Toegangsbeleid voor Microsoft Defender for Cloud Apps maken

Microsoft Defender for Cloud Apps toegangsbeleid maken gebruik van app-beheer voor voorwaardelijke toegang om realtime controle en controle over toegang tot cloud-apps te bieden. Toegangsbeleid bepaalt de toegang op basis van gebruiker, locatie, apparaat en app en wordt ondersteund voor elk apparaat.

Beleidsregels die voor een host-app zijn gemaakt, zijn niet verbonden met gerelateerde resource-apps. Het toegangsbeleid dat u voor Teams, Exchange of Gmail maakt, is bijvoorbeeld niet verbonden met SharePoint, OneDrive of Google Drive. Als u naast de host-app een beleid voor de resource-app nodig hebt, maakt u een afzonderlijk beleid.

Tip

Als u liever toegang wilt toestaan tijdens het bewaken van sessies of specifieke sessieactiviteiten wilt beperken, maakt u in plaats daarvan sessiebeleidsregels. Zie Sessiebeleid voor meer informatie.

Vereisten

Voordat u begint, moet u ervoor zorgen dat u aan de volgende vereisten voldoet:

• Een Defender for Cloud Apps licentie, als zelfstandige licentie of als onderdeel van een andere licentie.

• Een licentie voor Microsoft Entra ID P1, als zelfstandige licentie of als onderdeel van een andere licentie.

• Als u een niet-Microsoft IdP gebruikt, is de licentie vereist voor uw id-provideroplossing (IdP).

• De relevante apps die zijn onboarden voor app-beheer voor voorwaardelijke toegang. Microsoft Entra ID apps worden automatisch onboarding uitgevoerd, terwijl niet-Microsoft IdP-apps handmatig moeten worden onboarden.

  Als u met een niet-Microsoft IdP werkt, moet u ervoor zorgen dat u uw IdP ook hebt geconfigureerd voor gebruik met Microsoft Defender for Cloud Apps. Zie voor meer informatie:

  • Niet-Microsoft IdP-catalogus-apps onboarden voor app-beheer voor voorwaardelijke toegang
  • Aangepaste apps van niet-Microsoft IdP onboarden voor app-beheer voor voorwaardelijke toegang

Uw toegangsbeleid werkt alleen als u ook een Microsoft Entra ID beleid voor voorwaardelijke toegang hebt, waarmee de machtigingen worden gemaakt om verkeer te beheren.

Voorbeeld: beleid voor Microsoft Entra ID voor voorwaardelijke toegang maken voor gebruik met Defender for Cloud Apps

Deze procedure biedt een voorbeeld op hoog niveau van het maken van een beleid voor voorwaardelijke toegang voor gebruik met Defender for Cloud Apps.

1. Selecteer in Microsoft Entra ID Voorwaardelijke toegang de optie Nieuw beleid maken.

2. Voer een duidelijke naam in voor uw beleid en selecteer vervolgens de koppeling onder Sessie om besturingselementen aan uw beleid toe te voegen.

3. Selecteer app-beheer voor voorwaardelijke toegang gebruiken in het gebied Sessie.

4. Selecteer in het gebied Gebruikers om alle gebruikers of alleen specifieke gebruikers en groepen op te nemen.

5. Selecteer in de gebieden Voorwaarden en Client-apps de voorwaarden en client-apps die u in uw beleid wilt opnemen.

6. Sla het beleid op door Alleen rapporteren in te schakelen op Aan en vervolgens Maken te selecteren.

Microsoft Entra ID ondersteunt beleid op basis van zowel browsers als niet-browserbeleid. We raden u aan beide typen te maken voor een betere beveiligingsdekking.

Herhaal deze procedure om een beleid voor voorwaardelijke toegang op basis van een niet-browser te maken. Zet in het gebied Client-apps de optie Configureren op Ja. Schakel vervolgens onder Moderne verificatieclients de optie Browser uit. Laat alle andere standaardselecties geselecteerd.

Zie Beleid voor voorwaardelijke toegang en Een beleid voor voorwaardelijke toegang bouwen voor meer informatie.

Opmerking

Microsoft Defender for Cloud Apps maakt gebruik van de toepassing Microsoft Defender for Cloud Apps - Sessiebesturingselementen als onderdeel van de app-beheerservice voor voorwaardelijke toegang voor gebruikersaanmelding. Deze toepassing bevindt zich in de sectie Bedrijfstoepassingen van Entra ID. Als u uw SaaS-toepassingen wilt beveiligen met sessiebesturingselementen, moet u toegang tot deze toepassing toestaan. Als u de toegang tot deze toepassing blokkeert via een Entra ID-beleid voor voorwaardelijke toegang, hebben eindgebruikers geen toegang tot de beveiligde toepassingen onder sessiebesturingselementen.

Het is belangrijk om ervoor te zorgen dat deze toepassing niet onbedoeld wordt beperkt door beleid voor voorwaardelijke toegang. Voor beleidsregels die alle of bepaalde toepassingen beperken, moet u ervoor zorgen dat deze toepassing wordt vermeld als uitzondering in de doelresources of controleert u of het blokkeringsbeleid opzettelijk is.

Om ervoor te zorgen dat uw beleid voor voorwaardelijke toegang op basis van locatie correct werkt, neemt u de toepassing Microsoft Defender for Cloud Apps – Sessiebeheer op in deze beleidsregels.

Een Defender for Cloud Apps-toegangsbeleid maken

In deze procedure wordt beschreven hoe u een nieuw toegangsbeleid maakt in Defender for Cloud Apps.

1. Selecteer in Microsoft Defender XDR het tabblad Beleid voor cloud-apps >> Beleidsbeheer > voor voorwaardelijke toegang.

2. Selecteer Beleid maken>Toegangsbeleid. Bijvoorbeeld:

   

3. Voer op de pagina Toegangsbeleid maken de volgende basisinformatie in:

   Naam	Beschrijving
   Beleidsnaam	Een duidelijke naam voor uw beleid, zoals Toegang blokkeren vanaf onbeheerde apparaten
   Ernst van beleid	Selecteer de ernst die u wilt toepassen op uw beleid.
   Categorie	De standaardwaarde van Toegangsbeheer behouden
   Beschrijving	Voer een optionele, zinvolle beschrijving in voor uw beleid om uw team te helpen het doel ervan te begrijpen.

4. Selecteer in het gebied Activiteiten die overeenkomen met alle volgende activiteiten de extra activiteitsfilters die u wilt toepassen op het beleid. Filters omvatten de volgende opties:

   Naam	Beschrijving
   App	Filters voor een specifieke app die moet worden opgenomen in het beleid. Selecteer apps door eerst te selecteren of ze geautomatiseerde Azure AD onboarding, voor Microsoft Entra ID-apps of Handmatige onboarding gebruiken voor niet-Microsoft IdP-apps. Selecteer vervolgens de app die u in uw filter wilt opnemen in de lijst. Als uw niet-Microsoft IdP-app ontbreekt in de lijst, controleert u of u deze volledig hebt voorbereid. Zie voor meer informatie: - Niet-Microsoft IdP-catalogus-apps onboarden voor app-beheer voor voorwaardelijke toegang - Aangepaste apps van niet-Microsoft IdP onboarden voor app-beheer voor voorwaardelijke toegang Als u ervoor kiest om het filter App niet te gebruiken, is het beleid van toepassing op alle toepassingen die zijn gemarkeerd als Ingeschakeld op de pagina Instellingen > cloud-apps > verbonden apps > voor voorwaardelijke toegang App-beheer-apps . Opmerking: mogelijk ziet u enige overlap tussen apps die zijn onboarded en apps waarvoor handmatige onboarding nodig is. In het geval van een conflict in uw filter tussen de apps, hebben handmatig onboarding van apps voorrang.
   Client-app	Filter op browser- of mobiele/desktop-apps.
   Apparaat	Filter op apparaattags, zoals voor een specifieke apparaatbeheermethode of apparaattypen, zoals pc, mobiel of tablet.
   IP-adres	Filter per IP-adres of gebruik eerder toegewezen IP-adrestags.
   Locatie	Filteren op geografische locatie. Het ontbreken van een duidelijk gedefinieerde locatie kan riskante activiteiten identificeren.
   Geregistreerde internetprovider	Filter op activiteiten die afkomstig zijn van een specifieke internetprovider.
   Gebruiker	Filter op een specifieke gebruiker of groep gebruikers.
   Tekenreeks van gebruikersagent	Filter op een specifieke gebruikersagenttekenreeks.
   Tag van gebruikersagent	Filter op gebruikersagenttags, zoals voor verouderde browsers of besturingssystemen.

   Bijvoorbeeld:

   

   Selecteer Bewerken en voorbeeld van resultaten om een voorbeeld te krijgen van de typen activiteiten die met uw huidige selectie worden geretourneerd.

5. Selecteer in het gebied Acties een van de volgende opties:

   • Controle: stel deze actie in om toegang toe te staan op basis van de beleidsfilters die u expliciet instelt.

   • Blokkeren: stel deze actie in om de toegang te blokkeren volgens de beleidsfilters die u expliciet hebt ingesteld.

6. Configureer zo nodig in het gebied Waarschuwingen een van de volgende acties:

   • Een waarschuwing maken voor elke gebeurtenis die overeenkomt met de ernst van het beleid
   • Een waarschuwing verzenden als e-mail
   • Dagelijkse waarschuwingslimiet per beleid
   • Waarschuwingen verzenden naar Power Automate

7. Wanneer u klaar bent, selecteert u Maken.

Uw beleid testen

Nadat u uw toegangsbeleid hebt gemaakt, test u het door elke app die in het beleid is geconfigureerd, opnieuw te verifiëren. Controleer of uw app-ervaring is zoals verwacht en controleer vervolgens uw activiteitenlogboeken.

We raden u aan het volgende te doen:

• Maak een beleid voor een gebruiker die u specifiek hebt gemaakt voor testen.
• Meld u af bij alle bestaande sessies voordat u zich opnieuw bij uw apps aanmeldt.
• Meld u aan bij mobiele en desktop-apps vanaf zowel beheerde als onbeheerde apparaten om ervoor te zorgen dat activiteiten volledig worden vastgelegd in het activiteitenlogboek.

Meld u aan met een gebruiker die overeenkomt met uw beleid.

Uw beleid in uw app testen:

• Ga naar alle pagina's in de app die deel uitmaken van het werkproces van een gebruiker en controleer of de pagina's correct worden weergegeven.
• Controleer of het gedrag en de functionaliteit van de app niet nadelig worden beïnvloed door het uitvoeren van algemene acties, zoals het downloaden en uploaden van bestanden.
• Als u met aangepaste, niet-Microsoft IdP-apps werkt, controleert u elk van de domeinen die u handmatig hebt toegevoegd voor uw app.

Activiteitenlogboeken controleren:

1. Selecteer in Microsoft Defender XDR Activiteitenlogboek cloud-apps >en controleer op de aanmeldingsactiviteiten die voor elke stap zijn vastgelegd. U kunt filteren door Geavanceerde filters te selecteren en filteren op Bron is gelijk aan toegangsbeheer.

   Eenmalige aanmeldingsactiviteiten zijn gebeurtenissen voor app-beheer voor voorwaardelijke toegang.

2. Selecteer een activiteit om uit te vouwen voor meer informatie. Controleer of de tag User agent correct aangeeft of het apparaat een ingebouwde client is, een mobiele of desktop-app, of dat het apparaat een beheerd apparaat is dat compatibel is en lid is van een domein.

Als u fouten of problemen ondervindt, gebruikt u de werkbalk Beheer Weergave om resources zoals .Har bestanden en opgenomen sessies te verzamelen en vervolgens een ondersteuningsticket in te dienen.

Toegangsbeleid maken voor door identiteit beheerde apparaten

Gebruik clientcertificaten om de toegang te beheren voor apparaten die niet Microsoft Entra hybride gekoppeld zijn en niet worden beheerd door Microsoft Intune. Nieuwe certificaten implementeren voor beheerde apparaten of bestaande certificaten gebruiken, zoals MDM-certificaten van derden. U kunt bijvoorbeeld een clientcertificaat implementeren op beheerde apparaten en vervolgens de toegang van apparaten zonder certificaat blokkeren.

Zie Door identiteit beheerde apparaten met app-beheer voor voorwaardelijke toegang voor meer informatie.

Verwante onderwerpen

Zie voor meer informatie:

• Problemen met toegangs- en sessiebesturingselementen oplossen
• Zelfstudie: Het downloaden van gevoelige informatie blokkeren met app-beheer voor voorwaardelijke toegang
• Downloads op niet-beheerde apparaten blokkeren met behulp van sessiebesturingselementen
• Webinar voor app-beheer voor voorwaardelijke toegang

Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.