在条件访问策略中,管理员可以利用会话控制在特定的云应用程序中启用受限体验。
应用程序强制实施的限制
组织可以使用此控制要求 Microsoft Entra ID 将设备信息传递给所选云应用。 借助设备信息,云应用可了解连接是否来自合规或已加入域的设备,并更新会话体验。 选择后,云应用会使用设备信息为用户提供有限或完整的体验。 当设备不受管理或不合规时,提供有限的体验;当设备受管理且合规时,提供完整的体验。
有关受支持应用程序的列表以及如何配置策略,请参阅以下文章:
条件访问应用程序控制
条件访问应用控制使用反向代理体系结构,并以独特的方式与 Microsoft Entra 条件访问相集成。 使用 Microsoft Entra 条件访问可以根据某些条件在组织的应用中强制实施访问控制。 这些条件定义了条件访问策略适用哪些用户或用户组、云应用、位置和网络。 确定条件后,可将用户路由到 Microsoft Defender for Cloud Apps,你可在其中通过应用访问和会话控制,使用条件访问应用控制来保护数据。
借助条件访问应用控制,可以根据访问和会话策略实时监视与控制用户应用访问和会话。 访问和会话策略在 Defender for Cloud Apps 门户中用于优化筛选器并设置要采取的操作。 使用访问和会话策略可以:
- 防止数据外泄:例如,可以在非托管设备上阻止敏感文档的下载、剪切、复制和打印。
- 在下载时提供保护:如果不阻止敏感文档的下载,可以要求为文档添加标签并通过 Azure 信息保护进行保护。 此操作可确保文档受到保护,并在有潜在风险的会话中限制用户访问。
- 阻止上传不带标签的文件:在上传、分发和使用敏感文件之前,必须确保文件带有适当的标签并受保护。 在用户对内容进行分类之前,可以确保阻止上传包含敏感内容的不带标签的文件。
- 监视用户会话的合规性(预览):风险用户在登录到应用后会受到监视,并且会从会话内部记录他们的操作。 可以调查和分析用户的行为,以了解将来应在何处、在何种条件下应用会话策略。
- 阻止访问(预览):可根据多种风险因素以不同的粒度阻止特定应用和用户的访问。 例如,如果它们使用客户端证书作为设备管理的一种形式,则可以阻止它们。
- 阻止自定义活动:某些应用的独特使用场景会带来风险,例如,在 Microsoft Teams 或 Slack 等应用中发送包含敏感内容的消息。 在此类场景中,可以扫描消息中的敏感内容并实时阻止。
有关详细信息,请参阅为特色应用部署条件访问应用控制一文。
登录频率
登录频率定义在用户尝试访问资源时,要求用户重新登录之前所要经过的时限。 管理员可以选择一个时间段(几小时或几天)或选择每次都需要重新身份验证。
登录频率设置适用于根据标准实现了 OAUTH2 或 OIDC 协议的应用。 大多数适用于 Windows、Mac 和移动设备的 Microsoft 原生应用(包括以下 Web 应用程序)都配置有该设置。
- Word、Excel、PowerPoint Online
- OneNote 在线
- Office.com
- Microsoft 365 管理门户
- Exchange 在线版
- SharePoint 和 OneDrive
- Teams Web 客户端
- Dynamics CRM 在线
- Azure 门户
有关详细信息,请参阅文章使用条件访问配置身份验证会话管理。
持久性浏览器会话
持久性浏览器会话可让用户在关闭再重新打开其浏览器窗口后保持登录状态。
有关详细信息,请参阅文章使用条件访问配置身份验证会话管理。
禁用复原默认设置
在中断期间,Microsoft Entra ID 将扩展对现有会话的访问权限,同时强制执行条件访问策略。
如果复原能力默认值被禁用,一旦现有会话过期,访问将被拒绝。 有关详细信息,请参阅条件访问:复原能力默认值一文。
需要对登录会话进行令牌保护(预览版)
令牌保护(在行业中有时称为令牌绑定)尝试通过确保只能从预期设备使用令牌来减少使用窃取的令牌进行的攻击。 当攻击者能够通过劫持或重播来窃取令牌时,他们可以在令牌过期或吊销之前模拟其受害者。 令牌失窃被认为是一个相对罕见的事件,但由此造成的损害可能是巨大的。
预览版仅适用于特定方案。 有关详细信息,请参阅条件访问:令牌保护(预览版)一文。