Erstellen von Microsoft Defender for Cloud Apps Sitzungsrichtlinien
Microsoft Defender for Cloud Apps Sitzungsrichtlinien bieten einen präzisen Einblick in Cloud-Apps mit Echtzeitüberwachung auf Sitzungsebene. Verwenden Sie Sitzungsrichtlinien, um verschiedene Aktionen auszuführen, je nachdem, welche Richtlinie Sie für eine Benutzersitzung festgelegt haben.
Im Gegensatz zu Zugriffsrichtlinien, die den Zugriff vollständig zulassen oder blockieren, lassen Sitzungsrichtlinien den Zugriff während der Überwachung der Sitzung zu. Fügen Sie Ihren Sitzungsrichtlinien die App-Steuerung für bedingten Zugriff hinzu, um bestimmte Sitzungsaktivitäten einzuschränken.
Beispielsweise können Sie Benutzern den Zugriff auf eine App von nicht verwalteten Geräten oder von bestimmten Standorten aus ermöglichen. Sie können jedoch das Herunterladen vertraulicher Dateien während dieser Sitzungen einschränken oder verlangen, dass bestimmte Dokumente beim Beenden der App vor dem Herunterladen, Hochladen oder Kopieren geschützt sind.
Richtlinien, die für eine Host-App erstellt werden, sind nicht mit zugehörigen Ressourcen-Apps verbunden. Beispielsweise sind Zugriffsrichtlinien, die Sie für Teams, Exchange oder Gmail erstellen, nicht mit SharePoint, OneDrive oder Google Drive verbunden. Wenn Sie zusätzlich zur Host-App eine Richtlinie für die Ressourcen-App benötigen, erstellen Sie eine separate Richtlinie.
Es gibt keine Beschränkung für die Anzahl von Richtlinien, die angewendet werden können.
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:
Eine Defender for Cloud Apps Lizenz, entweder als eigenständige Lizenz oder als Teil einer anderen Lizenz
Eine Lizenz für Microsoft Entra ID P1, entweder als eigenständige Lizenz oder als Teil einer anderen Lizenz.
Wenn Sie einen Nicht-Microsoft-IdP verwenden, ist die Lizenz, die für Ihre Identitätsanbieterlösung (Identity Provider, IdP) erforderlich ist.
Die relevanten Apps, die in die App-Steuerung für bedingten Zugriff integriert sind. Microsoft Entra ID Apps werden automatisch integriert, während Nicht-Microsoft IdP-Apps manuell integriert werden müssen.
Wenn Sie mit einem Nicht-Microsoft-IdP arbeiten, stellen Sie sicher, dass Sie auch Ihren IdP für die Verwendung mit Microsoft Defender for Cloud Apps konfiguriert haben. Weitere Informationen finden Sie unter:
Damit Ihre Sitzungsrichtlinie funktioniert, müssen Sie auch über eine Microsoft Entra ID Richtlinie für bedingten Zugriff verfügen, die die Berechtigungen zum Steuern des Datenverkehrs erstellt.
Beispiel: Erstellen Microsoft Entra ID Richtlinien für bedingten Zugriff für die Verwendung mit Defender for Cloud Apps
Dieses Verfahren enthält ein allgemeines Beispiel für das Erstellen einer Richtlinie für bedingten Zugriff für die Verwendung mit Defender for Cloud Apps.
Wählen Sie Microsoft Entra ID Bedingter Zugriff die Option Neue Richtlinie erstellen aus.
Geben Sie einen aussagekräftigen Namen für Ihre Richtlinie ein, und wählen Sie dann den Link unter Sitzung aus, um Ihrer Richtlinie Steuerelemente hinzuzufügen.
Wählen Sie im Bereich Sitzung die Option App-Steuerung für bedingten Zugriff verwenden aus.
Wählen Sie im Bereich Benutzer aus, dass nur alle Benutzer oder bestimmte Benutzer und Gruppen eingeschlossen werden sollen.
Wählen Sie in den Bereichen Bedingungen und Client-Apps die Bedingungen und Client-Apps aus, die Sie in Ihre Richtlinie aufnehmen möchten.
Speichern Sie die Richtlinie, indem Sie nur Bericht auf Ein umschalten und dann Erstellen auswählen.
Microsoft Entra ID unterstützt sowohl browserbasierte als auch nicht browserbasierte Richtlinien. Es wird empfohlen, beide Typen zu erstellen, um die Sicherheit zu erhöhen.
Wiederholen Sie dieses Verfahren, um eine nicht browserbasierte Richtlinie für bedingten Zugriff zu erstellen. Legen Sie im Bereich Client-Apps die Option Konfigurieren auf Ja fest. Deaktivieren Sie dann unter Moderne Authentifizierungsclients die Option Browser . Lassen Sie alle anderen Standardauswahlen ausgewählt.
Weitere Informationen finden Sie unter Richtlinien für bedingten Zugriff und Erstellen einer Richtlinie für bedingten Zugriff.
Erstellen einer Defender for Cloud Apps-Sitzungsrichtlinie
In diesem Verfahren wird beschrieben, wie Sie eine neue Sitzungsrichtlinie in Defender for Cloud Apps erstellen.
Wählen Sie Microsoft Defender XDR die Registerkarte Cloud-Apps-Richtlinien >> Richtlinienverwaltung > Bedingter Zugriff aus.
Wählen Sie Richtlinie> erstellenSitzungsrichtlinie aus. Zum Beispiel:
Wählen Sie auf der Seite Sitzungsrichtlinie erstellen entweder eine Vorlage aus der Dropdownliste Richtlinienvorlage aus, oder geben Sie alle Details manuell ein.
Geben Sie die folgenden grundlegenden Informationen für Ihre Richtlinie ein. Wenn Sie eine Vorlage verwenden, ist ein Großteil des Inhalts bereits für Sie ausgefüllt.
Name Beschreibung Name der Richtlinie Ein aussagekräftiger Name für Ihre Richtlinie, z. B . Herunterladen vertraulicher Dokumente in Box für Marketingbenutzer blockieren Schweregrad der Richtlinie Wählen Sie den Schweregrad aus, den Sie auf Ihre Richtlinie anwenden möchten. Kategorie Wählen Sie die Kategorie aus, die Sie anwenden möchten. Beschreibung Geben Sie eine optionale, aussagekräftige Beschreibung für Ihre Richtlinie ein, damit Ihr Team den Zweck besser verstehen kann. Sitzungssteuerungstyp Wählen Sie eine der folgenden Optionen aus:
- Nur Überwachen. Überwacht nur Benutzeraktivitäten und erstellt eine Richtlinie nur überwachen für die apps, die Sie auswählen.
- Aktivitäten blockieren. Blockiert bestimmte Aktivitäten, die durch den Filter Aktivitätstyp definiert werden. Alle Aktivitäten aus ausgewählten Apps werden überwacht und im Aktivitätsprotokoll gemeldet.
- Download der Steuerdatei (mit Überprüfung). Überwacht Dateidownloads und kann mit anderen Aktionen wie Blockieren oder Schützen von Downloads kombiniert werden.
- Steuern des Dateiuploads (mit Überprüfung). Überwacht Dateiuploads und kann mit anderen Aktionen wie Blockieren oder Schützen von Uploads kombiniert werden.
Weitere Informationen finden Sie unter Unterstützte Aktivitäten für Sitzungsrichtlinien.Wählen Sie im Bereich Aktivitäten, die allen folgenden Aktivitäten entsprechen , zusätzliche Aktivitätsfilter aus, die auf die Richtlinie angewendet werden sollen. Filter umfassen die folgenden Optionen:
Name Beschreibung Aktivitätstyp Wählen Sie den Aktivitätstyp aus, den Sie anwenden möchten, z. B.:
-Druck
- Aktionen der Zwischenablage wie Ausschneiden, Kopieren, Einfügen
– Senden, Freigeben, Aufheben der Freigabe oder Bearbeitung von Elementen in unterstützten Apps.
Verwenden Sie beispielsweise eine Aktivität zum Senden von Elementen unter Ihren Bedingungen, um einen Benutzer zu erwischen, der versucht, Informationen in einem Teams-Chat oder Slack-Kanal zu senden, und blockieren Sie die Nachricht, wenn sie vertrauliche Informationen wie ein Kennwort oder andere Anmeldeinformationen enthält.App Filtert nach einer bestimmten App, die in die Richtlinie eingeschlossen werden soll. Wählen Sie Apps aus, indem Sie zuerst auswählen, ob sie automatisiertes Azure AD-Onboarding für Microsoft Entra ID-Apps oder manuelles Onboarding für Nicht-Microsoft-IdP-Apps verwenden. Wählen Sie dann in der Liste die App aus, die Sie in Ihren Filter aufnehmen möchten.
Wenn Ihre Nicht-Microsoft IdP-App in der Liste fehlt, stellen Sie sicher, dass Sie sie vollständig integriert haben. Weitere Informationen finden Sie unter:
- Integrieren Sie Nicht-Microsoft IdP-Katalog-Apps für die App-Steuerung für bedingten Zugriff.
- Onboarding benutzerdefinierter Nicht-Microsoft-IdP-Apps für die App-Steuerung für bedingten Zugriff
Wenn Sie den App-Filter nicht verwenden möchten, gilt die Richtlinie für alle Anwendungen, die auf der Seite Einstellungen > Cloud Apps > Verbundene Apps > App-Steuerungs-Apps mit bedingtem Zugriff als Aktiviert gekennzeichnet sind.
Hinweis: Möglicherweise stellen Sie einige Überschneidungen zwischen Apps fest, die integriert sind, und Apps, die ein manuelles Onboarding erfordern. Im Falle eines Konflikts in Ihrem Filter zwischen den Apps haben manuell integrierte Apps Vorrang.Gerät Filtern Sie nach Gerätetags, z. B. nach einer bestimmten Geräteverwaltungsmethode oder nach Gerätetypen wie PC, Mobilgerät oder Tablet. IP-Adresse Filtern Sie nach IP-Adresse, oder verwenden Sie zuvor zugewiesene IP-Adresstags. Location Filtern Sie nach geografischem Standort. Das Fehlen eines klar definierten Standorts kann auf riskante Aktivitäten hindeuten. Registrierter ISP Filtern sie nach Aktivitäten, die von einem bestimmten ISP stammen. Benutzer Filtern Sie nach einem bestimmten Benutzer oder einer gruppe von Benutzern. Zeichenfolge des Benutzer-Agenten Filtern Sie nach einer bestimmten Benutzer-Agent-Zeichenfolge. Benutzer-Agent-Tag Filtern Sie nach Benutzer-Agent-Tags, z. B. nach veralteten Browsern oder Betriebssystemen. Zum Beispiel:
Wählen Sie Bearbeiten und Ergebnisse anzeigen aus, um eine Vorschau der Arten von Aktivitäten zu erhalten, die mit Ihrer aktuellen Auswahl zurückgegeben werden.
Konfigurieren Sie zusätzliche Optionen, die für bestimmte Sitzungssteuerungstypen verfügbar sind.
Wenn Sie z. B. Aktivitäten blockieren ausgewählt haben, wählen Sie Inhaltsüberprüfung verwenden aus, um den Aktivitätsinhalt zu überprüfen, und konfigurieren Sie dann Ihre Einstellungen nach Bedarf. In diesem Fall möchten Sie möglicherweise nach Text suchen, der bestimmte Ausdrücke enthält, z. B. eine Sozialversicherungsnummer.
Wenn Sie Dateidownload steuern (mit Überprüfung) oder Dateiupload steuern (mit Überprüfung) ausgewählt haben, konfigurieren Sie die Dateien mit allen folgenden Einstellungen.
Konfigurieren Sie einen der folgenden Dateifilter:
Name Beschreibung Vertraulichkeitsbezeichnung Filtern Sie nach Microsoft Purview Information Protection Vertraulichkeitsbezeichnungen, wenn Sie auch Microsoft Purview verwenden und Ihre Daten durch die zugehörigen Vertraulichkeitsbezeichnungen geschützt sind. Dateiname Filtern Sie nach bestimmten Dateien. Extension Filtern Sie nach bestimmten Dateitypen, z. B. Blockdownload für alle .xls Dateien. Dateigröße (MB) Filtern Sie nach bestimmten Dateigrößen, z. B. große oder kleine Dateien. Im Bereich Übernehmen für (Vorschau):
- Wählen Sie aus, ob die Richtlinie auf alle Dateien oder nur auf Dateien in angegebenen Ordnern angewendet werden soll.
- Wählen Sie eine zu verwendende Überprüfungsmethode aus, z. B. Datenklassifizierungsdienste oder Schadsoftware. Weitere Informationen finden Sie unter Integration von Microsoft Data Classification Services.
- Konfigurieren Sie detailliertere Optionen für Ihre Richtlinie, z. B. Szenarien, die auf Elementen wie Fingerabdrücken oder trainierbaren Klassifizierern basieren.
Wählen Sie im Bereich Aktionen eine der folgenden Optionen aus:
Name Beschreibung Überwachung Überwacht alle Aktivitäten. Wählen Sie diese Option aus, um den Download gemäß den von Ihnen festgelegten Richtlinienfiltern explizit zuzulassen. Blockieren Blockiert Dateidownloads und überwacht alle Aktivitäten. Wählen Sie diese Option aus, um Downloads gemäß den von Ihnen festgelegten Richtlinienfiltern explizit zu blockieren.
Mit Blockieren von Richtlinien können Sie auch auswählen, dass Benutzer per E-Mail benachrichtigt und die Blockierungsnachricht angepasst wird.Protect Wendet eine Vertraulichkeitsbezeichnung auf den Download an und überwacht alle Aktivitäten. Nur verfügbar, wenn Sie Dateidownload steuern (mit Überprüfung) ausgewählt haben.
Wenn Sie Microsoft Purview Information Protection verwenden, können Sie auch eine Vertraulichkeitsbezeichnung auf übereinstimmende Dateien anwenden, benutzerdefinierte Berechtigungen auf den Benutzer anwenden, der Dateien herunter lädt, oder das Herunterladen bestimmter Dateien blockieren.
Wenn Sie über eine Microsoft Entra ID Richtlinie für bedingten Zugriff verfügen, können Sie auch festlegen, dass eine schrittweise Authentifizierung erforderlich ist (Vorschau).Wählen Sie optional die Option Ausgewählte Aktion immer anwenden aus, auch wenn die Daten nicht nach Bedarf für Ihre Richtlinie gescannt werden können.
Konfigurieren Sie im Bereich Warnungen nach Bedarf eine der folgenden Aktionen:
- Erstellen einer Warnung für jedes übereinstimmende Ereignis mit dem Schweregrad der Richtlinie
- Senden einer Warnung als E-Mail
- Tägliches Warnungslimit pro Richtlinie
- Senden von Warnungen an Power Automate
Wenn Sie fertig sind, wählen Sie Erstellen aus.
Testen Ihrer Richtlinie
Nachdem Sie Ihre Sitzungsrichtlinie erstellt haben, testen Sie sie, indem Sie sich bei jeder App, die in der Richtlinie konfiguriert ist, erneut authentifizieren und das Szenario testen, das Sie in Ihrer Richtlinie konfiguriert haben.
Wir empfehlen, dass Sie wie folgt vorgehen:
- Melden Sie sich von allen vorhandenen Sitzungen ab, bevor Sie sich erneut bei Ihren Apps authentifizieren.
- Melden Sie sich bei mobilen und Desktop-Apps sowohl von verwalteten als auch von nicht verwalteten Geräten aus an, um sicherzustellen, dass Aktivitäten vollständig im Aktivitätsprotokoll erfasst werden.
Stellen Sie sicher, dass Sie sich mit einem Benutzer anmelden, der Ihrer Richtlinie entspricht.
So testen Sie Ihre Richtlinie in Ihrer App:
Überprüfen Sie, ob das Sperrsymbol in Ihrem Browser angezeigt wird, oder wenn Sie in einem anderen Browser als Microsoft Edge arbeiten, überprüfen Sie, ob Ihre App-URL das
.mcas
Suffix enthält. Weitere Informationen finden Sie unter In-Browser-Schutz mit Microsoft Edge for Business (Vorschau).Besuchen Sie alle Seiten innerhalb der App, die Teil des Arbeitsprozesses eines Benutzers sind, und überprüfen Sie, ob die Seiten ordnungsgemäß gerendert werden.
Stellen Sie sicher, dass das Verhalten und die Funktionalität der App nicht beeinträchtigt werden, indem Sie allgemeine Aktionen ausführen, z. B. das Herunterladen und Hochladen von Dateien.
Wenn Sie mit benutzerdefinierten, nicht von Microsoft stammenden IdP-Apps arbeiten, überprüfen Sie jede der Domänen, die Sie manuell für Ihre App hinzugefügt haben.
Wenn Fehler oder Probleme auftreten, verwenden Sie die Administratorsymbolleiste, um Ressourcen wie .har
Dateien und aufgezeichnete Sitzungen zum Erstellen eines Supporttickets zu sammeln.
So suchen Sie in Microsoft Defender XDR nach Updates:
Navigieren Sie im Microsoft Defender Portal unter Cloud-Apps zu Richtlinien, und wählen Sie dann Richtlinienverwaltung aus.
Wählen Sie die Richtlinie aus, die Sie erstellt haben, um den Richtlinienbericht anzuzeigen. Eine Sitzungsrichtlinien-Übereinstimmung sollte in Kürze angezeigt werden.
Der Richtlinienbericht zeigt an, welche Anmeldungen zur Sitzungssteuerung an Microsoft Defender for Cloud Apps umgeleitet wurden, sowie alle anderen Aktionen, z. B. welche Dateien aus den überwachten Sitzungen heruntergeladen oder blockiert wurden.
Deaktivieren der Einstellungen für Benutzerbenachrichtigungen
Standardmäßig werden Benutzer benachrichtigt, wenn ihre Sitzungen überwacht werden. Wenn Sie es vorziehen, dass Ihre Benutzer nicht benachrichtigt werden oder die Benachrichtigung anpassen möchten, konfigurieren Sie Benachrichtigungseinstellungen.
Wählen Sie Microsoft Defender XDR Einstellungen > Cloud-Apps > Bedingter Zugriff App-Steuerung > Benutzerüberwachung aus.
Wählen Sie eine der folgenden Optionen aus:
- Deaktivieren Sie die Option Benutzer darüber benachrichtigen, dass ihre Aktivität vollständig überwacht wird .
- Behalten Sie die Auswahl bei, und wählen Sie aus, ob sie entweder die Standardnachricht verwenden oder ihre Nachricht anpassen möchten.
Wählen Sie den Link Vorschau aus, um ein Beispiel für die konfigurierte Nachricht auf einer neuen Browserregisterkarte anzuzeigen.
Exportieren von Cloud Discovery-Protokollen
Die App-Steuerung für bedingten Zugriff zeichnet die Datenverkehrsprotokolle jeder Benutzersitzung auf, die durch sie weitergeleitet wird. Die Datenverkehrsprotokolle enthalten die Uhrzeit, die IP-Adresse, den Benutzer-Agent, die besuchten URLs und die Anzahl der hochgeladenen und heruntergeladenen Bytes. Diese Protokolle werden analysiert, und ein fortlaufender Bericht Defender for Cloud Apps App-Steuerung für bedingten Zugriff wird der Liste der Cloud Discovery-Berichte im Cloud Discovery-Dashboard hinzugefügt.
So exportieren Sie Cloud Discovery-Protokolle aus dem Cloud Discovery-Dashboard:
Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Verbundene Apps die Option App-Steuerung für bedingten Zugriff aus.
Wählen Sie über der Tabelle die Schaltfläche Exportieren aus. Zum Beispiel:
Wählen Sie den Bereich des Berichts und dann Exportieren aus. Dieser Vorgang kann einige Zeit in Anspruch nehmen.
Um das exportierte Protokoll herunterzuladen, nachdem der Bericht bereit ist, wechseln Sie im Microsoft Defender Portal zu Berichte ->Cloud-Apps und dann zu Exportierte Berichte.
Wählen Sie in der Tabelle den relevanten Bericht aus der Liste der App-Steuerungs-Datenverkehrsprotokolle für bedingten Zugriff aus, und wählen Sie Herunterladen aus. Zum Beispiel:
Unterstützte Aktivitäten für Sitzungsrichtlinien
Die folgenden Abschnitte enthalten weitere Details zu jeder Aktivität, die von Defender for Cloud Apps Sitzungsrichtlinien unterstützt wird.
Nur Überwachen
Der SitzungssteuerungstypNur überwachen überwacht nur die Anmeldeaktivität.
Um andere Aktivitäten zu überwachen, wählen Sie einen der anderen Sitzungssteuerungstypen aus, und verwenden Sie die Aktion Überwachen.
Um andere Aktivitäten als Downloads und Uploads zu überwachen, muss ihre Überwachungsrichtlinie mindestens einen Block pro Aktivitätsrichtlinie enthalten.
Alle Downloads blockieren
Wenn Dateidownload steuern (mit Überprüfung) als Sitzungssteuerungstyp und Blockieren als Aktion festgelegt ist, verhindert die App-Steuerung für bedingten Zugriff, dass Benutzer eine Datei gemäß den Richtliniendateifiltern herunterladen können.
Wenn ein Benutzer einen Download initiiert, wird die Meldung Download eingeschränkt für den Benutzer angezeigt, und die heruntergeladene Datei wird durch eine Textdatei ersetzt. Konfigurieren Sie die Nachricht der Textdatei an den Benutzer nach Bedarf für Ihre organization.
Anfordern einer schrittweisen Authentifizierung
Die AktionStep-up-Authentifizierung erforderlich ist verfügbar, wenn der Sitzungssteuerungstyp auf Aktivitäten blockieren, Dateidownload steuern (mit Überprüfung) oder Dateiupload steuern (mit Überprüfung) festgelegt ist.
Wenn diese Aktion ausgewählt ist, leitet Defender for Cloud Apps die Sitzung an Microsoft Entra bedingten Zugriff für die erneute Auswertung der Richtlinie um, wenn die ausgewählte Aktivität auftritt.
Verwenden Sie diese Option, um Ansprüche wie mehrstufige Authentifizierung und Gerätekonformität während einer Sitzung basierend auf dem konfigurierten Authentifizierungskontext in Microsoft Entra ID zu überprüfen.
Bestimmte Aktivitäten blockieren
Wenn Aktivitäten blockieren als Sitzungssteuerungstyp festgelegt ist, wählen Sie bestimmte Aktivitäten aus, die in bestimmten Apps blockiert werden sollen.
Alle Aktivitäten von konfigurierten Apps werden überwacht und im Aktivitätsprotokoll für Cloud-Apps > gemeldet.
Um bestimmte Aktivitäten zu blockieren, wählen Sie die AktionBlockieren und dann die Aktivitäten aus, die Sie blockieren möchten.
Um Warnungen für bestimmte Aktivitäten auszulösen, wählen Sie die AktionÜberwachen aus, und konfigurieren Sie Ihre Warnungseinstellungen.
Beispielsweise können Sie die folgenden Aktivitäten blockieren:
Gesendete Teams-Nachricht. Blockieren Sie, dass Benutzer Nachrichten von Microsoft Teams senden, oder blockieren Sie Teams-Nachrichten, die bestimmte Inhalte enthalten.
Drucken. Alle Druckaktionen blockieren.
Kopieren Sie. Alle Aktionen zum Kopieren in die Zwischenablage blockieren oder das Kopieren nur für bestimmte Inhalte blockieren.
Schützen von Dateien beim Herunterladen
Wählen Sie den SitzungssteuerungstypAktivitäten blockieren aus, um bestimmte Aktivitäten zu blockieren, die Sie mit dem FilterAktivitätstyp definieren.
Alle Aktivitäten von konfigurierten Apps werden überwacht und im Aktivitätsprotokoll für Cloud-Apps > gemeldet.
Wählen Sie die AktionBlockieren aus, um bestimmte Aktivitäten zu blockieren, oder wählen Sie die AktionÜberwachen aus, und definieren Sie Warnungseinstellungen, um Warnungen für bestimmte Aktivitäten auszulösen.
Wählen Sie die AktionSchützen aus, um Dateien mit Vertraulichkeitsbezeichnungen und anderen Schutzmaßnahmen gemäß den Dateifiltern der Richtlinie zu schützen.
Vertraulichkeitsbezeichnungen werden in Microsoft Purview konfiguriert und müssen so konfiguriert werden, dass sie Verschlüsselung anwenden, damit sie als Option in der Defender for Cloud Apps Sitzungsrichtlinie angezeigt werden.
Wenn Sie Ihre Sitzungsrichtlinie mit einer bestimmten Bezeichnung konfiguriert haben und der Benutzer eine Datei herunterlädt, die die Kriterien der Richtlinie erfüllt, werden die Bezeichnung und alle entsprechenden Schutzmaßnahmen und Berechtigungen auf die Datei angewendet.
Die ursprüngliche Datei bleibt in der Cloud-App unverändert, während die heruntergeladene Datei geschützt ist. Benutzer, die versuchen, auf die heruntergeladene Datei zuzugreifen, müssen die durch den angewendeten Schutz festgelegten Berechtigungsanforderungen erfüllen.
Defender for Cloud Apps unterstützt derzeit das Anwenden von Vertraulichkeitsbezeichnungen aus Microsoft Purview Information Protection für die folgenden Dateitypen:
- Word: docm, docx, dotm, dotx
- Excel: xlam, xlsm, xlsx, xltx
- PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
Hinweis
PDF-Dateien müssen mit einheitlichen Bezeichnungen beschriftet werden.
Die Option Schützen unterstützt das Überschreiben von Dateien mit einer vorhandenen Bezeichnung in Sitzungsrichtlinien nicht.
Schützen von Uploads vertraulicher Dateien
Wählen Sie den SitzungssteuerungstypDateiupload steuern (mit Überprüfung) aus, um zu verhindern, dass ein Benutzer eine Datei gemäß den Dateifiltern der Richtlinie hochlädt.
Wenn die Datei, die hochgeladen wird, vertrauliche Daten enthält und nicht über die richtige Bezeichnung verfügt, wird der Dateiupload blockiert.
Erstellen Sie beispielsweise eine Richtlinie, die den Inhalt einer Datei überprüft, um festzustellen, ob sie eine Übereinstimmung mit vertraulichen Inhalten enthält, z. B. eine Sozialversicherungsnummer. Wenn sie vertrauliche Inhalte enthält und nicht mit einer Microsoft Purview Information Protection Vertraulich bezeichnet wird, wird der Dateiupload blockiert.
Tipp
Konfigurieren Sie eine benutzerdefinierte Nachricht für den Benutzer, wenn eine Datei blockiert wird, und weisen Sie ihn an, wie die Datei beschriftet werden soll, um sie hochzuladen, um sicherzustellen, dass in Ihren Cloud-Apps gespeicherte Dateien Ihren Richtlinien entsprechen.
Weitere Informationen finden Sie unter Erziehen von Benutzern zum Schutz vertraulicher Dateien.
Malware beim Hochladen oder Herunterladen blockieren
Wählen Sie als Sitzungssteuerungstyp die Option Dateiupload steuern (mit Überprüfung) oder Dateidownload steuern (mit Überprüfung) und Schadsoftwareerkennung als Überprüfungsmethode aus, um zu verhindern, dass ein Benutzer eine Datei mit Schadsoftware hoch- oder herunterlädt. Dateien werden mithilfe der Microsoft Threat Intelligence-Engine auf Schadsoftware überprüft.
Zeigen Sie alle Dateien, die als potenzielle Schadsoftware gekennzeichnet sind, im Aktivitätsprotokoll für Cloud-Apps > an, indem Sie nach potenziellen Malware erkannten Elementen filtern. Weitere Informationen finden Sie unter Aktivitätsfilter und -abfragen.
Schulen von Benutzern zum Schutz vertraulicher Dateien
Es wird empfohlen, Dass Sie Benutzer schulen, wenn sie gegen Ihre Richtlinien verstoßen, damit sie lernen, wie sie die Anforderungen Ihrer organization einhalten können.
Da jedes Unternehmen über individuelle Anforderungen und Richtlinien verfügt, können Sie Defender for Cloud Apps die Filter einer Richtlinie und die Meldung anpassen, die dem Benutzer angezeigt wird, wenn ein Verstoß erkannt wird.
Geben Sie Ihren Benutzern spezifische Anleitungen, z. B. die Bereitstellung von Anweisungen zur geeigneten Bezeichnung einer Datei oder zum Registrieren eines nicht verwalteten Geräts, um sicherzustellen, dass Dateien erfolgreich hochgeladen werden.
Wenn ein Benutzer beispielsweise eine Datei ohne Vertraulichkeitsbezeichnung hochlädt, konfigurieren Sie eine Meldung, die angezeigt werden soll, und erklären, dass die Datei vertrauliche Inhalte enthält und eine entsprechende Bezeichnung erfordert. Wenn ein Benutzer versucht, ein Dokument von einem nicht verwalteten Gerät hochzuladen, konfigurieren Sie auf ähnliche Weise eine Meldung, die mit Anweisungen zum Registrieren dieses Geräts angezeigt wird, oder eine Meldung, die weitere Erläuterungen dazu liefert, warum das Gerät registriert werden muss.
Zugriffssteuerungen in Sitzungsrichtlinien
Viele Organisationen, die sitzungsinterne Aktivitäten mithilfe von Sitzungssteuerelementen für Cloud-Apps steuern möchten, wenden auch Zugriffssteuerungen an, um denselben Satz integrierter mobiler und Desktop-Client-Apps zu blockieren und so eine umfassende Sicherheit für die Apps zu gewährleisten.
Blockieren Sie den Zugriff auf integrierte mobile und Desktopclient-Apps mit Zugriffsrichtlinien, indem Sie den Filter Client-App auf Mobil und Desktop festlegen. Einige integrierte Client-Apps können einzeln erkannt werden, während andere, die Teil einer App-Suite sind, nur als ihre App der obersten Ebene identifiziert werden können. Apps wie SharePoint Online können beispielsweise nur erkannt werden, indem eine Zugriffsrichtlinie erstellt wird, die auf Microsoft 365-Apps angewendet wird.
Hinweis
Sofern der Client-App-Filter nicht speziell auf Mobile und Desktop festgelegt ist, gilt die resultierende Zugriffsrichtlinie nur für Browsersitzungen. Dies soll verhindern, dass Benutzersitzungen versehentlich proxyt werden.
Während die meisten gängigen Browser die Durchführung einer Clientzertifikatüberprüfung unterstützen, verwenden einige mobile Und Desktop-Apps integrierte Browser, die diese Überprüfung möglicherweise nicht unterstützen. Daher kann sich die Verwendung dieses Filters auf die Authentifizierung für diese Apps auswirken.
Konflikte zwischen Richtlinien
Wenn es einen Konflikt zwischen zwei Sitzungsrichtlinien gibt, gewinnt die restriktivere Richtlinie.
Zum Beispiel:
- Wenn eine Benutzersitzung mit einer Richtlinie übereinstimmt, bei der Downloads blockiert werden
- Und eine Richtlinie, bei der Dateien beim Herunterladen bezeichnet werden oder Downloads überwacht werden,
- Die Dateidownloadoption ist blockiert, um die restriktivere Richtlinie zu erfüllen.
Verwandte Inhalte
Weitere Informationen finden Sie unter:
- Problembehandlung bei Zugriffs- und Sitzungssteuerungen
- Tutorial: Blockieren des Downloads vertraulicher Informationen mit der App-Steuerung für bedingten Zugriff
- Blockieren von Downloads auf nicht verwalteten Geräten mithilfe von Sitzungssteuerelementen
- Webinar zur App-Steuerung für bedingten Zugriff
Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.