Sessionsprinciper

Anteckning

  • Vi har bytt namn på Microsoft Cloud App Security. Den heter nu Microsoft Defender for Cloud Apps. Under de kommande veckorna uppdaterar vi skärmbilderna och instruktionerna här och på relaterade sidor. Mer information om ändringen finns i det här meddelandet. Mer information om den senaste namnbytet av Microsofts säkerhetstjänster finns i Microsoft Ignite-säkerhetsbloggen.

  • Microsoft Defender for Cloud Apps ingår nu i Microsoft 365 Defender. Med Microsoft 365 Defender portalen kan säkerhetsadministratörer utföra sina säkerhetsuppgifter på en plats. Detta förenklar arbetsflöden och lägger till funktionerna i de andra Microsoft 365 Defender tjänsterna. Microsoft 365 Defender är ett hem för övervakning och hantering av säkerhet i dina Microsoft-identiteter, data, enheter, appar och infrastruktur. Mer information om dessa ändringar finns i Microsoft Defender for Cloud Apps i Microsoft 365 Defender.

Microsoft Defender for Cloud Apps sessionsprinciper möjliggör övervakning på sessionsnivå i realtid, vilket ger dig detaljerad insyn i molnappar och möjlighet att vidta olika åtgärder beroende på vilken princip du anger för en användarsession. I stället för att tillåta eller blockera åtkomst helt, kan du med sessionskontroll tillåta åtkomst när du övervakar sessionen och/eller begränsar specifika sessionsaktiviteter med hjälp av funktionerna för omvänd proxy i appkontrollen för villkorsstyrd åtkomst.

Du kan till exempel bestämma att från ohanterade enheter, eller för sessioner som kommer från specifika platser, vill ge användaren åtkomst till appen men även begränsa nedladdningen av känsliga filer eller kräva att vissa dokument skyddas vid nedladdning. Med sessionsprinciper kan du ange dessa användarsessionskontroller och tillåta åtkomst och gör att du kan:

Krav för att använda sessionsprinciper

Skapa en sessionsprincip för Defender för molnet Apps

Följ den här proceduren om du vill skapa en ny sessionsprincip:

  1. Gå till Kontrollprinciper>>Villkorlig åtkomst.

  2. Välj Skapa princip och välj Sessionsprincip.

    Create a Conditional access policy.

  3. I fönstret Sessionsprincip tilldelar du ett namn för principen, till exempel Blockera nedladdning av känsliga dokument i rutan för marknadsföringsanvändare.

  4. I fältet Sessionskontrolltyp :

    1. Välj Endast övervaka om du bara vill övervaka aktiviteter av användare. Det här valet skapar en princip för endast övervakning för de appar som du har valt där alla inloggningar, heuristiska nedladdningar och aktivitetstyper laddas ned.

    2. Välj Kontrollera filhämtning (med kontroll) om du vill övervaka användaraktiviteter. Du kan vidta ytterligare åtgärder som att blockera eller skydda nedladdningar för användare.

    3. Välj Blockera aktiviteter för att blockera specifika aktiviteter, som du kan välja med hjälp av filtret Aktivitetstyp . Alla aktiviteter från valda appar övervakas (och rapporteras i aktivitetsloggen). De specifika aktiviteter som du väljer blockeras om du väljer åtgärden Blockera . De specifika aktiviteter som du har valt genererar aviseringar om du väljer teståtgärden och har aviseringar aktiverade.

  5. Under Aktivitetskälla i avsnittet Aktiviteter som matchar alla i följande avsnitt väljer du ytterligare aktivitetsfilter som ska tillämpas på principen. Dessa filter kan innehålla följande alternativ för aktivitetstyp:

    • Enhetstaggar: Använd det här filtret för att identifiera ohanterade enheter.

    • Plats: Använd det här filtret för att identifiera okända (och därmed riskfyllda) platser.

    • IP-adress: Använd det här filtret för att filtrera per IP-adresser eller använda tidigare tilldelade IP-adresstaggar.

    • Användaragenttagg: Använd det här filtret för att aktivera heuristik för att identifiera mobilappar och skrivbordsappar. Det här filtret kan anges till lika med eller är inte lika med intern klient. Det här filtret bör testas mot dina mobilappar och skrivbordsappar för varje molnapp.

    • Aktivitetstyp: Använd det här filtret för att välja specifika aktiviteter som ska kontrolleras, till exempel:

      • Skriv ut
      • Åtgärder för Urklipp: Kopiera, Klipp ut och Klistra in
      • Skicka objekt i appar som Teams, Slack och Salesforce
      • Dela och avdela objekt i olika appar
      • Redigera objekt i olika appar

    Anteckning

    Sessionsprinciper stöder inte mobilappar och skrivbordsappar. Mobilappar och skrivbordsappar kan också blockeras eller tillåtas genom att skapa en åtkomstprincip.

  6. Om du har valt alternativet Kontrollera filhämtning (med kontroll):

    1. Under Aktivitetskälla i avsnittet Filer som matchar alla i följande avsnitt väljer du ytterligare filfilter som ska tillämpas på principen. Dessa filter kan innehålla följande alternativ:

      • Känslighetsetikett – Använd det här filtret om din organisation använder Microsoft Purview Information Protection och dina data har skyddats av dess känslighetsetiketter. Du kan filtrera filer baserat på den känslighetsetikett som du har tillämpat på dem. Mer information om integrering med Microsoft Purview Information Protection finns i Microsoft Purview Information Protection integration.

      • Filnamn – Använd det här filtret för att tillämpa principen på specifika filer.

      • Filtyp – Använd det här filtret för att tillämpa principen på specifika filtyper, till exempel blockera nedladdning för alla .xls filer.

    2. I avsnittet Innehållsgranskning anger du om du vill aktivera DLP-motorn för att söka igenom dokument och filinnehåll.

    3. Under Åtgärder väljer du något av följande objekt:

      • Test (Övervaka alla aktiviteter): Ställ in den här åtgärden så att nedladdning uttryckligen tillåts enligt de principfilter som du anger.

      • Blockera (Blockera filhämtning och övervaka alla aktiviteter): Ange att den här åtgärden uttryckligen ska blockera nedladdning enligt de principfilter som du anger. Mer information finns i Så här fungerar blockhämtning.

      • Skydda (Använd känslighetsetikett för att ladda ned och övervaka alla aktiviteter): Det här alternativet är endast tillgängligt om du har valt Kontrollera filhämtning (med kontroll) under Sessionsprincip. Om din organisation använder Microsoft Purview Information Protection kan du ange en åtgärd för att tillämpa en känslighetsetikett som anges i Microsoft Purview Information Protection på filen. Mer information finns i Så här fungerar hämtning av skydd.

  7. Du kan skapa en avisering för varje matchande händelse med principens allvarlighetsgrad och ange en aviseringsgräns. Välj om du vill ha aviseringen som ett e-postmeddelande, ett SMS eller både och.

Övervaka alla aktiviteter

När du skapar en sessionsprincip omdirigeras varje användarsession som matchar principen till sessionskontrollen i stället för direkt till appen. Användaren ser ett övervakningsmeddelande för att meddela dem att deras sessioner övervakas.

Om du inte vill meddela användaren att de övervakas kan du inaktivera aviseringsmeddelandet.

  1. Under kugghjulet för inställningar väljer du Allmänna inställningar.

  2. Under Appkontroll för villkorsstyrd åtkomst väljer du Sedan Användarövervakning och avmarkerar kryssrutan Meddela användare .

För att hålla användaren inom sessionen ersätter appkontrollen för villkorsstyrd åtkomst alla relevanta URL:er, Java-skript och cookies i appsessionen med Microsoft Defender for Cloud Apps URL:er. Om appen till exempel returnerar en sida med länkar vars domäner slutar med myapp.com ersätter appkontrollen för villkorsstyrd åtkomst länkarna med domäner som slutar med något som liknar myapp.com.mcas.ms. På så sätt övervakas hela sessionen av Microsoft Defender for Cloud Apps.

Appkontroll för villkorsstyrd åtkomst registrerar trafikloggarna för varje användarsession som dirigeras genom den. Trafikloggarna omfattar tid, IP, användaragent, besökta URL:er och antalet byte som laddats upp och laddats ned. Dessa loggar analyseras och en kontinuerlig rapport, Defender för molnet Apps Conditional Access App Control, läggs till i listan över Cloud Discovery-rapporter på Cloud Discovery-instrumentpanelen.

Så här exporterar du loggarna:

  1. Gå till kugghjulet för inställningar och välj Appkontroll för villkorsstyrd åtkomst.

  2. Välj knappen Exportera till höger i tabellen.

    export button.

  3. Välj intervallet för rapporten och välj Exportera. Den här processen kan ta lite tid.

Så här laddar du ned den exporterade loggen:

  1. När rapporten är klar går du till Inställningar och sedan Exporterade rapporter.

  2. I tabellen väljer du relevant rapport i listan över trafikloggar för appkontroll för villkorsstyrd åtkomst och väljer Ladda ned.

    download button.

Blockera alla nedladdningar

När Blockera har angetts som den åtgärd som du vill vidta i Defender för molnet Apps-sessionsprincipen hindrar appkontrollen för villkorsstyrd åtkomst en användare från att ladda ned en fil enligt principens filfilter. En nedladdningshändelse identifieras av Microsoft Defender for Cloud Apps för varje app när en användare startar en nedladdning. Appkontroll för villkorsstyrd åtkomst ingriper i realtid för att förhindra att den körs. När signalen tas emot om att en användare har initierat en nedladdning returnerar appkontrollen för villkorsstyrd åtkomst ett nedladdningsbegränsat meddelande till användaren och ersätter den nedladdade filen med en textfil. Textfilens meddelande till användaren kan konfigureras och anpassas från sessionsprincipen.

Kräv stegvis autentisering (autentiseringskontext)

När Sessionskontrolltyp är inställd på Blockera aktiviteter, Kontrollera filhämtning (med kontroll), Kontrollfiluppladdning (med kontroll), kan du välja åtgärdenKräv stegvis autentisering. När den här åtgärden har valts omdirigerar Defender för molnet Apps sessionen till Azure AD villkorlig åtkomst för principomvärdering när den valda aktiviteten inträffar. Baserat på den konfigurerade autentiseringskontexten i Azure AD kan anspråk som multifaktorautentisering och enhetsefterlevnad kontrolleras under en session.

Blockera specifika aktiviteter

När Blockera aktiviteter anges som Aktivitetstyp kan du välja specifika aktiviteter som ska blockeras i specifika appar. Alla aktiviteter från valda appar övervakas och rapporteras i aktivitetsloggen. De specifika aktiviteter som du väljer blockeras om du väljer åtgärden Blockera . De specifika aktiviteter som du har valt genererar aviseringar om du väljer teståtgärden och har aviseringar aktiverade.

Exempel på blockerade aktiviteter är:

  • Skicka Teams meddelande: Använd det för att blockera meddelanden som skickas från Microsoft Teams eller blockera Teams meddelanden som innehåller specifikt innehåll
  • Skriv ut: Använd den för att blockera utskriftsåtgärder
  • Kopiera: Använd den för att blockera åtgärder för att kopiera till Urklipp eller endast blockera kopiering för specifikt innehåll

Blockera specifika aktiviteter och tillämpa dem på specifika grupper för att skapa ett omfattande skrivskyddat läge för din organisation.

Skydda filer vid nedladdning

Välj Blockera aktiviteter för att blockera specifika aktiviteter, som du hittar med hjälp av filtret Aktivitetstyp . Alla aktiviteter från valda appar övervakas (och rapporteras i aktivitetsloggen). De specifika aktiviteter som du väljer blockeras om du väljer åtgärden Blockera . De specifika aktiviteter som du har valt genererar aviseringar om du väljer teståtgärden och har aviseringar aktiverade.

När Skydda anges som den åtgärd som ska vidtas i sessionsprincipen för Defender för molnet-appar, framtvingar appkontrollen för villkorsstyrd åtkomst etikettering och efterföljande skydd av en fil enligt principens filfilter. Etiketter konfigureras i efterlevnadsportal i Microsoft Purview och etiketten måste konfigureras för att tillämpa kryptering för att den ska visas som ett alternativ i Defender för molnet Apps-principen. När en etikett väljs och en fil laddas ned som uppfyller kriterierna för principen Defender för molnet Apps tillämpas etiketten och motsvarande skydd (med behörigheter) på filen vid nedladdning. Den ursprungliga filen finns kvar som den är i molnappen medan den nedladdade filen nu är skyddad. Användare som försöker komma åt filen måste uppfylla behörighetskraven som bestäms av det skydd som tillämpas.

Defender för molnet Apps stöder för närvarande tillämpning av känslighetsetiketter från Microsoft Purview Information Protection för följande filtyper:

  • Word: docm, docx, dotm, dotx
  • Excel: xlam, xlsm, xlsx, xltx
  • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • PDF

    Anteckning

    För PDF måste du använda enhetliga etiketter.

Skydda uppladdningar av känsliga filer

När Kontrollera filuppladdning (med kontroll) anges som sessionskontrolltyp i sessionsprincipen Defender för molnet Apps, förhindrar appkontrollen för villkorsstyrd åtkomst att en användare laddar upp en fil enligt principens filfilter. När en uppladdningshändelse identifieras ingriper appkontrollen för villkorsstyrd åtkomst i realtid för att avgöra om filen är känslig och behöver skydd. Om filen har känsliga data och inte har en korrekt etikett blockeras filuppladdningen.

Du kan till exempel skapa en princip som söker igenom innehållet i en fil för att avgöra om den innehåller en känslig innehållsmatchning, till exempel ett personnummer. Om den innehåller känsligt innehåll och inte är märkt med en Microsoft Purview Information Protection konfidentiell etikett blockeras filuppladdningen. När filen blockeras kan du visa ett anpassat meddelande för användaren som instruerar dem om hur filen ska märkas för att kunna ladda upp den. På så sätt ser du till att filer som lagras i dina molnappar följer dina principer.

Blockera skadlig kod vid uppladdning

När Kontrollfiluppladdning (med inspektion) anges som sessionskontrolltyp och Identifiering av skadlig kod anges som inspektionsmetod i sessionsprincipen för Defender för molnet Apps, förhindrar appkontrollen för villkorsstyrd åtkomst att en användare laddar upp en fil i realtid om skadlig kod identifieras. Filer genomsöks med hjälp av Microsofts hotinformationsmotor.

Du kan visa de filer som har flaggats som potentiell skadlig kod med hjälp av filtret Potentiell skadlig kod har identifierats i aktivitetsloggen.

Du kan också konfigurera sessionsprinciper för att blockera skadlig kod vid nedladdning.

Utbilda användare att skydda känsliga filer

Det är viktigt att utbilda användare när de bryter mot en princip så att de lär sig att följa organisationens principer. Eftersom alla företag har unika behov och principer kan du Defender för molnet Apps anpassa en princips filter och det meddelande som visas för användaren när en överträdelse identifieras. Du kan ge specifika riktlinjer till dina användare, till exempel att ge instruktioner om hur du etiketterar en fil på rätt sätt eller hur du registrerar en ohanterad enhet för att säkerställa att filerna laddas upp.

Om en användare till exempel laddar upp en fil utan en känslighetsetikett kan ett meddelande visas som förklarar att filen innehåller känsligt innehåll som kräver en lämplig etikett. Om en användare på samma sätt försöker ladda upp ett dokument från en ohanterad enhet kan ett meddelande med instruktioner om hur enheten registreras eller ett meddelande som ger ytterligare förklaring av varför enheten måste registreras visas.

Nästa steg

Se även

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.