创建Microsoft Defender for Cloud Apps会话策略

Microsoft Defender for Cloud Apps会话策略通过实时会话级监视提供对云应用的精细可见性。 使用会话策略执行各种操作，具体取决于为用户会话设置的策略。

与完全允许或阻止访问 的访问策略不同，会话策略允许在监视会话时进行访问。 将条件访问应用控制添加到会话策略，以限制特定的会话活动。

例如，你可能希望允许用户从非托管设备或特定位置访问应用。 但是，你可能希望限制在这些会话期间下载敏感文件，或要求在退出应用时保护特定文档，防止下载、上传或复制。

为主机应用创建的策略未连接到任何相关的资源应用。 例如，为 Teams、Exchange 或 Gmail 创建的访问策略未连接到 SharePoint、OneDrive 或 Google Drive。 如果除主机应用外还需要资源应用的策略，请创建单独的策略。

可以应用的策略数没有限制。

先决条件

在开始之前，请确保满足以下先决条件：

• Defender for Cloud Apps许可证，作为独立许可证或其他许可证的一部分

• Microsoft Entra ID P1 的许可证，作为独立许可证或其他许可证的一部分。

• 如果使用非Microsoft IdP，则标识提供者所需的许可证 (IdP) 解决方案。

• 载入到条件访问应用控制的相关应用。 Microsoft Entra ID应用会自动载入，而非Microsoft IdP 应用必须手动载入。

  如果使用的是非Microsoft IdP，请确保还已将 IdP 配置为使用 Microsoft Defender for Cloud Apps。 有关更多信息，请参阅：

  • 载入用于条件访问应用控制的非Microsoft IdP 目录应用
  • 为条件访问应用控制载入非Microsoft IdP 自定义应用

若要使会话策略正常工作，还必须具有Microsoft Entra ID条件访问策略，该策略创建用于控制流量的权限。

示例：创建Microsoft Entra ID条件访问策略以用于Defender for Cloud Apps

此过程提供有关如何创建条件访问策略以用于Defender for Cloud Apps的高级示例。

1. 在“Microsoft Entra ID条件访问”中，选择“创建新策略”。

2. 为策略输入有意义的名称，然后选择 “会话 ”下的链接以向策略添加控件。

3. 在 “会话” 区域中，选择“ 使用条件访问应用控制”。

4. 在 “用户” 区域中，选择以仅包括所有用户或特定用户和组。

5. 在 “条件 ”和 “客户端应用” 区域中，选择要包含在策略中的条件和客户端应用。

6. 通过将“ 仅报告” 切换为“ 打开”，然后选择“ 创建”来保存策略。

Microsoft Entra ID支持基于浏览器和非基于浏览器的策略。 建议创建这两种类型以增加安全覆盖范围。

重复此过程以创建基于非浏览程序的条件访问策略。 在 “客户端应用” 区域中，将 “配置” 选项切换为 “是”。 然后，在“ 新式身份验证客户端”下，清除 “浏览器 ”选项。 将所有其他默认选择保留为选中状态。

有关详细信息，请参阅 条件访问策略 和 构建条件访问策略。

创建Defender for Cloud Apps会话策略

此过程介绍如何在 Defender for Cloud Apps 中创建新的会话策略。

1. 在“Microsoft Defender XDR”中，选择“云应用>策略>策略管理>条件访问”选项卡。

2. 选择 “创建策略>会话策略”。 例如：

   

3. 在 “创建会话策略 ”页上，首先从“策略模板”下拉列表中选择 一个模板 ，或者手动输入所有详细信息。

4. 输入策略的以下基本信息。 如果你使用的是模板，则大部分内容已为你填写。

   名称	说明
   策略名称	策略的有意义的名称，例如 阻止下载适用于市场营销用户的 Box 中的敏感文档
   策略严重性	选择要应用于策略的严重性。
   类别	选择要应用的类别。
   说明	输入策略的可选且有意义的说明，以帮助团队了解其用途。
   会话控件类型	选择下列选项之一： - 仅监视。 仅监视用户活动，并为所选应用创建 “仅监视 ”策略。 - 阻止活动。 阻止活动类型筛选器定义的特定 活动 。 在活动日志中监视和报告所选应用的所有活动。 - 使用检查) 的控制文件下载 (。 监视文件下载，并且可以与其他操作（例如阻止或保护下载）结合使用。 - 使用检查) 控制文件上传 (。 监视文件上传，并且可以与其他操作（如阻止或保护上传）结合使用。 有关详细信息，请参阅 会话策略支持的活动。

5. 在 “与以下所有项匹配的活动 ”区域中，选择要应用于策略的其他活动筛选器。 筛选器包括以下选项：

   名称	说明
   活动类型	选择要应用的活动类型，例如： -印刷 - 剪切、复制、粘贴等剪贴板操作 - 在受支持的应用中发送、共享、取消共享或编辑项目。 例如，在你的条件下使用 发送项目 活动来捕获尝试在 Teams 聊天或 Slack 频道中发送信息的用户，如果消息包含密码或其他凭据等敏感信息，则阻止该消息。
   应用	要包含在策略中的特定应用的筛选器。 选择应用，方法是首先选择对Microsoft Entra ID应用使用自动 Azure AD 载入，还是对非Microsoft IdP 应用使用手动载入。 然后，从列表中选择要包含在筛选器中的应用。 如果列表中缺少非Microsoft IdP 应用，请确保已将其完全载入。 有关更多信息，请参阅： - 载入用于条件访问应用控制的非Microsoft IdP 目录应用。 - 为条件访问应用控制载入非Microsoft IdP 自定义应用 如果选择不使用应用筛选器，该策略将应用于“设置云应用>连接>应用条件访问应用控制应用”>页上标记为“已启用”的所有应用程序。 注意：你可能会看到已加入的应用与需要手动载入的应用之间存在一些重叠。 如果应用之间的筛选器发生冲突，手动载入的应用将优先。
   设备	筛选设备标记（例如特定设备管理方法）或设备类型（如电脑、移动设备或平板电脑）。
   IP 地址	按 IP 地址进行筛选或使用以前分配的 IP 地址标记。
   Location	按地理位置筛选。 如果没有明确定义的位置，可能会识别有风险的活动。
   已注册的 ISP	筛选来自特定 ISP 的活动。
   用户	筛选特定用户或用户组。
   用户代理字符串	筛选特定用户代理字符串。
   用户代理标记	筛选用户代理标记，例如针对过时的浏览器或操作系统。

   例如：

   

   选择 “编辑并预览结果 ”，获取将随当前所选内容一起返回的活动类型的预览。

6. 配置可用于任何特定会话控件类型的额外选项。

   例如，如果选择了 “阻止活动”，请选择“ 使用内容检查 来检查活动内容”，然后根据需要配置设置。 在这种情况下，可能需要检查包含特定表达式（例如社会安全号码）的文本。

7. 如果选择了 “使用检查) 的控制文件下载 ( ”或“ 使用检查) (控制文件上传” ，请配置 与以下所有设置匹配的文件 。

   1. 配置以下文件筛选器之一：

      名称	说明
      敏感度标签	如果还使用 Microsoft Purview，并且数据受其敏感度标签的保护，则按Microsoft Purview 信息保护敏感度标签进行筛选。
      文件名	筛选特定文件。
      Extension	筛选特定文件类型，例如，阻止下载所有 .xls 文件。
      文件大小 (MB)	筛选特定文件大小，例如大文件或小文件。

   2. 在 “应用于 ”区域 (预览) ：

      • 选择是将策略应用于所有文件，还是仅应用于指定文件夹中的文件
      • 选择要使用的检查方法，例如数据分类服务或恶意软件。 有关详细信息，请参阅 Microsoft Data Classification Services 集成。
      • 为策略配置更详细的选项，例如基于指纹或可训练分类器等元素的方案。

8. 在 “操作” 区域中，选择以下选项之一：

   名称	说明
   审核	监视所有活动。 选择 以根据设置的策略筛选器显式允许下载。
   阻止	阻止文件下载并监视所有活动。 选择 根据设置的策略筛选器显式阻止下载。 阻止策略还允许你选择通过电子邮件通知用户，以及自定义阻止邮件。
   Protect	将敏感度标签应用于下载并监视所有活动。 仅当选择了 “控制文件下载 (并检查) 时可用。 如果使用Microsoft Purview 信息保护，还可以选择将敏感度标签应用于匹配的文件、对用户下载文件应用自定义权限或阻止特定文件的下载。 如果有Microsoft Entra ID条件访问策略，还可以选择要求升级身份验证 (预览版) 。

   （可选）选择“ 始终应用所选操作，即使无法扫描数据 ，也可以根据策略的需要应用所选操作” 选项。

9. 在 “警报” 区域中，根据需要配置以下任何操作：

   • 为每个具有策略严重性的匹配事件创建警报
   • 通过电子邮件发送警报
   • 每个策略的每日警报限制
   • 向 Power Automate 发送警报

10. 完成操作后，选择“创建”。

测试策略

创建会话策略后，通过对策略中配置的每个应用重新进行身份验证并测试已在策略中配置的方案来测试会话策略。

我们建议你：

• 在对应用重新进行身份验证之前，请注销所有现有会话。
• 从托管和非托管设备登录到移动应用和桌面应用，以确保活动日志中完全捕获活动。

请确保使用与策略匹配的用户登录。

若要在应用中测试策略，请执行以下操作：

• 检查是否在浏览器中显示锁图标，或者是否在 Microsoft Edge 以外的浏览器中工作，检查应用 URL 包含.mcas后缀。 有关详细信息，请参阅使用 Microsoft Edge 商业版 (Preview) 进行浏览器内保护。

• 访问应用内属于用户工作流程的所有页面，并验证页面是否正确呈现。

• 验证应用的行为和功能是否不受执行常见操作（例如下载和上传文件）的不利影响。

• 如果你使用的是自定义的非Microsoft IdP 应用，检查你为应用手动添加的每个域。

如果遇到错误或问题，请使用管理员工具栏收集资源，例如 .har 文件和记录的会话，以提交支持票证。

若要在 Microsoft Defender XDR 中检查更新，请执行以下操作：

1. 在Microsoft Defender门户中的“云应用”下，转到“策略”，然后选择“策略管理”。

2. 选择已创建的策略以查看策略报告。 会话策略匹配应很快出现。

策略报告显示哪些登录被重定向到Microsoft Defender for Cloud Apps进行会话控制，以及任何其他操作，例如从受监视的会话下载或阻止了哪些文件。

关闭用户通知设置

默认情况下，当用户的会话受到监视时，系统会通知用户。 如果希望用户不收到通知，或者希望自定义通知消息，请配置通知设置。

在“Microsoft Defender XDR”中，选择“设置>”“云应用>条件访问应用控制>用户监视”。

选择以下选项之一：

• 清除 “通知用户其活动正在受监视 ”选项
• 保留所选内容，然后选择 以使用默认消息或自定义消息。

选择 “预览” 链接，在新的浏览器选项卡中查看已配置消息的示例。

导出云发现日志

条件访问应用控制记录通过该会话路由的每个用户会话的流量日志。 流量日志包括时间、IP、用户代理、访问的 URL 以及上传和下载的字节数。 系统会分析这些日志，并将连续报表（Defender for Cloud Apps条件访问应用控制）添加到云发现仪表板中的云发现报表列表中。

若要从云发现仪表板导出云发现日志，请执行以下操作：

1. 在Microsoft Defender门户中，选择“设置”。 然后选择“ 云应用”。 在 “连接的应用”下，选择“ 条件访问应用控制”。

2. 在表上方，选择“导出”按钮。 例如：

   

3. 选择报表的范围，然后选择“ 导出”。 此过程可能需要一些时间。

4. 若要在报表准备就绪后下载导出的日志，请在Microsoft Defender门户中转到“报表 ->云应用”，然后转到“导出的报表”。

5. 在表中，从 条件访问应用控制流量日志 列表中选择相关报告，然后选择“ 下载”。 例如：

   

会话策略支持的活动

以下部分提供有关Defender for Cloud Apps会话策略支持的每个活动的更多详细信息。

仅监视

“仅监视会话”控件类型仅监视 Login 活动。

若要监视其他活动，请选择其他会话控件类型之一并使用“审核”操作。

若要监视下载和上传以外的活动，监视策略中每个活动策略必须至少有一个 块 。

阻止所有下载

将 带有检查) 的控制文件下载 (设置为 会话控制类型，并将 “阻止” 设置为 操作时，条件访问应用控制将阻止用户根据策略文件筛选器下载文件。

当用户启动下载时，用户将显示一条 下载受限 消息，下载的文件将替换为文本文件。 根据组织的需要，配置文本文件向用户发送的消息。

需要升级身份验证

当会话控件类型设置为“阻止活动”、“使用检查) 控制文件下载 (”或“使用检查) 控制文件上传 (时，”需要升级身份验证“操作可用。

选择此操作后，每当发生所选活动时，Defender for Cloud Apps会将会话重定向到Microsoft Entra条件访问进行策略重新评估。

使用此选项可以根据 Microsoft Entra ID 中配置的身份验证上下文，在会话期间检查多重身份验证和设备符合性等声明。

阻止特定活动

将 “阻止活动 ”设置为 会话控件类型时，选择要在特定应用中阻止的特定活动。

• 在云应用活动日志中监视和报告已配置 应用 > 的所有活动。

• 若要阻止特定活动，请进一步选择“阻止”操作，然后选择要阻止的活动。

• 若要为特定活动引发警报，请选择“ 审核”操作 并配置警报设置。

例如，你可能想要阻止以下活动：

• 已发送 Teams 消息。 阻止用户从 Microsoft Teams 发送消息，或阻止包含特定内容的 Teams 消息。

• 打印。 阻止所有打印操作。

• 复制。 阻止所有复制到剪贴板操作，或仅阻止复制特定内容。

下载时保护文件

选择“ 阻止活动会话控制类型 ”以阻止使用“ 活动类型”筛选器定义的特定活动。

在云应用活动日志中监视和报告已配置 应用 > 的所有活动。

• 选择 “阻止”操作 以阻止特定活动，或选择“ 审核”操作 并定义警报设置以针对特定活动引发警报。

• 选择 “保护”操作 ，根据策略的文件筛选器，使用敏感度标记和其他保护来保护文件。

  敏感度标签在 Microsoft Purview 中配置，并且必须配置为应用加密，才能在Defender for Cloud Apps会话策略中显示为选项。

  使用特定标签配置会话策略并且用户下载符合策略条件的文件时，将对该文件应用标签和任何相应的保护和权限。

  在下载的文件受到保护时，原始文件在云应用中保持原样。 尝试访问下载的文件的用户必须满足所应用保护确定的权限要求。

Defender for Cloud Apps当前支持对以下文件类型应用Microsoft Purview 信息保护中的敏感度标签：

• Word：docm、docx、dotm、dotx
• Excel：xlam、xlsm、xlsx、xltx
• PowerPoint：potm、potx、ppsx、ppsm、pptm、pptx
• PDF

注意

PDF 文件必须使用统一标签进行标记。

“保护”选项不支持使用会话策略中的现有标签覆盖文件。

保护敏感文件的上传

选择带有检查) 会话控件类型的控制文件上传 (，以防止用户根据策略的文件筛选器上传文件。

如果正在上传的文件包含敏感数据，并且没有正确的标签，则会阻止文件上传。

例如，创建一个策略来扫描文件的内容，以确定该文件是否包含敏感内容匹配项，例如社会安全号码。 如果它包含敏感内容且未标有Microsoft Purview 信息保护机密标签，则会阻止文件上传。

提示

在文件被阻止时向用户配置自定义消息，指导他们如何标记文件以上传该文件，帮助确保存储在云应用中的文件符合策略。

有关详细信息，请参阅 培训用户保护敏感文件。

在上传或下载时阻止恶意软件

选择 包含检查) 的控制文件上传 ( 或 控制文件下载 (将检查) 作为 会话控制类型 ， 将恶意软件检测 作为 检查方法 ，以防止用户使用恶意软件上传或下载文件。 使用Microsoft威胁情报引擎扫描文件以查找恶意软件。

通过筛选“检测到的潜在恶意软件”项，查看 云应用 > 活动日志 中标记为 潜在恶意软件 的任何文件。 有关详细信息，请参阅 活动筛选器和查询。

培训用户保护敏感文件

建议在用户违反策略时对用户进行培训，以便他们了解如何遵守组织的要求。

由于每个企业都有独特的需求和策略，因此Defender for Cloud Apps允许你自定义策略的筛选器，以及检测到冲突时向用户显示的消息。

向用户提供具体指导，例如提供有关如何适当标记文件的说明，或如何注册非托管设备以确保成功上传文件。

例如，如果用户上传的文件没有敏感度标签，请配置要显示的消息，说明该文件包含敏感内容并需要适当的标签。 同样，如果用户尝试从非托管设备上传文档，请将消息配置为显示有关如何注册该设备的说明或提供有关设备必须注册原因的进一步说明的消息。

会话策略中的访问控制

许多组织选择使用云应用的会话控件来控制会话内活动，还应用访问控制来阻止同一组内置移动和桌面客户端应用，从而为应用提供全面的安全性。

通过将“客户端应用筛选器”设置为“移动和桌面”，阻止访问具有访问策略的内置移动和桌面客户端应用。 可以单独识别某些内置客户端应用，而属于应用套件的其他应用只能标识为其顶级应用。 例如，只能通过创建应用于 Microsoft 365 应用程序的访问策略来识别 SharePoint Online 等应用程序。

注意

除非 客户端应用 筛选器专门设置为 移动和桌面，否则生成的访问策略将仅适用于浏览器会话。 这是为了防止无意中代理用户会话。

虽然大多数主要浏览器都支持检查执行客户端证书，但某些移动和桌面应用使用可能不支持此检查的内置浏览器。 因此，使用此筛选器可能会影响这些应用的身份验证。

策略之间的冲突

当两个会话策略之间存在冲突时，限制性更高的策略会获胜。

例如：

• 如果用户会话与阻止下载的策略都匹配
• 以及下载时标记文件或审核下载的策略，
• 文件下载选项被阻止，以符合限制性更高的策略。

相关内容

有关更多信息，请参阅：

• 排查访问和会话控制问题
• 教程：使用条件访问应用控制阻止下载敏感信息
• 使用会话控件阻止非托管设备上的下载
• 条件访问应用控制网络研讨会

如果你遇到任何问题，我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持，请 开具支持票证。