Создание политик сеанса Microsoft Defender for Cloud Apps

политики сеансов Microsoft Defender for Cloud Apps обеспечивают детальную видимость облачных приложений с помощью мониторинга на уровне сеансов в режиме реального времени. Используйте политики сеансов для выполнения различных действий в зависимости от политики, заданной для сеанса пользователя.

В отличие от политик доступа, которые разрешают или полностью блокируют доступ, политики сеансов разрешают доступ во время мониторинга сеанса. Добавьте элемент управления условным доступом к приложениям в политики сеанса, чтобы ограничить определенные действия сеанса.

Например, может потребоваться разрешить пользователям доступ к приложению с неуправляемых устройств или из определенных расположений. Однако вы можете ограничить загрузку конфиденциальных файлов во время этих сеансов или потребовать, чтобы определенные документы были защищены от скачивания, отправки или копирования при выходе из приложения.

Политики, созданные для ведущего приложения, не подключены ни к одному связанному приложению с ресурсами. Например, политики доступа, созданные для Teams, Exchange или Gmail, не подключены к SharePoint, OneDrive или Google Диску. Если вам нужна политика для приложения ресурсов в дополнение к ведущему приложению, создайте отдельную политику.

Количество политик, которые можно применить, не ограничено.

Предварительные условия

Перед началом работы убедитесь, что у вас есть следующие предварительные требования:

• Лицензия Defender for Cloud Apps как автономная лицензия или как часть другой лицензии

• Лицензия на Microsoft Entra ID P1 как автономная лицензия или как часть другой лицензии.

• Если вы используете поставщика удостоверений сторонних поставщиков удостоверений, лицензия, необходимая для решения поставщика удостоверений (IdP).

• Соответствующие приложения, подключенные к элементу управления условным доступом. Microsoft Entra ID приложения автоматически подключены, а приложения поставщика удостоверений сторонних поставщиков удостоверений должны быть подключены вручную.

  Если вы работаете с поставщиком удостоверений, не являющихся поставщиком удостоверений Майкрософт, убедитесь, что вы также настроили поставщика удостоверений для работы с Microsoft Defender for Cloud Apps. Дополнительные сведения см. в разделе:

  • Подключение приложений каталога поставщика удостоверений сторонних поставщиков удостоверений для управления условным доступом
  • Подключение пользовательских приложений поставщика удостоверений сторонних поставщиков удостоверений для управления условным доступом

Чтобы политика сеанса работала, необходимо также иметь политику условного доступа Microsoft Entra ID, которая создает разрешения для управления трафиком.

Пример. Создание политик условного доступа Microsoft Entra ID для использования с Defender for Cloud Apps

Эта процедура представляет собой общий пример создания политики условного доступа для использования с Defender for Cloud Apps.

1. В Microsoft Entra ID условный доступ выберите Создать политику.

2. Введите понятное имя политики, а затем щелкните ссылку в разделе Сеанс , чтобы добавить элементы управления в политику.

3. В области Сеанс выберите Использовать управление условным доступом к приложениям.

4. В области Пользователи выберите , чтобы включить всех пользователей или только определенных пользователей и групп.

5. В областях Условия и Клиентские приложения выберите условия и клиентские приложения, которые вы хотите включить в политику.

6. Сохраните политику, переключив параметр Только отчет в значение Включено, а затем выберите Создать.

Microsoft Entra ID поддерживает как браузерные, так и не браузерные политики. Рекомендуется создать оба типа для повышенного покрытия безопасности.

Повторите эту процедуру, чтобы создать политику условного доступа на основе неброузера. В области Клиентские приложения установите переключатель Настроить в положение Да. Затем в разделе Современные клиенты проверки подлинности снимите флажок Браузер . Оставьте все остальные значения по умолчанию выбранными.

Примечание. Корпоративное приложение "Microsoft Defender for Cloud Apps — элементы управления сеансом" используется внутри службы управления условным доступом к приложениям. Убедитесь, что политика ЦС не ограничивает доступ к этому приложению в целевых ресурсах.

Дополнительные сведения см. в разделах Политики условного доступа и Создание политики условного доступа.

Создание политики сеанса Defender for Cloud Apps

В этой процедуре описывается создание новой политики сеанса в Defender for Cloud Apps.

1. В Microsoft Defender XDR выберите вкладку Управление условным доступом > политики облачных > приложений>.

2. Выберите Create policy Session policy (Создать политику сеанса>). Например:

   

3. На странице Создание политики сеанса выберите шаблон в раскрывающемся списке Шаблон политики или введите все сведения вручную.

4. Введите следующие основные сведения для политики. Если вы используете шаблон, большая часть содержимого уже заполнена.

   Имя	Описание
   Имя политики	Понятное имя для политики, например блокировать скачивание конфиденциальных документов в box for Marketing Users
   Серьезность политики	Выберите уровень серьезности, который вы хотите применить к политике.
   Категория	Выберите категорию, которую вы хотите применить.
   Описание	Введите необязательное понятное описание политики, чтобы помочь вашей команде понять ее назначение.
   Тип элемента управления сеансом	Выберите один из приведенных ниже вариантов. - Только мониторинг. Отслеживает только действия пользователей и создает политику "Только мониторинг" для приложений, которые вы выбираете. - Блокировать действия. Блокирует определенные действия, определенные фильтром типа действия . Все действия из выбранных приложений отслеживаются и отображаются в журнале действий. - Управляйте скачиванием файлов (с проверкой). Отслеживает скачивание файлов и может сочетаться с другими действиями, такими как блокировка или защита загрузки. - Управляйте отправкой файла (с проверкой). Отслеживает отправку файлов и может сочетаться с другими действиями, такими как блокировка или защита отправляемых данных. Дополнительные сведения см. в разделе Поддерживаемые действия для политик сеансов.

5. В области Действия, соответствующие всем приведенным ниже , выберите дополнительные фильтры действий для применения к политике. Фильтры включают следующие параметры:

   Имя	Описание
   Тип действия	Выберите тип действия, который требуется применить, например: -Печатание — действия буфера обмена, такие как вырезание, копирование, вставка — отправка, совместное использование, удаление или редактирование элементов в поддерживаемых приложениях. Например, используйте действие отправки элементов в своих условиях, чтобы поймать пользователя, пытающегося отправить информацию в чате Teams или канале Slack, и заблокировать сообщение, если оно содержит конфиденциальную информацию, например пароль или другие учетные данные.
   Приложение	Фильтры для определенного приложения для включения в политику. Выберите приложения, сначала выбрав, используется ли автоматическое подключение Azure AD для приложений Microsoft Entra ID или подключение вручную для приложений поставщика удостоверений, отличных от Майкрософт. Затем выберите приложение, которое вы хотите включить в фильтр, в списке. Если приложение поставщика удостоверений, отличное от Майкрософт, отсутствует в списке, убедитесь, что оно полностью подключено. Дополнительные сведения см. в разделе: - Подключение приложений каталога поставщика удостоверений сторонних поставщиков удостоверений для управления условным доступом. - Подключение пользовательских приложений поставщика удостоверений сторонних поставщиков удостоверений для управления условным доступом Если вы решили не использовать фильтр приложений , политика применяется ко всем приложениям, которые помечены как включенные на странице Параметры > Облачные приложения > Подключенные приложения > условного доступа к приложениям управления приложениями . Примечание. Вы можете увидеть некоторое перекрытие между подключенными приложениями и приложениями, которым требуется подключение вручную. В случае конфликта в фильтре между приложениями приоритет будут иметь подключенные вручную приложения.
   Устройство	Фильтрация тегов устройств, например для определенного метода управления устройствами, или типов устройств, таких как компьютер, мобильный телефон или планшет.
   IP-адрес.	Фильтрация по IP-адресу или использование назначенных ранее тегов IP-адресов.
   Location	Фильтрация по географическому расположению. Отсутствие четко определенного расположения может указывать на рискованные действия.
   Зарегистрированный поставщик услуг Интернета	Фильтрация действий, поступающих от определенного поставщика услуг Интернета.
   Пользователь	Фильтр для определенного пользователя или группы пользователей.
   Строка агента пользователя	Фильтр по определенной строке агента пользователя.
   Тег агента пользователя	Фильтрация по тегам агента пользователя, например для устаревших браузеров или операционных систем.

   Например:

   

   Выберите Изменить и просмотреть результаты , чтобы получить предварительный просмотр типов действий, которые будут возвращены с текущим выбором.

6. Настройте дополнительные параметры, доступные для любых определенных типов элементов управления сеансом.

   Например, если вы выбрали Блокировать действия, выберите Использовать проверку содержимого для проверки содержимого действия, а затем настройте параметры при необходимости. В этом случае может потребоваться проверить текст, содержащий определенные выражения, например номер социального страхования.

7. Если вы выбрали Управление скачиванием файла (с проверкой) или Управление отправкой файлов (с проверкой), настройте файлы, соответствующие всем приведенным ниже параметрам.

   1. Настройте один из следующих фильтров файлов:

      Имя	Описание
      Метка конфиденциальности	Фильтрация по Защита информации Microsoft Purview меткам конфиденциальности, если вы также используете Microsoft Purview и ваши данные защищены с помощью меток конфиденциальности.
      Имя файла	Фильтрация по определенным файлам.
      Extension	Фильтровать файлы определенных типов, например блокировать скачивание для всех .xls файлов.
      Размер файла (МБ)	Фильтрация файлов определенных размеров, например больших или маленьких файлов.

   2. В области Применить к (предварительная версия):

      • Выберите, следует ли применять политику ко всем файлам или только к файлам в указанных папках.
      • Выберите используемый метод проверки, например службы классификации данных или вредоносные программы. Дополнительные сведения см. в статье Интеграция служб классификации данных Майкрософт.
      • Настройте более подробные параметры политики, например сценарии на основе таких элементов, как отпечатки пальцев или обучаемые классификаторы.

8. В области Действия выберите один из следующих параметров:

   Имя	Описание
   Аудит	Отслеживает все действия. Выберите , чтобы явно разрешить скачивание в соответствии с заданными фильтрами политики.
   Блокировка	Блокирует скачивание файлов и отслеживает все действия. Выберите значение, чтобы явно заблокировать скачивание в соответствии с заданными фильтрами политики. Политики блокировки также позволяют выбрать уведомление пользователей по электронной почте и настроить сообщение блокировки.
   Protect	Применяет метку конфиденциальности к скачиванию и отслеживает все действия. Доступно только в том случае, если вы выбрали Управление скачиванием файла (с проверкой). Если вы используете Защита информации Microsoft Purview, вы также можете применить метку конфиденциальности к соответствующим файлам, применить настраиваемые разрешения для пользователя, скачивающего файлы, или заблокировать скачивание определенных файлов. Если у вас есть политика Microsoft Entra ID условного доступа, вы также можете выбрать требование пошаговой проверки подлинности (предварительная версия).

   При необходимости выберите параметр Всегда применять выбранное действие, даже если данные не могут быть проверены по мере необходимости для вашей политики.

9. В области Оповещения при необходимости настройте любое из следующих действий:

   • Создание оповещений для каждого соответствующего события с уровнем серьезности политики
   • Отправка оповещения по электронной почте
   • Ежедневное ограничение оповещений на политику
   • Отправка оповещений в Power Automate

10. После завершения нажмите Создать.

Тестирование политики

После создания политики сеанса протестируйте ее, повторно выполнив проверку подлинности для каждого приложения, настроенного в политике, и проверив сценарий, настроенный в политике.

Вот несколько рекомендаций.

• Выйдите из всех существующих сеансов перед повторной проверкой подлинности в приложениях.
• Войдите в мобильные и классические приложения как с управляемых, так и с неуправляемых устройств, чтобы убедиться, что действия полностью фиксируются в журнале действий.

Убедитесь, что войдите с пользователем, который соответствует вашей политике.

Чтобы протестировать политику в приложении, выполните следующие действия:

• Проверьте, отображается ли значок блокировки в браузере, или если вы работаете в браузере, отличном от Microsoft Edge, проверка, что URL-адрес вашего приложения содержит суффикс.mcas. Дополнительные сведения см. в разделе Защита в браузере с помощью Microsoft Edge для бизнеса (предварительная версия).

• Посетите все страницы в приложении, которые являются частью рабочего процесса пользователя, и убедитесь, что страницы отображаются правильно.

• Убедитесь, что на поведение и функциональность приложения не влияет выполнение общих действий, таких как скачивание и отправка файлов.

• Если вы работаете с пользовательскими приложениями поставщика удостоверений, не относящихся к Корпорации Майкрософт, проверка каждый из доменов, добавленных вручную для приложения.

При возникновении ошибок или проблем используйте панель инструментов администратора для сбора ресурсов, таких как .har файлы и записанные сеансы для отправки запроса в службу поддержки.

Чтобы проверка обновлений в Microsoft Defender XDR:

1. На портале Microsoft Defender в разделе Облачные приложения перейдите в раздел Политики, а затем выберите Управление политиками.

2. Выберите созданную политику, чтобы просмотреть отчет о политике. Вскоре должно появиться совпадение политики сеанса.

В отчете о политике показано, какие входы были перенаправлены в Microsoft Defender for Cloud Apps для управления сеансами, а также любые другие действия, например файлы, скачанные или заблокированные из отслеживаемых сеансов.

Отключение параметров уведомлений пользователей

По умолчанию пользователи получают уведомления о мониторинге сеансов. Если вы хотите, чтобы пользователи не уведомлялись, или настроить уведомление, настройте параметры уведомлений.

В Microsoft Defender XDR выберите Параметры Облачные > приложения > Управление условным доступом к приложениям > Мониторинг пользователей.

Выберите один из следующих вариантов:

• Полностью снимите флажок Уведомлять пользователей о том, что их действия отслеживаются .
• Оставьте выбранный флажок и выберите либо сообщение по умолчанию, либо для настройки сообщения.

Щелкните ссылку Предварительный просмотр , чтобы просмотреть пример настроенного сообщения на новой вкладке браузера.

Экспорт журналов обнаружения в облаке

Управление условным доступом к приложениям записывает журналы трафика для каждого сеанса пользователя, который направляется через него. Журналы трафика включают время, IP-адрес, агент пользователя, посещенные URL-адреса и количество загруженных и скачанных байтов. Эти журналы анализируются, и непрерывный отчет, Defender for Cloud Apps управление условным доступом к приложениям, добавляется в список отчетов об обнаружении облака на панели мониторинга cloud discovery.

Чтобы экспортировать журналы cloud discovery из панели мониторинга cloud discovery, выполните следующие действия.

1. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Управление условным доступом к приложениям.

2. Над таблицей нажмите кнопку экспорта. Например:

   

3. Выберите диапазон отчета и нажмите кнопку Экспорт. Этот процесс может занять некоторое время.

4. Чтобы скачать экспортируемый журнал после того, как отчет будет готов, на портале Microsoft Defender перейдите в раздел Отчеты ->Облачные приложения, а затем экспортированные отчеты.

5. В таблице выберите соответствующий отчет из списка журналов трафика управления условным доступом приложений и нажмите кнопку Скачать. Например:

   

Поддерживаемые действия для политик сеансов

В следующих разделах содержатся дополнительные сведения о каждом действии, поддерживаемом политиками сеансов Defender for Cloud Apps.

Только мониторинг

Тип элемента управления"Только сеанс монитора" отслеживает только действие Входа.

Чтобы отслеживать другие действия, выберите один из других типов элементов управления сеансом и используйте действиеАудит.

Для мониторинга действий, отличных от загрузок и отправки, необходимо иметь по крайней мере один блок для каждой политики действий в политике мониторинга.

Блокировка всех скачиваний

Если элемент управления загрузкой файла (с проверкой) задан в качестве типа элемента управления сеансом, а параметр Блокировать — в качестве действия, элемент управления условным доступом приложения запрещает пользователям загружать файл согласно фильтрам файлов политик.

Когда пользователь инициирует скачивание, для пользователя появляется сообщение с ограничением загрузки, а скачанный файл заменяется текстовым файлом. Настройте сообщение текстового файла для пользователя по мере необходимости для вашей организации.

Требовать пошаговой проверки подлинности

ДействиеТребовать пошаговой проверки подлинности доступно, если для параметра Тип элемента управления сеансом задано значение Блокировать действия, Управление скачиванием файла (с проверкой) или Управление отправкой файлов (с проверкой) .

Если выбрано это действие, Defender for Cloud Apps перенаправляет сеанс в Microsoft Entra условный доступ для повторной оценки политики при каждом выбранном действии.

Используйте этот параметр для проверка утверждений, таких как многофакторная проверка подлинности и соответствие устройств во время сеанса, на основе контекста настроенной проверки подлинности в Microsoft Entra ID.

Блокировать определенные действия

Если действие Блокировать задано в качестве типа элемента управления сеансом, выберите определенные действия, которые нужно заблокировать в определенных приложениях.

• Все действия из настроенных приложений отслеживаются и отображаются в журнале действий облачных приложений>.

• Чтобы заблокировать определенные действия, выберите действиеБлокировать и выберите действия, которые нужно заблокировать.

• Чтобы создавать оповещения для определенных действий, выберите действиеАудит и настройте параметры оповещений.

Например, может потребоваться заблокировать следующие действия:

• Отправлено сообщение Teams. Запретить пользователям отправлять сообщения из Microsoft Teams или блокировать сообщения Teams, содержащие определенное содержимое.

• Печать. Блокировать все действия печати.

• Копировать. Блокировка всех операций копирования в буфер обмена или блокировка копирования только для определенного содержимого.

Защита файлов при скачивании

Выберите тип элемента управленияСеанс блокировать действия, чтобы заблокировать определенные действия, которые определяются с помощью фильтраТип действия.

Все действия из настроенных приложений отслеживаются и отображаются в журнале действий облачных приложений>.

• Выберите действиеБлокировать, чтобы заблокировать определенные действия, или выберите действиеАудит и определите параметры оповещений для создания оповещений для конкретных действий.

• Выберите действиеЗащитить, чтобы защитить файлы с помощью меток конфиденциальности и других мер защиты в рамках фильтров файлов политики.

  Метки конфиденциальности настраиваются в Microsoft Purview и должны быть настроены на применение шифрования, чтобы оно отображалось в качестве параметра в политике сеанса Defender for Cloud Apps.

  Если вы настроили политику сеанса с определенной меткой и пользователь скачивает файл, соответствующий критериям политики, к файлу применяются метка и все соответствующие меры защиты и разрешения.

  Исходный файл остается таким, как он был в облачном приложении, пока скачанный файл защищен. Пользователи, которые пытаются получить доступ к скачанму файлу, должны соответствовать требованиям к разрешениям, определенным примененной защитой.

Defender for Cloud Apps в настоящее время поддерживает применение меток конфиденциальности из Защита информации Microsoft Purview для файлов следующих типов:

• Word: docm, docx, dotm, dotx
• Excel: xlam, xlsm, xlsx, xltx
• PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
• PDF

Примечание.

PDF-файлы должны быть помечены унифицироваными метками.

Параметр Защитить не поддерживает перезапись файлов с существующей меткой в политиках сеанса.

Защита отправки конфиденциальных файлов

Выберите тип управления отправкой файлов (с проверкой)сеанса, чтобы запретить пользователю отправлять файл согласно фильтрам файлов политики.

Если передаваемый файл содержит конфиденциальные данные и не имеет правильной метки, отправка файла блокируется.

Например, создайте политику, которая проверяет содержимое файла, чтобы определить, содержит ли он конфиденциальное содержимое, например номер социального страхования. Если он содержит конфиденциальное содержимое и не помечен меткой Защита информации Microsoft Purview Конфиденциально, отправка файла блокируется.

Совет

Настройте пользовательское сообщение для пользователя при блокировке файла, указав ему, как пометить файл, чтобы отправить его, чтобы убедиться, что файлы, хранящиеся в облачных приложениях, соответствуют вашим политикам.

Дополнительные сведения см. в статье Обучение пользователей защите конфиденциальных файлов.

Блокировка вредоносных программ при отправке или скачивании

Выберите управление отправкой файла (с проверкой) или Контроль загрузки файла (с проверкой) в качестве типа элемента управления сеансом и обнаружение вредоносных программ в качестве метода проверки , чтобы предотвратить загрузку или скачивание файла с вредоносными программами. Файлы проверяются на наличие вредоносных программ с помощью подсистемы аналитики угроз Майкрософт.

Просмотрите все файлы, помеченные как потенциальные вредоносные программы, в журнале действий облачных приложений>, отфильтровав потенциальные обнаруженные вредоносные программы. Дополнительные сведения см. в разделе Фильтры и запросы действий.

Обучение пользователей защите конфиденциальных файлов

Рекомендуется обучить пользователей, когда они нарушают ваши политики, чтобы они узнали, как соблюдать требования вашей организации.

Так как каждое предприятие имеет уникальные потребности и политики, Defender for Cloud Apps позволяет настроить фильтры политики и сообщение, отображаемое пользователю при обнаружении нарушения.

Предоставьте пользователям конкретные рекомендации, например инструкции о том, как правильно пометить файл или как зарегистрировать неуправляемое устройство, чтобы убедиться, что файлы успешно отправлены.

Например, если пользователь отправляет файл без метки конфиденциальности, настройте сообщение для отображения, объяснив, что файл содержит конфиденциальное содержимое и требует соответствующей метки. Аналогичным образом, если пользователь пытается отправить документ с неуправляемого устройства, настройте сообщение для отображения с инструкциями о том, как зарегистрировать это устройство, или с дополнительным объяснением того, почему устройство должно быть зарегистрировано.

Элементы управления доступом в политиках сеансов

Многие организации, которые предпочитают использовать элементы управления сеансом для облачных приложений для управления действиями в сеансе, также применяют элементы управления доступом, чтобы заблокировать один и тот же набор встроенных мобильных и классических клиентских приложений, обеспечивая тем самым комплексную безопасность для приложений.

Запретите доступ к встроенным клиентским и мобильным и классическим клиентским приложениям с помощью политик доступа, задав для фильтра клиентского приложения значение Мобильные и настольные приложения. Некоторые встроенные клиентские приложения можно распознать по отдельности, а другие, входящие в набор приложений, можно определить только как приложения верхнего уровня. Например, такие приложения, как SharePoint Online, можно распознать только путем создания политики доступа, применяемой к приложениям Microsoft 365.

Примечание.

Если для фильтра клиентского приложения не задано специальное значение Mobile and Desktop, результирующая политика доступа будет применяться только к сеансам браузера. Это позволяет предотвратить непреднамеренное использование сеансов прокси-сервера.

Хотя большинство основных браузеров поддерживают выполнение проверка сертификатов клиента, некоторые мобильные и классические приложения используют встроенные браузеры, которые могут не поддерживать эту проверка. Поэтому использование этого фильтра может повлиять на проверку подлинности для этих приложений.

Конфликты между политиками

Если между двумя политиками сеанса возникает конфликт, выигрывает более строгая политика.

Например:

• Если сеанс пользователя совпадает с политикой, в которой скачиваемые файлы блокируются
• И политика, в которой файлы помечаются при скачивании или где выполняется аудит загрузок;
• Параметр скачивания файла заблокирован в соответствии с более строгой политикой.

Связанные материалы

Дополнительные сведения см. в разделе:

• Устранение неполадок с элементами управления доступом и сеансами
• Руководство. Блокировка скачивания конфиденциальной информации с помощью управления условным доступом к приложениям
• Блокировка скачивания на неуправляемых устройствах с помощью элементов управления сеансами
• Вебинар по управлению приложениями с условным доступом

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.