Creare criteri di sessione di app Microsoft Defender per il cloud
Microsoft Defender per il cloud i criteri di sessione delle app offrono visibilità granulare nelle app cloud con monitoraggio a livello di sessione in tempo reale. Usare i criteri di sessione per eseguire varie azioni, a seconda dei criteri impostati per una sessione utente.
A differenza dei criteri di accesso, che consentono o bloccano completamente l'accesso, i criteri di sessione consentono l'accesso durante il monitoraggio della sessione. Aggiungere il controllo dell'app di accesso condizionale ai criteri di sessione per limitare attività di sessione specifiche.
Ad esempio, è possibile consentire agli utenti di accedere a un'app da dispositivi non gestiti o da posizioni specifiche. Tuttavia, è possibile limitare il download di file sensibili durante tali sessioni o richiedere che documenti specifici siano protetti dal download, dal caricamento o dalla copia quando si esce dall'app.
I criteri creati per un'app host non sono connessi ad alcuna app di risorse correlata. Ad esempio, i criteri di accesso creati per Teams, Exchange o Gmail non sono connessi a SharePoint, OneDrive o Google Drive. Se sono necessari criteri per l'app per le risorse oltre all'app host, creare un criterio separato.
Non esiste alcun limite al numero di criteri che è possibile applicare.
Prerequisiti
Prima di iniziare, assicurarsi di disporre dei prerequisiti seguenti:
Una licenza Defender per il cloud Apps, come licenza autonoma o come parte di un'altra licenza
Una licenza per Microsoft Entra ID P1, come licenza autonoma o come parte di un'altra licenza.
Se si usa un IdP non Microsoft, la licenza richiesta dalla soluzione provider di identità (IdP).
Le app pertinenti caricate nel controllo delle app per l'accesso condizionale. Le app Microsoft Entra ID vengono caricate automaticamente, mentre le app IdP non Microsoft devono essere caricate manualmente.
Se si usa un IdP non Microsoft, assicurarsi di aver configurato anche il provider di identità per l'uso con le app Microsoft Defender per il cloud. Per altre informazioni, vedi:
Per consentire il funzionamento dei criteri di sessione, è necessario disporre anche di un criterio di accesso condizionale microsoft Entra ID, che crea le autorizzazioni per controllare il traffico.
Esempio: Creare criteri di accesso condizionale di Microsoft Entra ID da usare con app Defender per il cloud
Questa procedura fornisce un esempio generale di come creare criteri di accesso condizionale da usare con Defender per il cloud App.
In Accesso condizionale microsoft Entra ID selezionare Crea nuovo criterio.
Immettere un nome significativo per il criterio e quindi selezionare il collegamento in Sessione per aggiungere controlli ai criteri.
Nell'area Sessione selezionare Usa controllo app per l'accesso condizionale.
Nell'area Utenti selezionare questa opzione per includere tutti gli utenti o solo utenti e gruppi specifici.
Nelle aree Condizioni e app client selezionare le condizioni e le app client da includere nei criteri.
Salvare i criteri attivando o disattivando Solo report su Sì e quindi selezionando Crea.
Microsoft Entra ID supporta criteri basati su browser e non basati su browser. È consigliabile creare entrambi i tipi per aumentare la copertura della sicurezza.
Ripetere questa procedura per creare un criterio di accesso condizionale basato su nonbrowser. Nell'area App client attivare o disattivare l'opzione Configura su Sì. Quindi, in Client di autenticazione moderna deselezionare l'opzione Browser . Lasciare selezionata tutte le altre selezioni predefinite.
Nota: l'applicazione aziendale "app Microsoft Defender per il cloud - Controlli sessione" viene usata internamente dal servizio Controllo app per l'accesso condizionale. Assicurarsi che i criteri della CA non limitino l'accesso a questa applicazione nelle risorse di destinazione.
Per altre informazioni, vedere Criteri di accesso condizionale e Creazione di criteri di accesso condizionale.
Creare un criterio di sessione di app Defender per il cloud
Questa procedura descrive come creare un nuovo criterio di sessione in Defender per il cloud App.
In Microsoft Defender XDR selezionare la scheda Criteri > di gestione dei criteri > delle app > cloud Accesso condizionale.
Selezionare Crea criterio>Sessione criteri. Ad esempio:
Nella pagina Crea criteri di sessione iniziare selezionando un modello dall'elenco a discesa Modello di criteri oppure immettendo tutti i dettagli manualmente.
Immettere le informazioni di base seguenti per i criteri. Se si usa un modello, gran parte del contenuto è già compilata automaticamente.
Nome Descrizione Nome del criterio Un nome significativo per i criteri, ad esempio Blocca download di documenti sensibili in Box per gli utenti di marketing Gravità dei criteri Selezionare la gravità da applicare ai criteri. Categoria Selezionare la categoria da applicare. Descrizione Immettere una descrizione facoltativa e significativa per i criteri per aiutare il team a comprenderne lo scopo. Tipo di controllo sessione Selezionare una delle opzioni seguenti:
- Solo monitoraggio. Monitora solo l'attività dell'utente e crea un criterio di monitoraggio solo per le app selezionate.
- Blocca le attività. Blocca attività specifiche definite dal filtro Tipo di attività. Tutte le attività delle app selezionate vengono monitorate e segnalate nel log attività.
- Controllare il download dei file (con ispezione).Control file download (with inspection). Monitora i download di file e può essere combinato con altre azioni, ad esempio il blocco o la protezione dei download.
- Controllare il caricamento dei file (con ispezione). Monitora i caricamenti di file e può essere combinato con altre azioni, ad esempio il blocco o la protezione dei caricamenti.
Per altre informazioni, vedere Attività supportate per i criteri di sessione.Nell'area Attività corrispondenti a tutte le seguenti aree selezionare filtri attività aggiuntivi da applicare ai criteri. I filtri possono includere le opzioni seguenti:
Nome Descrizione Tipo di attività Selezionare il tipo di attività da applicare, ad esempio:
-Stampa
- Azioni degli Appunti come taglio, copia, incolla
- Invio, condivisione, annullamento delsharing o modifica di elementi nelle app supportate.
Ad esempio, usare un'attività di invio di elementi nelle condizioni per intercettare un utente che tenta di inviare informazioni in una chat di Teams o in un canale Slack e bloccare il messaggio se contiene informazioni riservate, ad esempio una password o altre credenziali.App Filtri per un'app specifica da includere nei criteri. Selezionare le app selezionando prima di tutto se usano l'onboarding automatico di Azure AD, per le app Microsoft Entra ID o l'onboarding manuale per le app non Microsoft IdP. Selezionare quindi l'app da includere nel filtro dall'elenco.
Se l'app IdP non Microsoft non è presente nell'elenco, assicurarsi di averlo caricato completamente. Per altre informazioni, vedere:
- Eseguire l'onboarding di app del catalogo idP non Microsoft per il controllo delle app per l'accesso condizionale.
- Eseguire l'onboarding di app personalizzate non Microsoft IdP per il controllo delle app per l'accesso condizionale
Se si sceglie di non usare il filtro app, il criterio si applica a tutte le applicazioni contrassegnate come Abilita nella pagina Impostazioni > App connesse App > connesse > App per l'accesso condizionale.
Nota: è possibile che si verifichino alcune sovrapposizioni tra le app di cui è stato eseguito l'onboarding e le app che richiedono l'onboarding manuale. In caso di conflitto nel filtro tra le app, l'onboarding manuale delle app avrà la precedenza.Dispositivo Filtrare per i tag del dispositivo, ad esempio per un metodo di gestione dei dispositivi specifico o per tipi di dispositivo, ad esempio PC, dispositivi mobili o tablet. Indirizzo IP Filtrare per indirizzo IP o usare tag di indirizzo IP assegnati in precedenza. Location Filtrare in base alla posizione geografica. L'assenza di una posizione chiaramente definita può identificare le attività rischiose. ISP registrato Filtrare le attività provenienti da un ISP specifico. Utente Filtrare per un utente o un gruppo di utenti specifico. Stringa agente utente Filtrare per una stringa specifica dell'agente utente. Tag agente utente Filtrare i tag dell'agente utente, ad esempio per browser obsoleti o sistemi operativi. Ad esempio:
Selezionare Modifica e anteprima dei risultati per ottenere un'anteprima dei tipi di attività che verrebbero restituiti con la selezione corrente.
Configurare opzioni aggiuntive disponibili per qualsiasi tipo di controllo sessione specifico.
Ad esempio, se è stata selezionata l'opzione Blocca attività, selezionare Usa ispezione contenuto per esaminare il contenuto dell'attività e quindi configurare le impostazioni in base alle esigenze. In questo caso, può essere necessario esaminare il testo che include espressioni specifiche, ad esempio un numero di previdenza sociale.
Se è stato selezionato Scarica file di controllo (con ispezione) o Caricamento file di controllo (con ispezione), configurare i file corrispondenti a tutte le impostazioni seguenti .
Configurare uno dei filtri di file seguenti:
Nome Descrizione Etichetta di riservatezza Filtra in base alle etichette di riservatezza di Microsoft Purview Information Protection , se usi anche Microsoft Purview e i tuoi dati sono protetti dalle relative etichette di riservatezza. Nome file Filtrare per file specifici. Estensione Filtrare per tipi di file specifici, ad esempio bloccare il download per tutti i file .xls. Dimensioni file (MB) Filtrare per dimensioni di file specifiche, ad esempio file di grandi dimensioni o di piccole dimensioni. Nell'area Applica a (anteprima):
- Selezionare se applicare il criterio a tutti i file o ai file solo nelle cartelle specificate
- Selezionare un metodo di ispezione da usare, ad esempio servizi di classificazione dei dati o malware. Per altre informazioni, vedere Integrazione di Microsoft Data Classification Services.
- Configurare opzioni più dettagliate per i criteri, ad esempio scenari basati su elementi come impronte digitali o classificatori sottoponibili a training.
Nell'area Azioni selezionare una delle opzioni seguenti:
Nome Descrizione Controllo Monitora tutte le attività. Selezionare questa opzione per consentire in modo esplicito il download in base ai filtri dei criteri impostati. Blocco Blocca i download dei file e monitora tutte le attività. Selezionare questa opzione per bloccare in modo esplicito i download in base ai filtri dei criteri impostati.
I criteri di blocco consentono anche di selezionare di inviare notifiche agli utenti tramite posta elettronica e di personalizzare il messaggio di blocco.Proteggere Applica un'etichetta di riservatezza al download e monitora tutte le attività. Disponibile solo se si seleziona Scarica file di controllo (con ispezione).
Se si usa Microsoft Purview Information Protection, è anche possibile selezionare di applicare un'etichetta di riservatezza ai file corrispondenti, applicare autorizzazioni personalizzate ai file scaricati dall'utente o bloccare il download di file specifici.
Se si dispone di un criterio di accesso condizionale di Microsoft Entra ID, è anche possibile selezionare per richiedere l'autenticazione dettagliata (anteprima).Facoltativamente, selezionare l'azione Applica sempre l'azione selezionata anche se i dati non possono essere analizzati in base alle esigenze dei criteri.
Nell'area Avvisi configurare una delle azioni seguenti in base alle esigenze:
- Creare un avviso per ogni evento corrispondente con la gravità del criterio
- Inviare un avviso come messaggio di posta elettronica
- Limite di avvisi giornalieri per criterio
- Inviare avvisi a Power Automate
Al termine, seleziona Crea.
Verificare i criteri
Dopo aver creato i criteri di sessione, testarlo eseguendo di nuovo l'autenticazione a ogni app configurata nei criteri e testando lo scenario configurato nei criteri.
È consigliabile:
- Disconnettersi da tutte le sessioni esistenti prima di ripetere l'autenticazione alle app.
- Accedere alle app per dispositivi mobili e desktop sia da dispositivi gestiti che non gestiti per assicurarsi che le attività vengano acquisite completamente nel log attività.
Assicurarsi di accedere con un utente che corrisponda ai criteri.
Per testare i criteri nell'app:
Verificare se l'icona di blocco viene visualizzata nel browser o se si usa un browser diverso da Microsoft Edge, verificare che l'URL dell'app contenga il
.mcas
suffisso. Per altre informazioni, vedere Protezione nel browser con Microsoft Edge for Business (anteprima).Visitare tutte le pagine all'interno dell'app che fanno parte del processo di lavoro di un utente e verificare che il rendering delle pagine sia corretto.
Verificare che il comportamento e la funzionalità dell'app non siano influenzati negativamente dall'esecuzione di azioni comuni, ad esempio il download e il caricamento di file.
Se si lavora con app IdP personalizzate e non Microsoft, controllare ognuno dei domini aggiunti manualmente per l'app.
Se si verificano errori o problemi, usare la barra degli strumenti di amministrazione per raccogliere risorse quali .har
file e sessioni registrate per l'invio di un ticket di supporto.
Per verificare la disponibilità di aggiornamenti in Microsoft Defender XDR:
Nel portale di Microsoft Defender, in App cloud, passare a Criteri e quindi selezionare Gestione dei criteri.
Selezionare il criterio creato per visualizzare il report dei criteri. Dovrebbe essere visualizzata entro breve una corrispondenza per i criteri di sessione.
Il report dei criteri mostra quali accessi sono stati reindirizzati a Microsoft Defender per il cloud App per il controllo sessione, nonché a qualsiasi altra azione, ad esempio i file scaricati o bloccati dalle sessioni monitorate.
Disattivare le impostazioni di notifica utente
Per impostazione predefinita, gli utenti ricevono una notifica quando vengono monitorate le sessioni. Se si preferisce che gli utenti non vengano informati o per personalizzare il messaggio di notifica, configurare le impostazioni di notifica.
In Microsoft Defender XDR selezionare Impostazioni > App > cloud Controllo app per l'accesso condizionale Monitoraggio > utenti.
Effettuare una delle selezioni seguenti:
- Deselezionare l'opzione Notifica agli utenti che l'attività è in corso di monitoraggio del tutto
- Mantenere la selezione e selezionare per usare il messaggio predefinito o per personalizzare il messaggio.
Selezionare il collegamento Anteprima per visualizzare un esempio del messaggio configurato in una nuova scheda del browser.
Esportare i log di Cloud Discovery
Il controllo delle app con l'accesso condizionale registra i log di traffico di ogni sessione utente indirizzata attraverso il controllo. I log di traffico includono l'ora, l'indirizzo IP, l'agente utente, gli URL visitati e il numero di byte caricati e scaricati. Questi log vengono analizzati e un report continuo, Defender per il cloud Controllo app per l'accesso condizionale, viene aggiunto all'elenco dei report di Cloud Discovery nel dashboard di Cloud Discovery.
Per esportare i log di Cloud Discovery dal dashboard di Cloud Discovery:
Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In App connesse selezionare Controllo app per l'accesso condizionale.
Sopra la tabella selezionare il pulsante esporta. Ad esempio:
Selezionare l'intervallo del report e selezionare Esporta. Questo processo può richiedere qualche minuto.
Per scaricare il log esportato dopo che il report è pronto, nel portale di Microsoft Defender passare a Report ->App cloud e quindi Report esportati.
Nella tabella selezionare il report pertinente nell'elenco dei log del traffico di Controllo app per l'accesso condizionale e selezionare Scarica. Ad esempio:
Attività supportate per i criteri di sessione
Le sezioni seguenti forniscono altri dettagli su ogni attività supportata dai criteri di sessione delle app Defender per il cloud.
Solo monitoraggio
Solo il tipo di controllo sessione Monitoraggio monitora solo l'attività Di accesso.
Per monitorare altre attività, selezionare uno degli altri tipi di controllo sessione e usare l'azione Controlla.
Per monitorare le attività diverse dai download e dai caricamenti, è necessario disporre di almeno un blocco per ogni criterio di attività nei criteri di monitoraggio.
Bloccare tutti i download
Quando il download dei file di controllo (con ispezione) viene impostato come tipo di controllo sessione e Blocca viene impostato come azione, il controllo app per l'accesso condizionale impedisce agli utenti di scaricare un file in base ai filtri dei file dei criteri.
Quando un utente avvia un download, viene visualizzato un messaggio Download con restrizioni per l'utente e il file scaricato viene sostituito con un file di testo. Configurare il messaggio del file di testo all'utente in base alle esigenze dell'organizzazione.
Richiedere l'autenticazione dettagliata
L'azione Richiedi autenticazione dettagliata è disponibile quando il tipo di controllo sessione è impostato su Blocca attività, Controlla il download dei file (con ispezione) o Controlla caricamento file (con ispezione).
Quando questa azione è selezionata, Defender per il cloud App reindirizza la sessione all'accesso condizionale Microsoft Entra per la rivalutazione dei criteri, ogni volta che si verifica l'attività selezionata.
Usare questa opzione per controllare attestazioni come l'autenticazione a più fattori e la conformità del dispositivo durante una sessione, in base al contesto di autenticazione configurato in Microsoft Entra ID.
Bloccare attività specifiche
Quando l'opzione Blocca attività è impostata come tipo di controllo sessione, selezionare attività specifiche da bloccare in app specifiche.
Tutte le attività delle app configurate vengono monitorate e segnalate nel log attività delle app > cloud.
Per bloccare attività specifiche, selezionare ulteriormente l'azione Blocca e selezionare le attività da bloccare.
Per generare avvisi per attività specifiche, selezionare l'azione Controlla e configurare le impostazioni degli avvisi.
Ad esempio, è possibile bloccare le attività seguenti:
Messaggio di Teams inviato. Impedire agli utenti di inviare messaggi da Microsoft Teams o bloccare i messaggi di Teams che contengono contenuto specifico.
Stampa. Blocca tutte le azioni di stampa.
Copia. Blocca tutte le azioni copia negli Appunti o blocca solo la copia per contenuto specifico.
Proteggere i file durante il download
Selezionare il tipo di controllo sessione Blocca attività per bloccare attività specifiche, definite usando il filtro Tipo di attività.
Tutte le attività delle app configurate vengono monitorate e segnalate nel log attività delle app > cloud.
Selezionare l'azione Blocca per bloccare attività specifiche oppure selezionare l'azione Controlla e definire le impostazioni di avviso per generare avvisi per attività specifiche.
Selezionare l'azione Proteggi per proteggere i file con etichette di riservatezza e altre protezioni in base ai filtri dei file dei criteri.
Le etichette di riservatezza sono configurate in Microsoft Purview e devono essere configurate per applicare la crittografia affinché vengano visualizzate come opzione nei criteri di sessione delle app Defender per il cloud.
Dopo aver configurato i criteri di sessione con un'etichetta specifica e l'utente scarica un file che soddisfa i criteri dei criteri, l'etichetta e le eventuali protezioni e autorizzazioni corrispondenti vengono applicate al file.
Il file originale rimane invariato nell'app cloud mentre il file scaricato è protetto. Gli utenti che tentano di accedere al file scaricato devono soddisfare i requisiti di autorizzazione determinati dalla protezione applicata.
Defender per il cloud Apps supporta attualmente l'applicazione di etichette di riservatezza da Microsoft Purview Information Protection per i tipi di file seguenti:
- Parola: docm, docx, dotm, dotx
- Excel: xlam, xlsm, xlsx, xltx
- PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
Nota
I file PDF devono essere etichettati con etichette unificate.
L'opzione Proteggi non supporta la sovrascrittura dei file con un'etichetta esistente nei criteri di sessione.
Proteggere i caricamenti di file sensibili
Selezionare il tipo di controllo di sessione Di caricamento file di controllo (con ispezione) per impedire a un utente di caricare un file in base ai filtri dei file dei criteri.
Se il file in fase di caricamento contiene dati sensibili e non ha l'etichetta corretta, il caricamento del file viene bloccato.
Ad esempio, creare un criterio che analizza il contenuto di un file per determinare se contiene una corrispondenza di contenuto sensibile, ad esempio un numero di previdenza sociale. Se contiene contenuto sensibile e non è etichettato con un'etichetta Riservato di Microsoft Purview Information Protection, il caricamento del file viene bloccato.
Suggerimento
Configurare un messaggio personalizzato all'utente quando un file viene bloccato, indicando loro come etichettare il file per caricarlo, assicurandosi che i file archiviati nelle app cloud siano conformi ai criteri.
Per altre informazioni, vedere Informare gli utenti per proteggere i file sensibili.
Bloccare il malware durante il caricamento o il download
Selezionare il caricamento del file di controllo (con ispezione) o il download di file di controllo (con ispezione) come tipo di controllo sessione e Rilevamento malware come metodo di ispezione per impedire a un utente di caricare o scaricare un file con malware. I file vengono analizzati per individuare il malware usando il motore di Intelligence per le minacce Microsoft.
Visualizzare eventuali file contrassegnati come potenziali malware nel log attività delle app > cloud filtrando gli elementi potenzialmente rilevati da malware. Per altre informazioni, vedere Filtri attività e query.
Informare gli utenti di proteggere i file sensibili
È consigliabile informare gli utenti quando sono in violazione dei criteri in modo che imparino a rispettare i requisiti dell'organizzazione.
Poiché ogni azienda ha esigenze e criteri univoci, Defender per il cloud App consente di personalizzare i filtri di un criterio e il messaggio visualizzato all'utente quando viene rilevata una violazione.
Fornire indicazioni specifiche agli utenti, ad esempio fornire istruzioni su come etichettare un file in modo appropriato o su come registrare un dispositivo non gestito per assicurarsi che i file vengano caricati correttamente.
Ad esempio, se un utente carica un file senza un'etichetta di riservatezza, configurare un messaggio da visualizzare, spiegando che il file contiene contenuto sensibile e richiede un'etichetta appropriata. Analogamente, se un utente tenta di caricare un documento da un dispositivo non gestito, configurare un messaggio da visualizzare con le istruzioni su come registrare il dispositivo o uno che fornisce una spiegazione più dettagliata del motivo per cui il dispositivo deve essere registrato.
Controlli di accesso nei criteri di sessione
Molte organizzazioni che scelgono di usare i controlli sessione per le app cloud per controllare le attività in sessione, applicano anche controlli di accesso per bloccare lo stesso set di app client desktop e per dispositivi mobili predefinite, offrendo così sicurezza completa per le app.
Bloccare l'accesso alle app client desktop e per dispositivi mobili predefinite con criteri di accesso impostando il filtro app client su Dispositivi mobili e desktop. Alcune app client predefinite possono essere riconosciute singolarmente, mentre altre che fanno parte di una suite di app possono essere identificate solo come app di primo livello. Ad esempio, le app come SharePoint Online possono essere riconosciute solo creando criteri di accesso applicati alle app di Microsoft 365.
Nota
A meno che il filtro dell'app client non sia impostato specificamente su Dispositivi mobili e desktop, i criteri di accesso risultanti verranno applicati solo alle sessioni del browser. Questo è progettato per impedire inavvertitamente il proxy delle sessioni utente.
Sebbene la maggior parte dei principali browser supporti l'esecuzione di un controllo del certificato client, alcune app per dispositivi mobili e desktop usano browser predefiniti che potrebbero non supportare questo controllo. Pertanto, l'uso di questo filtro può influire sull'autenticazione per queste app.
Conflitti tra criteri
Quando si verifica un conflitto tra due criteri di sessione, prevale il criterio più restrittivo.
Ad esempio:
- Se una sessione utente corrisponde a entrambi i criteri in cui i download vengono bloccati
- E un criterio in cui i file vengono etichettati al download o dove vengono controllati i download,
- L'opzione di download dei file è bloccata per rispettare i criteri più restrittivi.
Contenuto correlato
Per altre informazioni, vedi:
- Risoluzione dei problemi relativi ai controlli di accesso e sessione
- Esercitazione: Bloccare il download di informazioni riservate con controllo app per l'accesso condizionale
- Blocco dei download nei dispositivi non gestiti tramite i controlli sessione
- Webinar sul controllo delle app per l'accesso condizionale
Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.