创建 Microsoft Defender for Cloud Apps 会话策略
Microsoft Defender for Cloud Apps 会话策略采用了实时会话级别监视,可精细查看云应用运行状况。 根据为用户会话设置的策略,使用会话策略可以执行各种操作。
与完全允许或阻止访问的访问策略相比,会话策略允许在监视会话时进行访问。 将条件访问应用控制添加到会话策略中,以限制特定的会话活动。
例如,可能需要允许用户从非管理的设备或特定位置访问应用。 但是,需要在这些会话期间限制敏感文件的下载,或者要求在退出应用时保护特定文档不被下载、上传或复制。
为主机应用创建的策略未连接到任何相关资源应用。 例如,为 Teams、Exchange 或 Gmail 创建的访问策略不会影响 SharePoint、OneDrive 或 Google Drive。 如果需要为主机应用外的资源应用的设置策略,请单独创建。
可应用的策略没有数量限制。
先决条件
在开始之前,请确保满足以下先决条件:
Defender for Cloud Apps 许可证,可以作为独立许可证,也可以作为另一个许可证的一部分
Microsoft Entra ID P1 的许可证,可以作为独立许可证,也可以作为另一个许可证的一部分。
如果使用的是非 Microsoft IdP,则是你的标识提供者 (IdP) 解决方案所需的许可证。
相关应用已加入条件访问应用控制。 Microsoft Entra ID 应用会自动加入,而非 Microsoft IdP 应用必须手动加入。
如果使用的是非 Microsoft IdP,请确保还已将 IdP 配置为使用 Microsoft Defender for Cloud Apps。 有关详细信息,请参阅:
为了使会话策略有效,还必须具有 Microsoft Entra ID 条件访问策略,该策略可以创建控制流量的权限。
示例:创建用于 Defender for Cloud Apps 的 Microsoft Entra ID 条件访问策略
此过程提供了一个高级示例,说明如何创建用于 Defender for Cloud Apps 的条件访问策略。
在 Microsoft Entra ID 条件访问中,选择创建新策略。
为策略输入有意义的名称,然后选择会话下的链接,将控件添加到策略。
在会话区域中,选择使用条件访问应用控制。
在用户区域中,选择包含所有用户,或仅包含特定用户和组。
在条件和客户端应用区域中,选择要包含在策略中的条件和客户端应用。
通过将仅限报告切换为打开,然后选择创建,来保存策略。
Microsoft Entra ID 支持基于浏览器的策略和非基于浏览器的策略。 建议同时创建这两种类型,以提高安全覆盖率。
重复此过程以创建基于非浏览器的条件访问策略。 在客户端应用区域中,将配置选项切换为是。 然后,在新式身份验证客户端下,清除浏览器选项。 将所有其他默认选项保持选中状态。
注意:条件访问应用控制服务在内部使用企业应用程序“Microsoft Defender for Cloud Apps – 会话控制”。 请确保 CA 策略不会限制对目标资源中此应用程序的访问。
创建 Defender for Cloud Apps 会话策略
此过程介绍如何在 Defender for Cloud Apps 中创建新的会话策略。
在 Microsoft Defender XDR 中,选择云应用 > 策略 > 策略管理 > 条件访问选项卡。
选择创建策略>会话策略。 例如:
在创建会话策略页上,首先从策略模板下拉列表中选择模板,或手动输入所有详细信息。
为策略输入以下基本信息。 如果使用模板,则大部分内容已填入。
名称 描述 策略名称 为策略输入有意义的名称,例如阻止市场营销用户在 Box 中下载敏感文档 策略严重性 选择要应用于策略的严重性。 类别 选择要应用的类别。 描述 为策略输入一个可选的、有意义的说明,以帮助团队了解其用途。 会话控制类型 选择以下选项之一:
- 仅监视。 仅监视用户活动,并为所选应用创建仅监视策略。
- 阻止活动。 阻止活动类型筛选器定义的特定活动。 将监视所选应用的所有活动并在活动日志中进行报告。
- 控制文件下载(并检查)。 监视文件下载,并且可以与其他操作(例如阻止或保护下载)结合使用。
- 控制文件上传(并检查)。 监视文件上传,并且可以与其他操作(例如阻止或保护上传)结合使用。
有关详细信息,请参阅会话策略支持的活动。在符合以下所有条件的活动区域中,选择要应用于策略的其他活动筛选器。 筛选器包括以下选项:
名称 描述 活动类型 选择要应用的活动类型,例如:
- 打印
- 剪贴板操作,如剪切、复制、粘贴
- 在受支持的应用中发送、共享、取消共享或编辑项目。
例如,在你的条件下,使用发送项目活动来捕捉用户试图在 Teams 聊天或 Slack 频道中发送信息,并阻止包含敏感信息(如密码或其他凭据)的消息。应用 筛选要包含在策略中的特定应用。 选择应用,首先选择是对 Microsoft Entra ID 应用使用自动 Azure AD 加入,还是对非 Microsoft IdP 应用使用手动加入。 然后,从列表中选择要包含在筛选器中的应用。
如果非 Microsoft IdP 应用没有出现在列表中,请确保已将其完全加入。 有关详细信息,请参阅。
- 加入非 Microsoft IdP 目录应用以进行条件访问应用控制。
- 加入非 Microsoft IdP 自定义应用以进行条件访问应用控制
如果选择不使用应用筛选器,则该策略适用于所有在设置 > 云应用 > 已连接的应用 > 条件访问应用控制应用页面上标记为已启用的所有应用程序。
注意:你可能会发现,自动加入的应用和需要手动加入的应用之间存在一些重叠。 如果应用之间的筛选器发生冲突,请优先考虑手动加入的应用。设备 筛选设备标记,例如特定设备管理方法或设备类型,例如电脑、移动设备或平板电脑。 IP 地址 按 IP 地址筛选或使用以前分配的 IP 地址标记。 位置 按地理位置进行筛选。 没有明确定义的地点可能会识别出有风险的活动。 已注册的 ISP 筛选来自特定 ISP 的活动。 用户 筛选特定用户或用户组。 用户代理字符串 筛选特定用户代理字符串。 用户代理标记 筛选用户代理标记,例如过时的浏览器或操作系统。 例如:
选择编辑并预览结果,以获得将随当前选择返回的活动类型的预览。
配置可用于任何特定会话控制类型的额外选项。
例如,如果选择了阻止活动,请选择使用内容检查检查活动内容,然后根据需要配置设置。 在这种情况下,可能需要检查包含特定表达式的文本,例如身份证信息。
如果选择了控制文件下载(并检查)或控制文件上传(并检查),请配置 与以下所有项匹配的文件设置。
配置以下文件筛选器之一:
名称 描述 敏感度标签 如果也使用 Microsoft Purview,并且数据已受到其敏感度标签的保护,则按 Microsoft Purview 信息保护敏感度标签进行筛选。 文件名 筛选特定文件。 扩展 筛选特定文件类型,例如,阻止下载所有 .xls 文件。 文件大小 (MB) 筛选特定文件大小,例如大文件或小文件。 -
- 选择是将策略应用于所有文件,还是仅应用于指定文件夹中的文件
- 选择要使用的检查方法,例如数据分类服务或恶意软件。 有关详细信息,请参阅 Microsoft 数据分类服务集成。
- 为策略配置更详细的选项,例如基于指纹或可训练分类器的元素的方案。
-
名称 描述 审核 监视所有活动。 根据已设置策略筛选器,选择此选项以明确允许下载。 阻止 阻止文件下载并监视所有活动。 根据已设置策略筛选器,选择此选项以明确阻止下载。
阻止策略还允许选择通过电子邮件通知用户,以及自定义阻止消息。保护 将敏感度标签应用于下载并监视所有活动。 仅当选择控制文件下载(并检查)时才可用。
如果使用 Microsoft Purview 信息保护,还可以选择对匹配的文件应用敏感度标签,对下载文件的用户应用自定义权限,或阻止下载特定文件。
如果有 Microsoft Entra ID 条件访问策略,还可以选择需要升级身份验证(预览版)。(可选)可以根据需要,为策略选择即使无法扫描数据也始终应用所选操作选项。
在警报区域中,根据需要配置以下任一操作:
- 为每个具有策略严重性的匹配事件创建警报
- 通过电子邮件发送警报
- 每个策略的每日警报限制
- 向 Power Automate 发送警报
完成操作后,选择“创建”。
测试策略
创建会话策略后,通过对策略中配置的每个应用重新进行身份验证,并测试策略中配置的方案,对其进行测试。
建议:
- 请先注销所有现有会话,然后再对应用进行重新身份验证。
- 从受管理和非管理的设备登录移动应用和桌面应用,以确保在活动日志中完全捕获活动。
请确保使用与策略匹配的用户登录。
若要在应用中测试策略,请执行以下操作:
检查锁
图标是否显示在浏览器中,或者如果使用的是 Microsoft Edge 以外的浏览器,检查应用程序 URL 是否包含.mcas后缀。 有关详细信息,请参阅 Microsoft Edge for Business (预览版)的浏览器内保护。访问应用内涉及用户工作过程的所有页面,验证页面是否正确渲染。
执行常见操作(例如下载和上传文件),验证应用的行为和功能是否没有受到负面影响。
如果使用的是自定义的非 Microsoft IdP 应用,请检查为应用手动添加的每个域。
如果遇到错误或问题,请使用管理员工具栏收集 .har 文件和会话记录等资源,以提交支持票证。
若要在 Microsoft Defender XDR 中检查更新,请执行以下操作:
在 Microsoft Defender 门户的“云应用”下,转到“策略”,然后选择“策略管理”。
选择已创建的策略,以查看策略报告。 应该很快就会出现会话策略匹配项。
策略报告显示哪些登录被重定向到 Microsoft Defender for Cloud Apps 进行会话控制,以及任何其他操作,例如哪些文件在监视会话中被下载或被阻止。
关闭用户通知设置
默认情况下,当用户的会话被监视时,会收到通知。 如果希望不通知用户,或者要自定义通知消息,请配置通知设置。
在 Microsoft Defender XDR 中,选择设置 > 云应用 > 条件访问应用控制 > 用户监视。
做出以下选择之一:
- 完全清除通知用户其活动受到监视选项
- 保留所选内容,然后选择使用默认消息或自定义消息。
选择预览链接,以在新的浏览器选项卡中查看已配置消息的示例。
导出 Cloud Discovery 日志
条件访问应用控制记录传送的每个用户会话的流量日志。 流量日志包括时间、IP、用户代理、已访问 URL 以及上传和下载的字节数。 日志分析完成后,名为 Defender for Cloud Apps 条件访问应用控制的连续报表会添加至 Cloud Discovery 仪表板中的 Cloud Discovery 报表列表。
要从 Cloud Discovery 仪表板导出 Cloud Discovery 日志,请执行以下操作:
在 Microsoft Defender 门户中,选择“设置”。 然后选择“云应用”。 在“连接的应用”下,选择“条件访问应用控制”。
选择表上方的“导出”按钮。 例如:
选择报表范围,然后选择“导出”。 此过程可能需要一段时间才能完成。
要在报告准备就绪后下载导出的日志,请在 Microsoft Defender 门户中转到“报表” ->Cloud Apps,然后选择“已导出的报表”。
在表内,选择“条件访问应用控制流量日志”列表中的相关报告,然后选择“下载”。 例如:
会话策略支持的活动
以下各部分提供有关 Defender for Cloud Apps 会话策略支持的每个活动的更多详细信息。
仅监视
仅监视会话控制类型仅监视登录活动。
若要监视其他活动,请选择其他会话控制类型之一,并使用审核操作。
若要监视除下载和上传以外的活动,监视策略中每个活动必须至少有一个阻止策略。
阻止所有下载
当控制文件下载(并检查)设置为会话控制类型,且阻止设置为 操作时,条件访问应用控制会阻止用户根据策略文件筛选器下载文件。
当用户启动下载时,会为用户显示下载受限消息,下载的文件将替换为文本文件。 根据组织的需要,将文本文件的消息配置给用户。
需要升级身份验证
会话控制类型设置为阻止活动、控制文件下载(并检查)或控制文件上传(并检查)时,可以选择需要升级身份验证操作。
选择此操作后,每当所选活动发生时,Defender for Cloud Apps 会将会话重定向到 Microsoft Entra 条件访问以重新评估策略。
使用此选项,可以根据 Microsoft Entra ID 中配置的身份验证上下文,在会话期间检查多重身份验证和设备合规性等声明。
阻止特定活动
将阻止活动设置为会话控制类型时,可以选择要在特定应用中阻止的特定活动。
例如,你可能想要阻止以下活动:
已发送 Teams 消息。 阻止用户从 Microsoft Teams 发送消息,或阻止包含特定内容的 Teams 消息。
打印。 阻止所有打印操作。
复制。 阻止所有复制到剪贴板的操作,或仅阻止特定内容的复制。
下载时保护文件
选择阻止活动会话控制类型以阻止特定活动,可以使用活动类型筛选器定义这些活动。
在云应用 > 活动日志中监视和报告已配置应用中的所有活动。
根据策略的文件筛选器,选择保护操作,以使用敏感度标记和其他保护来保护文件。
在 Microsoft Purview 中配置敏感度标签,且必须通过配置进行加密后,才能在 Defender for Cloud Apps 会话策略中显示为选项。
当使用特定标签配置会话策略,并且用户下载了符合策略标准的文件时,将对该文件应用该标签以及任何相应的保护和权限。
原始文件在云应用中保持原样,而下载的文件现在受到保护。 尝试访问下载的文件的用户必须满足由应用的保护所确定的权限要求。
Defender for Cloud Apps 当前支持对以下文件类型应用 Microsoft Purview 信息保护的敏感度标签:
- Word:docm、docx、dotm、dotx
- Excel:xlam、xlsm、xlsx、xltx
- PowerPoint:potm、potx、ppsx、ppsm、pptm、pptx
注意
PDF 文件必须使用统一标签进行标记。
保护选项不支持在会话策略中使用现有标签覆盖文件。
保护敏感文件上传
根据策略的文件筛选器选择控制文件上传(并检查)会话控制类型,以防止用户上传文件。
如果正在上传的文件包含敏感数据且未经合理标签标记,则会阻止文件上传。
例如,可以创建策略,扫描文件内容以确定是否包含匹配的敏感内容,例如身份证信息。 如果文件包含敏感内容,并且未标记为 Microsoft Purview 信息保护机密标签,则会阻止文件上传。
在上传或下载时阻止恶意软件
选择控制文件上传(并检查)或控制文件下载(并检查)作为会话控制类型,选择恶意软件检测作为检查方法,以防止用户上传或下载带有恶意软件的文件。 使用 Microsoft 威胁情报引擎对文件进行恶意软件扫描。
通过筛选检测到的潜在恶意软件项目,查看云应用 > 活动日志中标记为潜在恶意软件的任何文件。 有关详细信息,请参阅活动筛选器和查询。
教育用户保护敏感文件
建议你在用户违反你策略时对他们进行教育,以便他们学习如何遵守你组织的要求。
由于每个企业都有独特的需求和策略,Defender for Cloud Apps 允许自定义策略筛选器,以及在检测到违规时向用户显示的消息。
可以向用户提供特定指导,例如提供有关如何适当标记文件的说明,或如何注册非管理的设备以确保文件成功上传。
例如,如果用户上传的文件没有敏感度标签,则可以配置一条要显示的消息,说明该文件包含敏感内容,需要增加适当标签。 同样,如果用户尝试从非管理的设备上传文档,则可以配置一条要显示的消息,其中包含有关如何注册该设备的说明,或者进一步说明为什么必须注册该设备的消息。
会话策略中的访问控制
许多组织选择使用云应用的会话控制来控制会话内活动,并应用访问控制对同一组内置移动和桌面客户端应用进行阻止,从而为应用提供全面的安全性。
可以使用访问策略将客户端应用筛选器设置为移动和桌面,从而阻止访问内置移动和桌面客户端应用。 某些内置客户端应用可以单独识别,而套件内的应用只能标识为其中的顶级应用。 例如,SharePoint Online 等应用只能通过创建 Microsoft 365 应用的访问策略识别。
注意
除非将客户端应用筛选器设置为“移动和桌面”,否则生成的访问策略将仅适用于浏览器会话。 这是为了防止无意中代理用户会话。
尽管大多数主要浏览器均支持执行客户端证书检查,但某些移动和桌面应用会使用可能不支持此检查的内置浏览器。 因此,使用此筛选器可能会影响这些应用的身份验证。
策略之间的冲突
当两个会话策略之间存在冲突时,限制性更强的策略将获胜。
例如:
- 如果用户会话与阻止下载的策略都匹配
- 还有一个策略,在下载时给文件贴上标签,或者对下载进行审核,
- 文件下载选项被阻止,以符合更严格的策略。
相关内容
有关详细信息,请参阅:
如果遇到任何问题,我们可随时提供帮助。 要获取产品问题的帮助或支持,请开立支持票证。