slack en Salesforce
      • Items delen en delen in verschillende apps ongedaan maken
      • Items in verschillende apps bewerken

    Notitie

    Sessiebeleid biedt geen ondersteuning voor mobiele apps en desktop-apps. Mobiele apps en bureaublad-apps kunnen ook worden geblokkeerd of toegestaan door een toegangsbeleid te maken.

  6. Als u de optie voor het downloaden van het besturingselementbestand hebt geselecteerd (met inspectie):

    1. Selecteer onder Activiteitsbron in de bestanden die overeenkomen met alle volgende secties aanvullende bestandsfilters die van toepassing zijn op het beleid. Deze filters kunnen de volgende opties bevatten:

      • Vertrouwelijkheidslabel: gebruik dit filter als uw organisatie Microsoft Purview Informatiebeveiliging gebruikt en uw gegevens zijn beveiligd door de vertrouwelijkheidslabels. U kunt bestanden filteren op basis van het vertrouwelijkheidslabel dat u erop hebt toegepast. Zie Microsoft Purview Informatiebeveiliging integratie voor meer informatie over integratie met Microsoft Purview Informatiebeveiliging.

      • Bestandsnaam : gebruik dit filter om het beleid toe te passen op specifieke bestanden.

      • Bestandstype : gebruik dit filter om het beleid toe te passen op specifieke bestandstypen, bijvoorbeeld het blokkeren van downloaden voor alle .xls bestanden.

    2. Stel in de sectie Inhoudsinspectie in of u de DLP-engine wilt inschakelen om documenten en bestandsinhoud te scannen.

    3. Selecteer onder Acties een van de volgende items:

      • Testen (Alle activiteiten bewaken): stel deze actie in om downloaden expliciet toe te staan op basis van de beleidsfilters die u hebt ingesteld.

      • Blokkeren (Downloaden van bestanden blokkeren en alle activiteiten controleren): stel deze actie in om downloaden expliciet te blokkeren op basis van de beleidsfilters die u hebt ingesteld. Zie Hoe blokkeren downloaden werkt voor meer informatie.

      • Beveiligen (vertrouwelijkheidslabel toepassen om alle activiteiten te downloaden en te controleren): deze optie is alleen beschikbaar als u Het downloaden van besturingsbestanden (met inspectie) hebt geselecteerd onder Sessiebeleid. Als uw organisatie Microsoft Purview Informatiebeveiliging gebruikt, kunt u een actie instellen om een vertrouwelijkheidslabel in Microsoft Purview Informatiebeveiliging op het bestand toe te passen. Zie Downloadwerken beveiligen voor meer informatie.

  7. U kunt een waarschuwing maken voor elke overeenkomende gebeurtenis met de ernst van het beleid en een waarschuwingslimiet instellen. Selecteer of u de waarschuwing wilt gebruiken als e-mail, een sms-bericht of beide.

Alle activiteiten controleren

Wanneer u een sessiebeleid maakt, wordt elke gebruikerssessie die overeenkomt met het beleid omgeleid naar sessiebeheer in plaats van rechtstreeks naar de app. De gebruiker ziet een controlemelding om hen te laten weten dat hun sessies worden bewaakt.

Als u de gebruiker niet op de hoogte wilt stellen dat deze wordt bewaakt, kunt u het meldingsbericht uitschakelen.

  1. Selecteer onder het tandwiel Instellingen de optie Algemeen.

  2. Selecteer vervolgens onder App-beheer voor voorwaardelijke toeganggebruikersbewaking en schakel het selectievakje Gebruikers waarschuwen uit.

Om de gebruiker binnen de sessie te houden, vervangt App Control voor voorwaardelijke toegang alle relevante URL's, Java-scripts en cookies in de app-sessie door Microsoft Defender for Cloud Apps URL's. Als de app bijvoorbeeld een pagina retourneert met koppelingen waarvan de domeinen eindigen op myapp.com, vervangt App Control voor voorwaardelijke toegang de koppelingen door domeinen die eindigen op iets als myapp.com.mcas.ms. Op deze manier wordt de hele sessie bewaakt door Microsoft Defender for Cloud Apps.

App Control voor voorwaardelijke toegang registreert de verkeerslogboeken van elke gebruikerssessie die er doorheen wordt gerouteerd. De verkeerslogboeken bevatten de tijd, IP, gebruikersagent, BEZOCHTE URL's en het aantal geüploade en gedownloade bytes. Deze logboeken worden geanalyseerd en er wordt een doorlopend rapport, Defender voor Cloud App Control voor voorwaardelijke toegang voor apps, toegevoegd aan de lijst met Cloud Discovery-rapporten in het Cloud Discovery-dashboard.

Ga als volgt te werk om deze logboeken te exporteren:

  1. Ga naar het tandwiel instellingen en selecteer App-beheer voor voorwaardelijke toegang.

  2. Selecteer aan de rechterkant van de tabel de knop Exporteren.

    export button.

  3. Selecteer het bereik van het rapport en selecteer Exporteren. Dit proces kan enige tijd duren.

Het geëxporteerde logboek downloaden:

  1. Nadat het rapport gereed is, gaat u naar Instellingen en vervolgens geëxporteerde rapporten.

  2. Selecteer in de tabel het relevante rapport in de lijst met verkeerslogboeken voor app-beheer voor voorwaardelijke toegang en selecteer Downloaden.

    download button.

Alle downloads blokkeren

Wanneer Blokkeren is ingesteld als de actie die u wilt uitvoeren in het sessiebeleid van Defender voor Cloud Apps, voorkomt u dat een gebruiker een bestand downloadt volgens de bestandsfilters van het beleid. Een downloadbeurt wordt herkend door Microsoft Defender for Cloud Apps voor elke app wanneer een gebruiker een download start. App-beheer voor voorwaardelijke toegang treedt in realtime op om te voorkomen dat deze wordt uitgevoerd. Wanneer het signaal wordt ontvangen dat een gebruiker een download heeft gestart, retourneert App Control voor voorwaardelijke toegang een beperkt bericht downloaden voor de gebruiker en vervangt het gedownloade bestand door een tekstbestand. Het bericht van het tekstbestand voor de gebruiker kan worden geconfigureerd en aangepast vanuit het sessiebeleid.

Stapsgewijze verificatie vereisen (verificatiecontext)

Wanneer het type sessiebeheer is ingesteld op Activiteiten blokkeren, downloaden van besturingsbestanden (met inspectie), uploaden van besturingsbestanden (met inspectie) kunt u een actie selecteren voor stapsgewijze verificatie vereisen. Wanneer deze actie is geselecteerd, leidt Defender voor Cloud Apps de sessie om naar Azure AD voorwaardelijke toegang voor beleidsherevaluatie wanneer de geselecteerde activiteit plaatsvindt. Op basis van de geconfigureerde verificatiecontext in Azure AD kunnen claims zoals meervoudige verificatie en apparaatcompatibiliteit tijdens een sessie worden gecontroleerd.

Specifieke activiteiten blokkeren

Wanneer Activiteiten blokkeren is ingesteld als het type Activiteit, kunt u specifieke activiteiten selecteren die u wilt blokkeren in specifieke apps. Alle activiteiten van geselecteerde apps worden bewaakt en gerapporteerd in het activiteitenlogboek. De specifieke activiteiten die u selecteert, worden geblokkeerd als u de actie Blokkeren selecteert. De specifieke activiteiten die u hebt geselecteerd, genereren waarschuwingen als u de actie Testen selecteert en waarschuwingen hebt ingeschakeld.

Voorbeelden van geblokkeerde activiteiten zijn:

  • Teams bericht verzenden: hiermee kunt u berichten blokkeren die vanuit Microsoft Teams worden verzonden of Teams berichten met specifieke inhoud blokkeren
  • Afdrukken: Hiermee kunt u afdrukacties blokkeren
  • Kopiëren: Hiermee kunt u kopiëren naar klembordacties blokkeren of alleen kopiëren blokkeren voor specifieke inhoud

Blokkeer specifieke activiteiten en pas deze toe op specifieke groepen om een uitgebreide alleen-lezenmodus voor uw organisatie te maken.

Bestanden beveiligen bij downloaden

Selecteer Activiteiten blokkeren om specifieke activiteiten te blokkeren, die u kunt vinden met behulp van het filter Activiteitstype . Alle activiteiten van geselecteerde apps worden bewaakt (en gerapporteerd in het activiteitenlogboek). De specifieke activiteiten die u selecteert, worden geblokkeerd als u de actie Blokkeren selecteert. De specifieke activiteiten die u hebt geselecteerd, genereren waarschuwingen als u de actie Testen selecteert en waarschuwingen hebt ingeschakeld.

Wanneer Beveiliging is ingesteld als de actie die moet worden uitgevoerd in het sessiebeleid van Defender voor Cloud Apps, dwingt App Control voor voorwaardelijke toegang het labelen en de daaropvolgende beveiliging van een bestand af volgens de bestandsfilters van het beleid. Labels worden geconfigureerd in de Microsoft Purview-nalevingsportal en het label moet worden geconfigureerd om versleuteling toe te passen zodat het wordt weergegeven als een optie in het beleid Defender voor Cloud Apps. Wanneer een label is geselecteerd en een bestand wordt gedownload dat voldoet aan de criteria van het beleid Defender voor Cloud Apps, wordt het label en de bijbehorende beveiliging (met machtigingen) toegepast op het bestand bij het downloaden. Het oorspronkelijke bestand blijft ongewijzigd in de cloud-app terwijl het gedownloade bestand nu is beveiligd. Gebruikers die toegang proberen te krijgen tot het bestand, moeten voldoen aan de machtigingsvereisten die zijn bepaald door de toegepaste beveiliging.

Defender voor Cloud Apps ondersteunt momenteel het toepassen van vertrouwelijkheidslabels van Microsoft Purview Informatiebeveiliging voor de volgende bestandstypen:

  • Word: docm, docx, dotm, dotx
  • Excel: xlam, xlsm, xlsx, xltx
  • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • PDF

    Notitie

    Voor PDF moet u geïntegreerde labels gebruiken.

Uploads van gevoelige bestanden beveiligen

Wanneer het uploaden van het besturingselementbestand (met inspectie) is ingesteld als het type Sessiebeheer van het Defender voor Cloud Apps-sessiebeleid, voorkomt u dat een gebruiker een bestand uploadt volgens de bestandsfilters van het beleid. Wanneer een upload-gebeurtenis wordt herkend, treedt app-beheer voor voorwaardelijke toegang in realtime op om te bepalen of het bestand gevoelig is en beveiliging nodig heeft. Als het bestand gevoelige gegevens bevat en geen goed label heeft, wordt het uploaden van het bestand geblokkeerd.

U kunt bijvoorbeeld een beleid maken waarmee de inhoud van een bestand wordt gescand om te bepalen of het een gevoelige inhoudsovereenkomst bevat, zoals een burgerservicenummer. Als deze gevoelige inhoud bevat en niet is gelabeld met een Microsoft Purview Informatiebeveiliging vertrouwelijk label, wordt het uploaden van bestanden geblokkeerd. Wanneer het bestand is geblokkeerd, kunt u een aangepast bericht weergeven aan de gebruiker waarin wordt uitgelegd hoe u het bestand labelt om het te uploaden. Zo zorgt u ervoor dat bestanden die zijn opgeslagen in uw cloud-apps, voldoen aan uw beleid.

Malware bij uploaden blokkeren

Wanneer het uploaden van besturingsbestanden (met inspectie) is ingesteld als sessiebeheertype en malwaredetectie is ingesteld als de inspectiemethode in het sessiebeleid van Defender voor Cloud Apps, voorkomt u dat een gebruiker een bestand in realtime uploadt als er malware wordt gedetecteerd. Bestanden worden gescand met behulp van de Microsoft Threat Intelligence-engine.

U kunt de bestanden weergeven die zijn gemarkeerd als potentiële malware met behulp van het filter Potentiële malware gedetecteerd in het activiteitenlogboek.

U kunt ook sessiebeleid configureren om malware te blokkeren bij het downloaden.

Gebruikers informeren over het beveiligen van gevoelige bestanden

Het is belangrijk om gebruikers te informeren wanneer ze inbreuk maken op een beleid, zodat ze leren hoe ze voldoen aan uw organisatiebeleid. Aangezien elke onderneming unieke behoeften en beleidsregels heeft, kunt u met Defender voor Cloud Apps de filters van een beleid aanpassen en het bericht dat wordt weergegeven aan de gebruiker wanneer een schending wordt gedetecteerd. U kunt uw gebruikers specifieke richtlijnen geven, zoals instructies geven voor het op de juiste wijze labelen van een bestand of het inschrijven van een niet-beheerd apparaat, om ervoor te zorgen dat bestanden correct worden geüpload.

Als een gebruiker bijvoorbeeld een bestand uploadt zonder vertrouwelijkheidslabel, kan een bericht worden weergegeven waarin wordt uitgelegd dat het bestand gevoelige inhoud bevat waarvoor een geschikt label is vereist. Als een gebruiker een document probeert te uploaden vanaf een niet-beheerd apparaat, kan een bericht met instructies voor het inschrijven van dat apparaat of een bericht met verdere uitleg over waarom het apparaat moet worden ingeschreven, worden weergegeven.

Volgende stappen

Zie ook

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning wilt krijgen voor uw productprobleem, opent u een ondersteuningsticket.