Skapa åtkomstprinciper för Microsoft Defender för molnet-appar

Microsoft Defender för molnet Appars åtkomstprinciper använder appkontroll för villkorsstyrd åtkomst för att tillhandahålla övervakning i realtid och kontroll över åtkomst till molnappar. Åtkomstprinciper styr åtkomst baserat på användare, plats, enhet och app och stöds för alla enheter.

Principer som skapats för en värdapp är inte anslutna till några relaterade resursappar. Åtkomstprinciper som du skapar för Teams, Exchange eller Gmail är till exempel inte anslutna till SharePoint, OneDrive eller Google Drive. Om du behöver en princip för resursappen utöver värdappen skapar du en separat princip.

Dricks

Om du föredrar att vanligtvis tillåta åtkomst vid övervakning av sessioner eller begränsa specifika sessionsaktiviteter skapar du sessionsprinciper i stället. Mer information finns i Sessionsprinciper.

Förutsättningar

Kontrollera att du har följande förutsättningar innan du börjar:

• En Defender för molnet Apps-licens, antingen som en fristående licens eller som en del av en annan licens.

• En licens för Microsoft Entra ID P1, antingen som fristående licens eller som en del av en annan licens.

• Om du använder en icke-Microsoft-IdP, den licens som krävs av din identitetsproviderlösning (IdP).

• Relevanta appar som registrerats för appkontroll för villkorsstyrd åtkomst. Microsoft Entra ID-appar registreras automatiskt, medan IdP-appar som inte är från Microsoft måste registreras manuellt.

  Om du arbetar med en icke-Microsoft-IdP kontrollerar du att du också har konfigurerat din IdP för att arbeta med Microsoft Defender för molnet Apps. Mer information finns i:

  • Registrera icke-Microsoft IdP-katalogappar för appkontroll för villkorsstyrd åtkomst
  • Registrera anpassade appar som inte är från Microsoft IdP för appkontroll för villkorsstyrd åtkomst

För att din åtkomstprincip ska fungera måste du också ha en princip för villkorsstyrd åtkomst för Microsoft Entra-ID som skapar behörigheter för att styra trafiken.

Exempel: Skapa principer för villkorsstyrd åtkomst för Microsoft Entra-ID för användning med Defender för molnet-appar

Den här proceduren innehåller ett exempel på hur du skapar en princip för villkorsstyrd åtkomst för användning med Defender för molnet-appar.

1. I Villkorsstyrd åtkomst för Microsoft Entra ID väljer du Skapa ny princip.

2. Ange ett beskrivande namn för principen och välj sedan länken under Session för att lägga till kontroller i principen.

3. I området Session väljer du Använd appkontroll för villkorsstyrd åtkomst.

4. I området Användare väljer du att endast inkludera alla användare eller specifika användare och grupper.

5. I apparna Villkor och Klient väljer du de villkor och klientappar som du vill inkludera i din princip.

6. Spara principen genom att växla Endast rapport till På och sedan välja Skapa.

Microsoft Entra-ID stöder både webbläsarbaserade och icke-webbläsarbaserade principer. Vi rekommenderar att du skapar båda typerna för ökad säkerhetstäckning.

Upprepa den här proceduren för att skapa en icke-inväxlarbaserad princip för villkorsstyrd åtkomst. I området Klientappar växlar du alternativet Konfigurera till Ja. Under Moderna autentiseringsklienter avmarkerar du sedan alternativet Webbläsare. Låt alla andra standardval vara markerade.

Obs! Enterprise-programmet "Microsoft Defender för molnet Apps – Sessionskontroller" används internt av appkontrolltjänsten för villkorsstyrd åtkomst. Kontrollera att CA-principen inte begränsar åtkomsten till det här programmet i målresurserna.

Mer information finns i Principer för villkorsstyrd åtkomst och Skapa en princip för villkorsstyrd åtkomst.

Skapa en Defender för molnet Apps-åtkomstprincip

Den här proceduren beskriver hur du skapar en ny åtkomstprincip i Defender för molnet Apps.

1. I Microsoft Defender XDR väljer du fliken Principhantering av principhantering > för molnappar > > villkorsstyrd åtkomst.

2. Välj Skapa principåtkomstprincip>. Till exempel:

   

3. På sidan Skapa åtkomstprincip anger du följande grundläggande information:

   Name	beskrivning
   Principnamn	Ett beskrivande namn för din princip, till exempel Blockera åtkomst från ohanterade enheter
   Allvarlighetsgrad för princip	Välj den allvarlighetsgrad som du vill tillämpa på principen.
   Kategori	Behåll standardvärdet för Åtkomstkontroll
   Beskrivning	Ange en valfri, meningsfull beskrivning för din princip som hjälper ditt team att förstå dess syfte.

4. I området Aktiviteter som matchar hela följande område väljer du ytterligare aktivitetsfilter som ska tillämpas på principen. Filter innehåller följande alternativ:

   Name	beskrivning
   App	Filter för en specifik app som ska ingå i principen. Välj appar genom att först välja om de använder automatiserad Azure AD-registrering för Microsoft Entra-ID-appar eller manuell registrering för IdP-appar som inte kommer från Microsoft. Välj sedan den app som du vill inkludera i filtret i listan. Om din icke-Microsoft IdP-app saknas i listan kontrollerar du att du har registrerat den helt. För ytterligare information, se: - Registrera icke-Microsoft IdP-katalogappar för appkontroll för villkorsstyrd åtkomst - Registrera anpassade appar som inte är från Microsoft IdP för appkontroll för villkorsstyrd åtkomst Om du väljer att inte använda appfiltret gäller principen för alla program som har markerats som Aktiverade på sidan Inställningar > Cloud Apps > Connected Apps > Conditional Access App Control-appar . Obs! Du kan se viss överlappning mellan appar som är registrerade och appar som behöver manuell registrering. Om det uppstår en konflikt i filtret mellan apparna har manuellt registrerade appar företräde.
   Klientapp	Filtrera efter webbläsare eller mobilappar/skrivbordsappar.
   Enhet	Filtrera efter enhetstaggar, till exempel för en specifik enhetshanteringsmetod eller enhetstyper, till exempel pc, mobil eller surfplatta.
   IP-adress	Filtrera per IP-adress eller använd tidigare tilldelade IP-adresstaggar.
   Plats	Filtrera efter geografisk plats. Avsaknaden av en tydligt definierad plats kan identifiera riskfyllda aktiviteter.
   Registrerad internetleverantör	Filtrera efter aktiviteter som kommer från en specifik ISP.
   Användare	Filtrera efter en specifik användare eller grupp av användare.
   Användaragentsträng	Filtrera efter en specifik användaragentsträng.
   Tagg för användaragent	Filtrera efter användaragenttaggar, till exempel för inaktuella webbläsare eller operativsystem.

   Till exempel:

   

   Välj Redigera och förhandsgranska resultat för att få en förhandsversion av de typer av aktiviteter som skulle returneras med ditt aktuella val.

5. I området Åtgärder väljer du något av följande alternativ:

   • Granskning: Ställ in den här åtgärden så att den tillåter åtkomst enligt de principfilter som du uttryckligen anger.

   • Blockera: Ställ in den här åtgärden för att blockera åtkomst enligt de principfilter som du uttryckligen anger.

6. I området Aviseringar konfigurerar du någon av följande åtgärder efter behov:

   • Skapa en avisering för varje matchande händelse med principens allvarlighetsgrad
   • Skicka en avisering som e-post
   • Daglig aviseringsgräns per princip
   • Skicka aviseringar till Power Automate

7. Välj Skapa när du är klar.

Testa principen

När du har skapat din åtkomstprincip testar du den genom att autentisera om till varje app som konfigurerats i principen. Kontrollera att appupplevelsen är som förväntat och kontrollera sedan dina aktivitetsloggar.

Vi rekommenderar att du gör följande:

• Skapa en princip för en användare som du har skapat specifikt för testning.
• Logga ut från alla befintliga sessioner innan du autentiserar till dina appar igen.
• Logga in på mobil- och skrivbordsappar från både hanterade och ohanterade enheter för att säkerställa att aktiviteterna är helt insamlade i aktivitetsloggen.

Se till att logga in med en användare som matchar din princip.

Så här testar du principen i din app:

• Besök alla sidor i appen som ingår i en användares arbetsprocess och kontrollera att sidorna återges korrekt.
• Kontrollera att appens beteende och funktioner inte påverkas negativt av vanliga åtgärder som att ladda ned och ladda upp filer.
• Om du arbetar med anpassade IdP-appar som inte är från Microsoft kontrollerar du var och en av de domäner som du har lagt till manuellt för din app.

Så här kontrollerar du aktivitetsloggar:

1. I Microsoft Defender XDR väljer du Aktivitetslogg för molnappar > och söker efter inloggningsaktiviteterna som samlas in för varje steg. Du kanske vill filtrera genom att välja Avancerade filter och filtrering för Källa är lika med Åtkomstkontroll.

   Aktiviteter för enkel inloggningsloggning är händelser för appkontroll för villkorsstyrd åtkomst.

2. Välj en aktivitet för att expandera för mer information. Kontrollera att taggen Användaragent visar om enheten är en inbyggd klient, antingen en mobil- eller skrivbordsapp eller om enheten är en hanterad enhet som är kompatibel och domänansluten.

Om du får fel eller problem använder du verktygsfältet Administrationsvy för att samla in resurser som .Har filer och inspelade sessioner och sedan skapa ett supportärende.

Skapa åtkomstprinciper för identitetshanterade enheter

Använd klientcertifikat för att styra åtkomsten för enheter som inte är Microsoft Entra-hybridanslutningar och som inte hanteras av Microsoft Intune. Distribuera nya certifikat till hanterade enheter eller använd befintliga certifikat, till exempel MDM-certifikat från tredje part. Du kanske till exempel vill distribuera klientcertifikatet till hanterade enheter och sedan blockera åtkomst från enheter utan certifikat.

Mer information finns i Identitetshanterade enheter med appkontroll för villkorsstyrd åtkomst.

Relaterat innehåll

Mer information finns i:

• Felsöka åtkomst- och sessionskontroller
• Självstudie: Blockera nedladdning av känslig information med appkontroll för villkorlig åtkomst
• Blockera nedladdningar på ohanterade enheter med hjälp av sessionskontroller
• Webbseminariet för appkontroll för villkorsstyrd åtkomst

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.