Политики сеанса

  • Статья

Microsoft Defender для облака политики сеансов приложений обеспечивают подробную видимость облачных приложений с отслеживанием уровня сеанса в режиме реального времени. Используйте политики сеансов для выполнения различных действий в зависимости от политики, заданной для сеанса пользователя.

Вместо полного разрешения или блокировки доступа используйте политики управления сеансами, чтобы разрешить доступ во время мониторинга сеанса. Кроме того, может потребоваться ограничить определенные действия сеанса с помощью поддержки обратного прокси-сервера управления условным доступом.

Например, вы можете решить, что вы хотите разрешить пользователям доступ к приложению с неуправляемых устройств или из сеансов, поступающих из определенных расположений. Однако вы хотите ограничить скачивание конфиденциальных файлов или требовать, чтобы определенные документы были защищены при скачивании.

Политики сеансов позволяют настраивать элементы управления сеансом пользователя, настраивать доступ и многое другое:

Примечание.

  • Количество политик, которые можно применить, не ограничено.
  • Между политикой, создаваемой для ведущего приложения, и любыми связанными приложениями ресурсов нет связи. Например, политики сеансов, создаваемые для Teams, Exchange или Gmail, не подключены к Sharepoint, OneDrive или Google Drive. Если вам нужна политика для приложения ресурсов в дополнение к основному приложению, создайте отдельную политику.

Предварительные требования для использования политик сеансов

Перед началом работы убедитесь, что у вас есть следующие предварительные требования:

Создание политики сеанса Defender для облака Apps

Чтобы создать новую политику сеанса, выполните следующие действия.

  1. На портале Microsoft Defender в разделе "Облачные приложения" перейдите к политикам управления> политиками. Затем перейдите на вкладку условного доступа .

  2. Выберите "Создать политику" и выберите "Политика сеанса". Например:

    Screenshot of the Create a Conditional access policy page.

  3. В окне Политика сеанса присвойте создаваемой политике имя, например Блокировка скачивания конфиденциальных документов в Box для пользователей маркетингового отдела.

  4. В поле "Тип элемента управления сеансом" выберите следующее:

    • Выберите Только мониторинг, если требуется только отслеживать действия пользователей. Этот выбор создает политику "Монитор" только для выбранных приложений.

    • Выберите "Управление скачиванием файлов" (с проверкой), если вы хотите отслеживать действия пользователей. Вы можете предпринять дополнительные действия, такие как блокировка или защита загрузки для пользователей.

    • Выберите Блокировать действия, чтобы заблокировать определенные действия, которые можно выбрать с помощью фильтра Тип действий. Все действия из выбранных приложений отслеживаются (и передаются в журнале действий). При выборе действия блокировки определенные действия блокируются. Определенные действия, которые вы выбираете, вызывают оповещения, если выбрано действие аудита и включена функция оповещений.

  5. В разделе "Источник действий" в разделе "Действия", соответствующий всем приведенным ниже разделам, выберите дополнительные фильтры действий для применения к политике. Можно выбрать следующие варианты:

    • Теги устройств. Этот фильтр используется для идентификации неуправляемых устройств.

    • Расположение. Этот фильтр используется для идентификации неизвестных (и, соответственно, сопряженных с риском) расположений.

    • IP-адрес. Этот вариант позволяет выполнять фильтрацию по IP-адресам или использовать ранее назначенные теги IP-адресов.

    • Тег агента пользователя. Этот фильтр позволяет использовать эвристические алгоритмы для идентификации мобильных и классических приложений. Этот фильтр может быть равен или не равен Собственный клиент. Он должен проверяться для мобильных и классических приложений для каждого облачного приложения.

    • Тип действия: используйте этот фильтр для выбора определенных действий для управления, например:

      • Печать

      • Действия буфера обмена: копирование, вырезать и вставить

      • Отправка элементов в таких приложениях, как Teams, Slack и Salesforce

      • Предоставление общего доступа и отмена общего доступа к элементам в различных приложениях

      • Изменение элементов в различных приложениях

      Например, используйте действие отправки элементов в ваших условиях, чтобы поймать пользователя, пытающегося отправить информацию в чате Teams или канале Slack, и заблокировать сообщение, если оно содержит конфиденциальную информацию, например пароль или другие учетные данные.

    Примечание.

    Политики сеансов не поддерживают мобильные и классические приложения. Мобильные и классические приложения можно добавить в список заблокированных или разрешенных, создав политику доступа.

  6. Если выбран параметр управления скачиванием файлов (с проверкой):

    • В разделе "Источник действий" в разделе "Файлы", соответствующий всем приведенным ниже разделам, выберите дополнительные фильтры файлов для применения к политике. Можно выбрать следующие варианты:

      • Метка конфиденциальности. Используйте этот фильтр, если ваша организация использует Защита информации Microsoft Purview и данные защищены метками конфиденциальности. Файлы можно фильтровать на основе метки конфиденциальности, примененной к ним. Дополнительные сведения об интеграции с Защита информации Microsoft Purview см. в Защита информации Microsoft Purview интеграции.

      • Имя файла. Этот фильтр позволяет применить политику к конкретным файлам.

      • Тип файла. Этот тип позволяет применить политику к определенным типам файлов, например заблокировать скачивание любых XLS-файлов.

    • В разделе Проверка содержимого укажите, требуется ли включить модуль защиты от потери данных для сканирования документов и содержимого файлов.

    • В разделе Действия выберите один из следующих элементов:

      • Аудит (мониторинг всех действий): задайте это действие, чтобы явно разрешить загрузку в соответствии с заданными фильтрами политики.
      • Блокировать (Блокировать скачивание файлов и отслеживать все действия). Установите это действие, чтобы явно запретить скачивание в соответствии с установленными фильтрами политики. Дополнительные сведения см. в разделе Как реализуется блокировка скачивания.
      • Защита (применение метки конфиденциальности для скачивания и отслеживания всех действий) — этот параметр доступен только в том случае, если вы выбрали скачивание файла управления (с проверкой) в политике сеанса. Если ваша организация использует Защита информации Microsoft Purview, можно задать действие, чтобы применить метку конфиденциальности в Защита информации Microsoft Purview к файлу. Дополнительные сведения см. в разделе Как реализуется защита от скачивания.

  7. Чтобы отправить оповещение в виде сообщения электронной почты, выберите "Создать оповещение" для каждого соответствующего события с серьезностью политики и задайте ограничение на оповещение.

  8. Уведомляйте пользователей: при создании политики сеансов каждый сеанс пользователя, соответствующий политике, перенаправляется на элемент управления сеансом, а не непосредственно в приложение.

    При этом пользователь увидит соответствующее уведомление о том, что осуществляется мониторинг сеансов. Если отображать уведомление о мониторинге не требуется, эту функцию можно отключить.

    1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".

    2. Затем в разделе управления условным доступом для приложений выберите Мониторинг пользователей и снимите флажок Уведомлять пользователей.

  9. Мониторинг журналов. Чтобы сохранить пользователя в сеансе, управление приложениями условного доступа заменяет все соответствующие URL-адреса, скрипты Java и файлы cookie в сеансе приложения на URL-адреса приложений Microsoft Defender для облака приложения. Например, если приложение возвращает страницу со ссылками, домены которых заканчиваются myapp.com, элемент управления приложениями условного доступа заменяет ссылки на домены, заканчивающиеся примерно таким образом myapp.com.mcas.ms. Таким образом, Defender для облака Приложения отслеживают весь сеанс.

Экспорт журналов Cloud Discovery

Функция управления настройками условного доступа для приложений позволяет вести журналы трафика для каждого сеанса перенаправляемого пользователя. В журналах трафика регистрируются время, IP-адрес, агент пользователя, посещенные URL-адреса, а также объем скачанных и загруженных данных. Эти журналы анализируются и непрерывный отчет, Defender для облака приложения условного доступа к приложению, добавляются в список отчетов Cloud Discovery на панели мониторинга Cloud Discovery.

Чтобы экспортировать журналы Cloud Discovery на панели мониторинга Cloud Discovery, выполните следующие действия.

  1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения". В разделе Подключение приложения выберите элемент управления условным доступом.

  2. Над таблицей нажмите кнопку экспорта. Например:

    Screenshot of the export button.

  3. Выберите диапазон отчета и нажмите кнопку "Экспорт". Этот процесс может занять некоторое время.

  4. Чтобы скачать экспортируемый журнал после готовности отчета, на портале Microsoft Defender перейдите к отчетам ->Cloud Apps и экспортируемым отчетам.

  5. В таблице выберите соответствующий отчет из списка журналов трафика управления условным доступом и нажмите кнопку "Скачать". Например:

    Screenshot of the download button.

Отслеживайте все изменения.

Мониторинг только действий отслеживает действие входа и не отправляет оповещений. 

Чтобы отслеживать другие действия, выберите действие аудита , в этом случае оповещения отправляются в соответствии с политикой. Действия в действии аудита отслеживаются и регистрируются независимо от того, соответствует ли политика или нет. 

Примечание.

Чтобы отслеживать другие действия, кроме загрузки и отправки, в политике мониторинга должно быть по крайней мере один блок для каждой политики действий.

блокировать все загрузки;

Если блокировка задана как действие, которое вы хотите принять в политике сеансов Defender для облака Приложения, управление приложениями условного доступа запрещает пользователю загружать файл на фильтры файлов политики. Defender для облака Приложения распознают событие скачивания для каждого приложения при запуске загрузки пользователем. Функция Управления условным доступом к приложениям в реальном времени блокирует его выполнение. При получении сигнала о том, что пользователь инициировал скачивание, функция Управления условным доступом к приложениям возвращает пользователю сообщение Скачивание ограничено и заменяет скачанный файл текстовым файлом. Этот файл может содержать сообщение для пользователя, настраиваемое в политике сеанса.

Требовать поэтапной проверки подлинности (контекст проверки подлинности)

Если для типа элемента управления сеансом задано значение "Блокировать действия", скачивание файла управления (с проверкой), отправка файла управления (с проверкой) можно выбрать действиедля проверки подлинности с шагом вверх. При выборе этого действия Defender для облака приложения перенаправят сеанс в условный доступ Microsoft Entra для повторной оценки политики при каждом возникновении выбранного действия. На основе настроенного контекста проверки подлинности в идентификаторе Microsoft Entra утверждения, такие как многофакторная проверка подлинности и соответствие устройств, могут быть проверка во время сеанса.

блокировать определенные действия;

Если выбран вариант Блокировать действия для параметра Тип действия, вы можете выбрать определенные действия, которые нужно блокировать для конкретных приложений. Все действия из выбранных приложений отслеживаются и сообщаются в журнале действий. При выборе действия блокировки определенные действия блокируются. Определенные действия, выбранные при выборе действия аудита, вызывают оповещения, если выбрано действие аудита и включена функция оповещений.

Примеры заблокированных действий:

  • Отправка сообщения Teams: используйте его для блокировки сообщений, отправленных из Microsoft Teams, или блокировать сообщения Teams, содержащие определенное содержимое.
  • Печать: используйте его для блокировки действий печати
  • Копирование: используйте его для блокировки копирования в действия буфера обмена или только блокировка копирования для определенного содержимого

Примените фильтр Блокировать определенные действия к определенным группам, чтобы создать полный режим только для чтения в организации.

защищать файлы при скачивании.

Выберите Блокировать действия, чтобы заблокировать определенные действия, которые можно найти с помощью фильтра Тип действий. Все действия из выбранных приложений отслеживаются (и передаются в журнале действий). При выборе действия блокировки определенные действия блокируются. Определенные действия, выбранные при выборе действия аудита, вызывают оповещения, если выбрано действие аудита и включена функция оповещений.

Если параметр Protect задан как действие, выполняемое в политике сеанса Defender для облака Apps, управление приложениями условного доступа применяет метку и последующую защиту файла для фильтров файлов политики. Метки настраиваются в Портал соответствия требованиям Microsoft Purview, и метка должна быть настроена для применения шифрования, чтобы она отображалась в качестве параметра в политике приложений Defender для облака.

Если вы выбрали определенную метку и пользователь скачивает файл, соответствующий критериям политик, метка и все соответствующие защиты и разрешения применяются к файлу.

Исходный файл остается в облачном приложении без изменений, а скачанный файл после этого будет защищен. Чтобы получить доступ к этому файлу, пользователям потребуются разрешения, которые определяются примененным уровнем защиты.

Defender для облака Приложения в настоящее время поддерживают применение меток конфиденциальности из Защита информации Microsoft Purview для следующих типов файлов:

  • Word: docm, docx, dotm, dotx
  • Excel: xlam, xlsm, xlsx, xltx
  • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • PDF

Примечание.

  • Для PDF необходимо использовать унифицированные метки.
  • Невозможно перезаписать файлы с существующей меткой с помощью параметра "Защитить" в политиках сеансов.

Защита отправки конфиденциальных файлов

При отправке файла управления (с проверкой) в качестве типа элемента управления сеансами в политике сеансов Defender для облака приложения управление условным доступом запрещает пользователю отправлять файл на фильтры файлов политики. При распознавании события отправки управление приложениями условного доступа вмешивается в режиме реального времени, чтобы определить, учитывается ли файл и требуется ли защита. Если файл содержит конфиденциальные данные и не имеет правильной метки, отправка файла блокируется.

Например, можно создать политику, которая сканирует содержимое файла, чтобы определить, содержит ли он конфиденциальное содержимое, например номер социального страхования. Если он содержит конфиденциальное содержимое и не помечен Защита информации Microsoft Purview конфиденциальной меткой, отправка файла блокируется. Когда файл заблокирован, вы можете отобразить пользовательское сообщение пользователю , в котором показано, как пометить файл, чтобы отправить его. Таким образом, вы гарантируете, что файлы, хранящиеся в облачных приложениях, соответствуют вашим политикам.

Блокировать отправку вредоносных программ

Если для отправки файлов управления (с проверкой) задан тип элемента управления сеансами и определение вредоносных программ в качестве метода проверки в политике сеанса приложений Defender для облака, управление условным доступом запрещает пользователю отправлять файл в режиме реального времени, если обнаружена вредоносная программа. Файлы сканируются с помощью подсистемы аналитики угроз Майкрософт.

Файлы, помеченные как потенциальные вредоносные программы, можно просмотреть с помощью фильтра "Потенциальные вредоносные программы" в журнале действий.

Вы также можете настроить политики сеансов для блокировки вредоносных программ при скачивании.

Обучение пользователей защите конфиденциальных файлов

Важно обучить пользователей, когда они нарушают политику, чтобы они узнали, как соблюдать политики организации.

Так как у каждого предприятия есть уникальные потребности и политики, Defender для облака Apps позволяет настраивать фильтры политики и сообщение, отображаемое пользователю при обнаружении нарушения.

Вы можете предоставить пользователям определенное руководство, например предоставить инструкции о том, как правильно пометить файл или как зарегистрировать неуправляемое устройство, чтобы убедиться, что файлы успешно отправлены.

Например, если пользователь отправляет файл без метки конфиденциальности, можно отобразить сообщение, объясняющее, что файл содержит конфиденциальное содержимое, требующее соответствующей метки. Аналогичным образом, если пользователь пытается отправить документ с неуправляемого устройства, сообщение может отображаться с инструкциями по регистрации этого устройства или одного из них, предоставляющего дальнейшее объяснение того, почему устройство должно быть зарегистрировано.

Конфликты между политиками

Когда между двумя политиками возникает конфликт, тем более ограничительная политика выигрывает. Например:

  • Если сеанс пользователя область в политику блокировки загрузки и на метку при скачивании, действие скачивания файла блокируется.

  • Если сеанс пользователя область в политику блокировки загрузки и политику загрузки аудита, действие скачивания файла блокируется.

Дальнейшие действия

Дополнительные сведения см. в разделе:

"НАЗАД: подключение и развертывание управления приложениями условного доступа для любого приложения"

Далее: Как создать политику доступа »

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.