Создание политик сеансов Microsoft Defender для облака Приложений
Microsoft Defender для облака политики сеансов приложений обеспечивают подробную видимость облачных приложений с отслеживанием уровня сеанса в режиме реального времени. Используйте политики сеансов для выполнения различных действий в зависимости от политики, заданной для сеанса пользователя.
В отличие от политик доступа, которые полностью разрешают или блокируют доступ, политики сеансов разрешают доступ во время мониторинга сеанса. Добавьте управление приложением условного доступа к политикам сеанса, чтобы ограничить определенные действия сеанса.
Например, может потребоваться разрешить пользователям доступ к приложению с неуправляемых устройств или из определенных расположений. Однако может потребоваться ограничить скачивание конфиденциальных файлов во время этих сеансов или требовать, чтобы определенные документы были защищены от скачивания, отправки или копирования при выходе из приложения.
Политики, созданные для ведущего приложения, не подключены к связанным приложениям ресурсов. Например, политики доступа, создаваемые для Teams, Exchange или Gmail, не подключены к SharePoint, OneDrive или Google Drive. Если вам нужна политика для приложения ресурсов в дополнение к основному приложению, создайте отдельную политику.
Количество политик, которые можно применить, не ограничено.
Необходимые компоненты
Перед началом работы убедитесь, что у вас есть следующие предварительные требования:
Лицензия Defender для облака Apps либо в виде автономной лицензии, либо в рамках другой лицензии
Лицензия на Microsoft Entra ID P1 либо как автономная лицензия, либо как часть другой лицензии.
Если вы используете поставщик удостоверений( не Microsoft IdP), лицензия, необходимая для решения поставщика удостоверений (IdP).
Соответствующие приложения, подключенные к управлению приложениями условного доступа. Приложения идентификатора Microsoft Entra автоматически подключены, а приложения, отличные от Майкрософт, должны быть подключены вручную.
Если вы работаете с не microsoft IdP, убедитесь, что вы также настроили поставщика удостоверений для работы с Microsoft Defender для облака приложениями. Дополнительные сведения см. в разделе:
Чтобы политика сеанса работала, необходимо также иметь политику условного доступа идентификатора Microsoft Entra ID, которая создает разрешения для управления трафиком.
Пример. Создание политик условного доступа идентификатора Microsoft Entra ID для использования с приложениями Defender для облака
В этой процедуре представлен высокоуровневый пример создания политики условного доступа для использования с Defender для облака приложениями.
В условном доступе для идентификатора Microsoft Entra выберите "Создать политику".
Введите понятное имя политики и выберите ссылку в разделе "Сеанс" , чтобы добавить элементы управления в политику.
В области сеанса выберите "Использовать управление приложениями условного доступа".
В области "Пользователи" выберите только все пользователи или определенные пользователи и группы.
В областях условий и клиентских приложений выберите условия и клиентские приложения, которые вы хотите включить в политику.
Сохраните политику, переключив "Только отчет" на "Включено", а затем нажмите кнопку "Создать".
Идентификатор Microsoft Entra поддерживает политики на основе браузера и не браузеров. Рекомендуется создать оба типа для повышения уровня безопасности.
Повторите эту процедуру, чтобы создать политику условного доступа на основе nonbrowser. В области клиентских приложений установите переключатель "Настройка" на "Да". Затем в разделе "Современные клиенты проверки подлинности" снимите флажок "Браузер ". Оставьте все остальные выбранные значения по умолчанию.
Примечание. Корпоративное приложение "Microsoft Defender для облака приложения — элементы управления сеансами" используется внутренне службой управления условным доступом к приложениям. Убедитесь, что политика ЦС не ограничивает доступ к этому приложению в целевых ресурсах.
Дополнительные сведения см. в разделе "Политики условного доступа" и "Создание политики условного доступа".
Создание политики сеанса Defender для облака Apps
В этой процедуре описывается создание новой политики сеанса в Defender для облака Apps.
В Microsoft Defender XDR перейдите на вкладку управления > условным доступом политики > облачных приложений>.
Выберите "Создать политику сеанса политики>". Например:
На странице "Создание политики сеанса" начните с выбора шаблона в раскрывающемся списке шаблона политики или путем ввода всех сведений вручную.
Введите следующие основные сведения для политики. Если вы используете шаблон, большая часть содержимого уже заполнена для вас.
Имя Описание Имя политики Понятное имя политики, например блокировка скачивания конфиденциальных документов в Box for Marketing Users Серьезность политики Выберите серьезность, которую вы хотите применить к политике. Категория Выберите категорию, которую вы хотите применить. Description Введите необязательное понятное описание политики, чтобы помочь вашей команде понять свою цель. Тип элемента управления сеансом Выберите один из следующих параметров:
- Отслеживать только. Отслеживает действия пользователей и создает политику только монитора для выбранного приложения.
- Блокировать действия. Блокирует определенные действия, определенные фильтром типа действия. Все действия из выбранных приложений отслеживаются и сообщаются в журнале действий.
- Управление скачиванием файлов (с проверкой). Отслеживает скачивание файлов и может сочетаться с другими действиями, например блокировкой или защитой загрузки.
- Управление отправкой файлов (с проверкой). Отслеживает отправку файлов и может сочетаться с другими действиями, например блокировкой или защитой отправки.
Дополнительные сведения см. в разделе "Поддерживаемые действия для политик сеансов".В действии, соответствующих всем приведенным ниже областям, выберите дополнительные фильтры действий, которые будут применяться к политике. Можно выбрать следующие фильтры:
Имя Описание Тип действия Выберите тип действия, который вы хотите применить, например:
-Печатание
— Действия буфера обмена, такие как вырезание, копирование, вставка
— Отправка, предоставление общего доступа, отмена совместного использования или редактирование элементов в поддерживаемых приложениях.
Например, используйте действие отправки элементов в ваших условиях, чтобы поймать пользователя, пытающегося отправить информацию в чате Teams или канале Slack, и заблокировать сообщение, если оно содержит конфиденциальную информацию, например пароль или другие учетные данные.Приложение Фильтры для конкретного приложения, включаемого в политику. Сначала выберите приложения, выбрав, используют ли они автоматическое подключение Azure AD для приложений идентификатора Microsoft Entra ID или ручной адаптации для приложений, отличных от Майкрософт. Затем выберите приложение, которое вы хотите включить в фильтр из списка.
Если ваше приложение, отличное от Майкрософт, отсутствует в списке, убедитесь, что вы полностью подключены к нему. Для получения дополнительной информации см.
- Подключение приложений каталога idP, отличных от Майкрософт, для управления приложениями условного доступа.
- Подключение пользовательских приложений, отличных от Майкрософт IdP, для управления условным доступом
Если вы решили не использовать фильтр приложений, политика применяется ко всем приложениям, помеченным как включенные на странице приложений "Параметры>", подключенных к облачным > приложениям>.
Примечание. Вы можете увидеть некоторые перекрытия между приложениями, подключенными и приложениями, которые нуждаются в ручном подключении. В случае конфликта в фильтре между приложениями автоматически подключенные приложения будут иметь приоритет.Устройство Фильтрация тегов устройств, таких как определенный метод управления устройствами или типы устройств, такие как КОМПЬЮТЕР, мобильный или планшет. IP-адрес Фильтруйте по IP-адресу или используйте ранее назначенные теги IP-адресов. Местонахождение Фильтрация по географическому расположению. Отсутствие четко определенного расположения может определять рискованные действия. Зарегистрированный поставщик услуг поставщика услуг Фильтрация действий, поступающих из определенного поставщика услуг. Пользователь Фильтрация для конкретного пользователя или группы пользователей. Строка агента пользователя Фильтрация по определенной строке агента пользователя. Тег агента пользователя Фильтрация тегов агента пользователя, например для устаревших браузеров или операционных систем. Например:
Выберите "Изменить и просмотреть результаты ", чтобы получить предварительный просмотр типов действий, которые будут возвращены с текущим выбором.
Настройте дополнительные параметры, доступные для всех определенных типов элементов управления сеансами.
Например, если вы выбрали действия блокировки, выберите " Использовать проверку содержимого" для проверки содержимого действия, а затем настройте параметры по мере необходимости. В этом случае может потребоваться проверить текст, содержащий определенные выражения, например номер социального страхования.
Если вы выбрали скачивание файла управления (с проверкой) или отправку файла управления (с проверкой), настройте файлы, соответствующие всем приведенным ниже параметрам.
Настройте один из следующих фильтров файлов:
Имя Описание Метка конфиденциальности Фильтрация по меткам конфиденциальности Защита информации Microsoft Purview, если вы также используете Microsoft Purview, а данные защищены метками конфиденциальности. Имя файла Фильтрация по определенным файлам. Расширение Фильтрация по определенным типам файлов, например блокировка скачивания для всех .xls файлов. Размер файла (МБ) Фильтруйте определенные размеры файлов, например большие или небольшие файлы. В области применения (предварительная версия):
- Выберите, следует ли применять политику ко всем файлам или файлам только в указанных папках.
- Выберите метод проверки для использования, например службы классификации данных или вредоносные программы. Дополнительные сведения см. в статье об интеграции служб классификации данных Майкрософт.
- Настройте более подробные параметры политики, например сценарии на основе таких элементов, как отпечатки пальцев или обучаемые классификаторы.
В области "Действия" выберите один из следующих параметров:
Имя Описание Аудит Отслеживает все действия. Выберите, чтобы явно разрешить загрузку в соответствии с заданными фильтрами политики. Block Блокирует скачивание файлов и отслеживает все действия. Выберите, чтобы явно блокировать скачивание в соответствии с заданными фильтрами политики.
Политики блокировки также позволяют выбирать уведомления пользователей по электронной почте и настраивать сообщение блока.Защита Применяет метку конфиденциальности к скачиванию и отслеживает все действия. Доступно только в том случае, если вы выбрали скачивание файла control (с проверкой).
Если вы используете Защита информации Microsoft Purview, вы также можете применить метку конфиденциальности к соответствующим файлам, применить пользовательские разрешения для скачивания файлов или заблокировать скачивание определенных файлов.
Если у вас есть политика условного доступа для идентификатора Microsoft Entra, вы также можете выбрать, чтобы требовать пошаговой проверки подлинности (предварительная версия).При необходимости выберите действие Always apply the selected, даже если данные не могут быть проверены по мере необходимости для политики.
В области оповещений настройте любое из следующих действий при необходимости:
- Создание оповещения для каждого соответствующего события с серьезностью политики
- Отправка оповещения по электронной почте
- Ежедневное ограничение оповещений на политику
- Отправка оповещений в Power Automate
По завершении нажмите Создать.
Тестирование политики
После создания политики сеанса проверьте его, повторно проверив проверку подлинности для каждого приложения, настроенного в политике, и проверив сценарий, настроенный в политике.
Примите во внимание следующие рекомендации.
- Перед повторной проверкой подлинности в приложениях выйдите из всех существующих сеансов.
- Войдите в мобильные и классические приложения с управляемых и неуправляемых устройств, чтобы убедиться, что действия полностью фиксируются в журнале действий.
Обязательно войдите с помощью пользователя, соответствующего политике.
Чтобы протестировать политику в приложении, выполните следующие действия.
Проверьте, отображается ли значок блокировки в браузере или если вы работаете в браузере, отличном от Microsoft Edge, убедитесь, что URL-адрес приложения содержит
.mcas
суффикс. Дополнительные сведения см. в статье "Защита в браузере с помощью Microsoft Edge для бизнеса (предварительная версия)".Посетите все страницы в приложении, которые являются частью рабочего процесса пользователя, и убедитесь, что страницы отображаются правильно.
Убедитесь, что поведение и функциональные возможности приложения не влияют на выполнение распространенных действий, таких как скачивание и отправка файлов.
Если вы работаете с пользовательскими приложениями, отличными от Майкрософт, проверьте каждый из доменов, которые вы добавили вручную для приложения.
Если возникают ошибки или проблемы, используйте панель инструментов администратора для сбора ресурсов, таких как .har
файлы и записанные сеансы для подачи запроса в службу поддержки.
Чтобы проверить наличие обновлений в XDR в Microsoft Defender, выполните следующие действия.
На портале Microsoft Defender в разделе "Облачные приложения" перейдите к политикам, а затем выберите управление политиками.
Выберите созданную политику для просмотра отчета о политике. Вскоре появится совпадение политики сеанса.
В отчете политики показано, какие входы были перенаправлены в Microsoft Defender для облака Приложения для управления сеансами, а также любые другие действия, такие как скачанные или заблокированные из отслеживаемых сеансов.
Отключение параметров уведомлений пользователей
По умолчанию пользователи уведомляются о мониторинге сеансов. Если вы предпочитаете, чтобы пользователи не уведомлялись или настраивали сообщение уведомления, настройте параметры уведомлений.
В XDR в Microsoft Defender выберите "Параметры облачных > приложений" "Мониторинг пользователей управления условным доступом к приложениям > >".
Выберите один из следующих вариантов:
- Снимите флажок "Уведомить пользователей о том, что их действия отслеживаются полностью"
- Сохраните выделение и выберите, чтобы использовать сообщение по умолчанию или настроить сообщение.
Выберите ссылку предварительного просмотра , чтобы просмотреть пример настроенного сообщения на новой вкладке браузера.
Экспорт журналов Cloud Discovery
Функция управления настройками условного доступа для приложений позволяет вести журналы трафика для каждого сеанса перенаправляемого пользователя. В журналах трафика регистрируются время, IP-адрес, агент пользователя, посещенные URL-адреса, а также объем скачанных и загруженных данных. Эти журналы анализируются, а непрерывный отчет Defender для облака приложениям с условным доступом к приложениям добавляется в список отчетов об обнаружении облака на панели мониторинга облачного обнаружения.
Чтобы экспортировать журналы Cloud Discovery с панели мониторинга облачного обнаружения, выполните следующие действия.
На портале Microsoft Defender выберите параметры. Затем выберите "Облачные приложения". В разделе "Подключенные приложения" выберите элемент управления условным доступом.
Над таблицей нажмите кнопку экспорта. Например:
Выберите диапазон отчета и нажмите кнопку "Экспорт". Этот процесс может занять некоторое время.
Чтобы скачать экспортируемый журнал после готовности отчета, на портале Microsoft Defender перейдите к отчетам ->Cloud Apps и экспортируемым отчетам.
В таблице выберите соответствующий отчет из списка журналов трафика управления условным доступом и нажмите кнопку "Скачать". Например:
Поддерживаемые действия для политик сеансов
В следующих разделах содержатся дополнительные сведения о каждом действии, поддерживаемом политиками сеансов Defender для облака Apps.
Только мониторинг
Только тип элемента управления сеансом Monitor отслеживает только действие входа.
Чтобы отслеживать другие действия, выберите один из других типов элементов управления сеансом и используйте действие аудита.
Чтобы отслеживать действия, отличные от загрузки и отправки, необходимо иметь по крайней мере один блок для каждой политики действий в политике мониторинга.
блокировать все загрузки;
При загрузке файла управления (с проверкой) в качестве типа элемента управления сеансом и в качестве действия устанавливается блокировка, элемент управления условным доступом запрещает пользователям скачивание файла на фильтры файлов политик.
Когда пользователь инициирует скачивание, отображается сообщение с ограниченным доступом для пользователя, а скачанный файл заменяется текстовым файлом. Настройте сообщение текстового файла пользователю, если это необходимо для вашей организации.
Требовать поэтапной проверки подлинности
Действие проверки подлинности "Требовать шаг" доступно, если для типа элемента управления сеансом задано значение "Блокировать действия", скачивание файла управления (с проверкой) или отправка файлов управления (с проверкой).
При выборе этого действия Defender для облака Apps перенаправляет сеанс в условный доступ Microsoft Entra для повторной оценки политики при каждом возникновении выбранного действия.
Используйте этот параметр для проверки утверждений, таких как многофакторная проверка подлинности и соответствие устройств во время сеанса на основе настроенного контекста проверки подлинности в идентификаторе Microsoft Entra.
блокировать определенные действия;
Если в качестве типа элемента управления сеансом задано значение "Блокировать действия", выберите определенные действия для блокировки в определенных приложениях.
Все действия из настроенных приложений отслеживаются и сообщаются в журнале действий облачных приложений>.
Чтобы заблокировать определенные действия, выберите действие "Блокировать" и выберите действия, которые нужно заблокировать.
Чтобы создать оповещения для определенных действий, выберите действие аудита и настройте параметры оповещения.
Например, может потребоваться заблокировать следующие действия:
Отправлено сообщение Teams. Запретить пользователям отправлять сообщения из Microsoft Teams или блокировать сообщения Teams, содержащие определенное содержимое.
Печать. Блокировать все действия печати.
Скопируйте. Блокировка всех действий копирования в буфер обмена или только блокировка копирования только для определенного содержимого.
защищать файлы при скачивании.
Выберите тип элемента управления сеансом "Блокировать действия", чтобы заблокировать определенные действия, которые определяются с помощью фильтра типов действий.
Все действия из настроенных приложений отслеживаются и сообщаются в журнале действий облачных приложений>.
Выберите действие "Блокировать", чтобы заблокировать определенные действия, или выберите действие аудита и определите параметры генерации оповещений для определенных действий.
Выберите действие "Защитить", чтобы защитить файлы с помощью меток конфиденциальности и других защиты в фильтрах файлов политики.
Метки конфиденциальности настраиваются в Microsoft Purview и должны быть настроены для применения шифрования, чтобы оно отображалось в качестве параметра в политике сеансов Defender для облака Apps.
Если вы настроили политику сеанса с определенной меткой, а пользователь скачивает файл, соответствующий критериям политики, метка и все соответствующие защиты и разрешения применяются к файлу.
Исходный файл остается в облачном приложении, пока скачанный файл защищен. Пользователи, пытающиеся получить доступ к скачанным файлу, должны соответствовать требованиям к разрешениям, определенным примененной защитой.
Defender для облака Приложения в настоящее время поддерживают применение меток конфиденциальности из Защита информации Microsoft Purview для следующих типов файлов:
- Word: docm, docx, dotm, dotx
- Excel: xlam, xlsm, xlsx, xltx
- PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
Примечание.
PDF-файлы должны быть помечены унифицированными метками.
Параметр Protect не поддерживает перезапись файлов с существующей меткой в политиках сеансов.
Защита отправки конфиденциальных файлов
Выберите тип элемента управления файлами управления файлами (с проверкой), чтобы предотвратить отправку файла пользователем согласно фильтрам файлов политики.
Если отправка файла содержит конфиденциальные данные и не имеет правильной метки, отправка файла блокируется.
Например, создайте политику, которая сканирует содержимое файла, чтобы определить, соответствует ли он конфиденциальному содержимому, например номер социального страхования. Если он содержит конфиденциальное содержимое и не помечен Защита информации Microsoft Purview конфиденциальной меткой, отправка файла блокируется.
Совет
Настройте пользовательское сообщение пользователю при блокировке файла, указав ему, как пометить файл для его отправки, помогая обеспечить соответствие файлов в облачных приложениях политикам.
Дополнительные сведения см. в статье "Обучение пользователей защите конфиденциальных файлов".
Блокировать отправку или скачивание вредоносных программ
Выберите отправку файла управления (с проверкой) или скачивание файла control (с проверкой) в качестве типа элемента управления сеансом и обнаружения вредоносных программ в качестве метода проверки, чтобы предотвратить отправку или скачивание файла с вредоносными программами. Файлы сканируются для вредоносных программ с помощью подсистемы аналитики угроз Майкрософт.
Просмотрите все файлы, помеченные как потенциальные вредоносные программы в журнале действий облачных приложений>, фильтруя для потенциальных обнаруженных вредоносных программ. Дополнительные сведения см. в статьях "Фильтры действий" и "Запросы".
Обучение пользователей защите конфиденциальных файлов
Мы рекомендуем обучить пользователей, когда они нарушают свои политики, чтобы они узнали, как соответствовать требованиям вашей организации.
Так как у каждого предприятия есть уникальные потребности и политики, Defender для облака Apps позволяет настраивать фильтры политики и сообщение, отображаемое пользователю при обнаружении нарушения.
Предоставьте пользователям определенное руководство, например предоставление инструкций о том, как правильно пометить файл или как зарегистрировать неуправляемое устройство, чтобы убедиться, что файлы успешно отправлены.
Например, если пользователь отправляет файл без метки конфиденциальности, настройте отображаемое сообщение, объяснив, что файл содержит конфиденциальное содержимое и требует соответствующей метки. Аналогичным образом, если пользователь пытается отправить документ с неуправляемого устройства, настройте сообщение, которое будет отображаться с инструкциями по регистрации этого устройства или одного из них, которое предоставляет дальнейшее объяснение того, почему устройство должно быть зарегистрировано.
Элементы управления доступом в политиках сеансов
Многие организации, которые предпочитают использовать элементы управления сеансами для облачных приложений для управления действиями в сеансе, также применяют элементы управления доступом, чтобы заблокировать тот же набор встроенных мобильных и классических клиентских приложений, что обеспечивает комплексную безопасность для приложений.
Блокировать доступ к встроенным мобильным и классическим клиентским приложениям с помощью политик доступа, задав фильтр клиентских приложений для мобильных и классических приложений. Некоторые встроенные клиентские приложения могут быть индивидуально распознаны, а другие, которые являются частью набора приложений, могут быть идентифицированы только как их приложение верхнего уровня. Например, такие приложения, как SharePoint Online, можно распознать только путем создания политики доступа, применяемой к приложениям Microsoft 365.
Примечание.
Если фильтр клиентского приложения специально не задан для мобильных устройств и настольных компьютеров, результирующая политика доступа будет применяться только к сеансам браузера. Это предназначено для предотвращения непреднамеренно прокси-сеансов пользователей.
Хотя большинство основных браузеров поддерживают проверку сертификата клиента, некоторые мобильные и классические приложения используют встроенные браузеры, которые могут не поддерживать эту проверку. Поэтому использование этого фильтра может повлиять на проверку подлинности для этих приложений.
Конфликты между политиками
Когда между двумя политиками сеансов возникает конфликт, тем более ограничительная политика выигрывает.
Например:
- Если сеанс пользователя соответствует политике, в которой скачивание заблокировано
- И политика, в которой файлы помечены при скачивании или где выполняется аудит загрузки,
- Параметр скачивания файла заблокирован, чтобы соответствовать более строгой политике.
Связанный контент
Дополнительные сведения см. в разделе:
- Устранение неполадок с элементами управления доступом и сеансами
- Руководство. Блокировка скачивания конфиденциальной информации с помощью управления условным доступом к приложениям
- Блокировка загрузки на неуправляемых устройствах с помощью элементов управления сеансами
- Вебинар управления условным доступом
Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.