Luo Microsoft Defender for Cloud Apps käyttöoikeuskäytäntöjä

Microsoft Defender for Cloud Apps käyttöoikeuskäytäntöjen avulla voit hallita pilvisovellusten käyttöä reaaliaikaisesti ehdollisten käyttöoikeuksien sovellusten hallinnan avulla. Käyttöoikeuskäytännöt hallitsevat käyttöoikeuksia käyttäjän, sijainnin, laitteen ja sovelluksen perusteella, ja niitä tuetaan kaikissa laitteissa.

Isäntäsovellukselle luotuja käytäntöjä ei ole yhdistetty mihinkään liittyviin resurssisovelluksiin. Esimerkiksi Teamsille, Exchangelle tai Gmailille luomasi käyttöoikeuskäytännöt eivät ole yhteydessä SharePointiin, OneDriveen tai Google Driveen. Jos tarvitset isäntäsovelluksen lisäksi resurssisovellukselle käytännön, luo erillinen käytäntö.

Vihje

Jos haluat yleensä sallia käytön istuntojen valvonnan aikana tai rajoittaa tiettyjä istuntotoimintoja, luo istuntokäytännöt sen sijaan. Lisätietoja on kohdassa Istuntokäytännöt.

Ennakkovaatimukset

Ennen kuin aloitat, varmista, että sinulla on seuraavat edellytykset:

• Defender for Cloud Apps käyttöoikeus joko erillisenä käyttöoikeutena tai osana toista käyttöoikeutta.

• Microsoft Entra ID P1 -käyttöoikeus joko erillisenä käyttöoikeutena tai osana toista käyttöoikeutta.

• Jos käytät muuta kuin Microsoft IdP:tä, käyttäjätietopalvelusi (IdP) edellyttämä käyttöoikeus.

• Aiheeseen liittyvät sovellukset, jotka on otettu käyttöön ehdollisten käyttöoikeuksien sovelluksen ohjausobjektissa. Microsoft Entra ID sovellukset otetaan automaattisesti käyttöön, kun taas muut kuin Microsoft IdP -sovellukset on otettava käyttöön manuaalisesti.

  Jos käytät muuta kuin Microsoft IdP:tä, varmista, että olet myös määrittänyt IdP:si toimimaan Microsoft Defender for Cloud Apps kanssa. Lisätietoja on seuraavissa artikkeleissa:

  • Muiden kuin Microsoft IdP -luettelosovellusten ottaminen käyttöön ehdollisten käyttöoikeuksien sovellusohjausta varten
  • Muut kuin Microsoft IdP:n mukautetut sovellukset ehdollisten käyttöoikeuksien sovellusohjausta varten

Jotta käyttöoikeuskäytäntö toimisi, sinulla on oltava myös Microsoft Entra ID ehdollinen käyttöoikeuskäytäntö, joka luo oikeudet liikenteen hallintaan.

Esimerkki: Microsoft Entra ID ehdollisten käyttöoikeuskäytäntöjen luominen Defender for Cloud Apps kanssa käytettäväksi

Tämä toimintosarja on korkean tason esimerkki siitä, miten voit luoda ehdollisen käyttöoikeuden käytännön käytettäväksi Defender for Cloud Apps kanssa.

1. Valitse ehdollisten käyttöoikeuksien Microsoft Entra ID Luo uusi käytäntö.

2. Anna käytännölle kuvaava nimi ja lisää sitten käytäntöön ohjausobjekteja valitsemalla Istunto-kohdasta linkki.

3. Valitse Istunto-alueellaKäytä ehdollisten käyttöoikeuksien sovellusten hallintaa.

4. Valitse Käyttäjät-alueella , jos haluat sisällyttää vain kaikki käyttäjät tai vain tietyt käyttäjät ja ryhmät.

5. Valitse Ehdot - ja Asiakassovellukset-alueilta ehdot ja asiakassovellukset, jotka haluat sisällyttää käytäntöön.

6. Tallenna käytäntö ottamalla Vain raportti - asetus käyttöön ja valitsemalla sitten Luo.

Microsoft Entra ID tukee sekä selainpohjaisia että ei-selainpohjaisia käytäntöjä. Suosittelemme, että luot molemmat tyypit tietoturvan lisäämiseksi.

Toista tämä toimintosarja, jos haluat luoda ehdollisten käyttöoikeuksien käytännön, joka ei ole jäsennyspohjainen. Vaihda Asiakassovellukset-alueellaMääritä-asetukseksiKyllä. Poista sitten Modernin todennuksen asiakasohjelmat -kohdassa Selain-vaihtoehto . Jätä kaikki muut oletusvalinnat valituksi.

Lisätietoja on tiedoissa Ehdollisten käyttöoikeuksien käytännöt ja Ehdollisen käyttöoikeuden käytännön luominen.

Defender for Cloud Apps käyttöoikeuskäytännön luominen

Näissä ohjeissa kuvataan, miten voit luoda uuden käyttöoikeuskäytännön Defender for Cloud Apps.

1. Valitse Microsoft Defender XDR Pilvisovellusten > käytännötKäytännön > hallinta > Ehdollisen käyttöoikeuden välilehti.

2. Valitse Luo käytäntö>Käyttöoikeuskäytäntö. Esimerkki:

   

3. Anna Luo käyttöoikeuskäytäntö -sivulla seuraavat perustiedot:

   Nimi	Kuvaus
   Käytännön nimi	Käytännölle kuvaava nimi, kuten Estä käyttö hallitsemattomista laitteista
   Käytännön vakavuus	Valitse käytäntöön käytettävä vakavuus.
   Luokka	Säilytä käyttöoikeuksien valvonnan oletusarvo
   Kuvaus	Anna valinnainen ja merkityksellinen kuvaus käytännöllesi, jotta ryhmäsi ymmärtää sen tarkoituksen.

4. Valitse toiminnot, jotka vastaavat kaikkia seuraavia -aluetta, käytäntöön sovellettavat muut toimintosuodattimet. Suodattimet sisältävät seuraavat asetukset:

   Nimi	Kuvaus
   Sovellus	Suodattimet tietylle sovellukselle, joka sisällytetään käytäntöön. Valitse sovellukset valitsemalla ensin, käyttävätkö ne automaattista Azure AD perehdytystä Microsoft Entra ID sovelluksiin vai manuaaliseen perehdytykseen muissa kuin Microsoft IdP -sovelluksissa. Valitse sitten luettelosta sovellus, jonka haluat sisällyttää suodattimeen. Jos luettelosta puuttuu muu kuin Microsoft IdP -sovelluksesi, varmista, että olet perehdyttänyt sen kokonaan. Lisätietoja on seuraavissa artikkeleissa: - Muiden kuin Microsoft IdP -luettelosovellusten ottaminen käyttöön ehdollisten käyttöoikeuksien sovellusohjausta varten - Muut kuin Microsoft IdP:n mukautetut sovellukset ehdollisten käyttöoikeuksien sovellusohjausta varten Jos päätät olla käyttämättä sovellussuodatinta, käytäntö koskee kaikkia sovelluksia, jotka on merkitty käytössä-asetuksiksi Asetukset > Pilvisovellukset > Yhdistetyt sovellukset > Ehdollisen käytön sovelluksen hallinta -sivulla. Huomautus: Perehdyttävien sovellusten ja manuaalista perehdytystä tarvitsevien sovellusten välillä saattaa näkyä päällekkäisyyksiä. Jos suodattimessa on ristiriita sovellusten välillä, manuaalisesti perehdytyt sovellukset ovat etusijalla.
   Asiakassovellus	Suodata selain- tai mobiili-/työpöytäsovelluksia varten.
   Laite	Suodata laitetunnisteet, kuten tietyn laitehallintamenetelmän tai laitetyyppien, kuten TIETOKONEEN, mobiililaitteen tai tabletin, osalta.
   IP-osoite	Suodata IP-osoitteen mukaan tai käytä aiemmin määritettyjä IP-osoitetunnisteita.
   Sijainti	Suodata maantieteellisen sijainnin mukaan. Se, että selkeästi määritettyä sijaintia ei ole, voi tunnistaa riskialttiita toimintoja.
   Rekisteröity IsP	Suodata tietyn IsP:n aktiviteetit.
   Käyttäjä	Suodata tietylle käyttäjälle tai käyttäjäryhmälle.
   Käyttäjäagentin merkkijono	Suodata tietyn käyttäjäagentin merkkijono.
   Käyttäjäagentin tunniste	Suodata käyttäjäagentin tunnisteet, kuten vanhentuneet selaimet tai käyttöjärjestelmät.

   Esimerkki:

   

   Valitse Muokkaa ja esikatsele tuloksia , jos haluat esikatsella nykyisen valintasi yhteydessä palautettavien aktiviteettien tyyppejä.

5. Valitse Toiminnot-alueella jokin seuraavista vaihtoehdoista:

   • Valvonta: Määritä tämä toiminto sallimaan käyttö eksplisiittisesti määrittämieni käytäntösuodattimien mukaisesti.

   • Estä: Määritä tämä toiminto estämään käyttö eksplisiittisesti määrittämieni käytäntösuodattimien mukaisesti.

6. Määritä Ilmoitukset-alueella jokin seuraavista toiminnoista tarvittaessa:

   • Luo hälytys kullekin vastaavalle tapahtumalle, jolla on käytännön vakavuus
   • Lähetä ilmoitus sähköpostiviestinä
   • Päivittäinen ilmoitusrajoitus käytäntöä kohti
   • Ilmoitusten lähettäminen Power Automateen

7. Kun olet valmis, valitse Luo.

Käytännön testaaminen

Kun olet luonut käyttöoikeuskäytännön, testaa sitä todentamalla se uudelleen jokaiseen käytännössä määritettyyn sovellukseen. Varmista, että sovelluskokemus on odotusten mukainen, ja tarkista toimintalokit.

Suosittelemme, että teet seuraavaa:

• Luo käytäntö käyttäjälle, jonka olet luonut erityisesti testausta varten.
• Kirjaudu ulos kaikista nykyisistä istunnoista ennen sovelluksiin todentamista uudelleen.
• Kirjaudu sisään mobiili- ja työpöytäsovelluksiin sekä hallituista että hallitsemattomista laitteista varmistaaksesi, että toiminnot tallennetaan täysin toimintalokiin.

Varmista, että kirjaudut sisään käyttäjällä, joka vastaa käytäntöäsi.

Voit testata käytäntöä sovelluksessasi:

• Käy kaikilla sovelluksen sivuilla, jotka ovat osa käyttäjän työprosessia, ja varmista, että sivut hahmonnetaan oikein.
• Varmista, että yleisten toimintojen, kuten tiedostojen lataaminen ja lataaminen, suorittaminen ei vaikuta haitallisesti sovelluksen toimintaan.
• Jos käytät mukautettuja muita kuin Microsoft IdP -sovelluksia, tarkista jokainen toimialue, jonka olet lisännyt manuaalisesti sovellukseen.

Toimintolokien tarkistaminen:

1. Valitse Microsoft Defender XDR Pilvisovellusten > toimintaloki ja tarkista kuhunkin vaiheeseen tallennetut kirjautumistoiminnot. Haluat ehkä suodattaa valitsemalla Lisäsuodattimet ja suodattamalla kohteelle Lähde on sama kuin Käyttöoikeuksien valvonta.

   Kertakirjautumisen kirjautumistoiminnot ovat ehdollisten käyttöoikeuksien sovelluksen hallintatapahtumia.

2. Saat lisätietoja valitsemalla aktiviteetin, jota haluat laajentaa. Tarkista, että Käyttäjäagentti-tunniste kuvastaa oikein sitä, onko laite sisäinen asiakas, joko mobiili- tai työpöytäsovellus vai onko laite yhteensopiva ja toimialueeseen liitetty hallittu laite.

Jos kohtaat virheitä tai ongelmia, käytä Hallinta Näytä-työkaluriviä resurssien, kuten .Har tiedostojen ja tallennettujen istuntojen, keräämiseen ja tukipalvelupyynnön kirjaamiseen.

Käyttöoikeuskäytäntöjen luominen käyttäjätietojen hallitsemista laitteille

Asiakasvarmenteiden avulla voit hallita niiden laitteiden käyttöä, joita ei ole Microsoft Entra yhdistetty ja joita ei hallita Microsoft Intune. Julkaise uusia varmenteita hallittuihin laitteisiin tai käytä olemassa olevia varmenteita, kuten kolmannen osapuolen MDM-varmenteita. Saatat esimerkiksi haluta ottaa asiakasvarmenteen käyttöön hallituissa laitteissa ja estää sitten käytön laitteista, joissa ei ole varmennetta.

Lisätietoja on artikkelissa Käyttäjätietojen hallitsemista laitteissa, joissa on Ehdollinen käyttö -sovelluksen hallinta.

Aiheeseen liittyvä sisältö

Lisätietoja on seuraavissa artikkeleissa:

• Käyttöoikeuksien ja istunnon ohjausobjektien vianmääritys
• Opetusohjelma: Luottamuksellisten tietojen lataamisen estäminen ehdollisten käyttöoikeuksien sovellusten hallinnalla
• Hallitsemattomien laitteiden latausten estäminen istunnon ohjausobjektien avulla
• Ehdollisten käyttöoikeuksien sovellusten hallinnan verkkoseminaari

Jos kohtaat ongelmia, olemme täällä auttamassa. Jos haluat apua tai tukea tuoteongelmaasi varten, avaa tukipyyntö.