Munkamenet-szabályzatok

Felhőhöz készült Microsoft Defender Alkalmazások munkamenetszabályzatai részletes láthatóságot biztosítanak a felhőalkalmazások számára valós idejű, munkamenetszintű monitorozással. A munkamenet-szabályzatok használatával különböző műveleteket hajthat végre a felhasználói munkamenethez beállított szabályzattól függően.

A hozzáférés teljes engedélyezése vagy letiltása helyett munkamenet-vezérlési szabályzatokkal engedélyezheti a hozzáférést a munkamenet monitorozása során. A feltételes hozzáférésű alkalmazásvezérlő fordított proxyjának támogatásával korlátozhatja az adott munkamenet-tevékenységeket is.

Dönthet például úgy, hogy engedélyezi a felhasználóknak, hogy nem felügyelt eszközökről vagy adott helyekről érkező munkamenetekből férhessenek hozzá az alkalmazásokhoz. Azonban korlátozni szeretné a bizalmas fájlok letöltését, vagy bizonyos dokumentumok letöltéskor történő védelmét szeretné megkövetelni.

A munkamenet-házirendek lehetővé teszik a felhasználói munkamenet-vezérlők beállítását, a hozzáférés konfigurálását és egyebeket:

• Az összes tevékenység figyelése
• Az összes letöltés letiltása
• Adott tevékenységek letiltása
• Lépésenkénti hitelesítés megkövetelése (hitelesítési környezet)
• Fájlok védelme letöltés után
• Bizalmas fájlok feltöltésének védelme
• Kártevők letiltása feltöltésre
• A felhasználók felkészítése a bizalmas fájlok védelmére

Feljegyzés

• Az alkalmazható szabályzatok száma nincs korlátozva.
• Nincs kapcsolat a gazdagépalkalmazáshoz létrehozott szabályzat és a kapcsolódó erőforrás-alkalmazások között. A Teamshez, az Exchange-hez vagy a Gmailhez létrehozott munkamenet-szabályzatok például nem kapcsolódnak a SharePointhoz, a OneDrive-hoz vagy a Google Drive-hoz. Ha az erőforrásalkalmazáshoz a gazdagépalkalmazás mellett szabályzatra is szüksége van, hozzon létre egy külön szabályzatot.

Munkamenet-szabályzatok használatának előfeltételei

Mielőtt hozzákezd, győződjön meg arról, hogy rendelkezik a következő előfeltételekkel:

• Felhőhöz készült Defender Apps-licenc (önálló vagy egy másik licenc része)

• A Microsoft Entra ID P1 licence (önálló licencként vagy E5-licencként), vagy az identitásszolgáltató (IdP) megoldásához szükséges licenc

• A releváns alkalmazásokat a feltételes hozzáférésű alkalmazásvezérlővel kell üzembe helyezni

• Győződjön meg arról, hogy az IdP-megoldást úgy konfigurálta, hogy az Felhőhöz készült Defender-alkalmazásokkal működjön, az alábbiak szerint:

  • A Microsoft Entra feltételes hozzáféréssel kapcsolatban lásd: Integráció konfigurálása a Microsoft Entra-azonosítóval
  • Egyéb idP-megoldások esetén lásd : Integráció konfigurálása más identitásszolgáltatói megoldásokkal

Felhőhöz készült Defender Apps-munkamenetszabályzat létrehozása

Az alábbi lépésekkel hozzon létre egy új munkamenet-szabályzatot:

1. A Microsoft Defender portál Cloud Apps területén válassza a Szabályzatok kezelése lehetőséget>. Ezután válassza a Feltételes hozzáférés lapot.

2. Válassza a Szabályzat létrehozása és a Munkamenet-szabályzat lehetőséget. Példa:

   

3. A Munkamenet-házirend ablakban rendeljen hozzá egy nevet a szabályzathoz, például tiltsa le a bizalmas dokumentumok letöltését a Box for Marketing Users alkalmazásban.

4. A Munkamenet-vezérlő típusa mezőben válassza a következőt:

   • Csak akkor válassza a Figyelés lehetőséget, ha csak a felhasználók tevékenységeit szeretné figyelni. Ez a kijelölés csak monitorozási szabályzatot hoz létre a kiválasztott alkalmazásokhoz, amelyek mind bejelentkeztek.

   • Ha felhasználói tevékenységeket szeretne figyelni, válassza a Fájlletöltés vezérlése (ellenőrzéssel) lehetőséget. További műveleteket végezhet, például letilthatja vagy megvédheti a letöltéseket a felhasználók számára.

   • Válassza a Tevékenységek letiltása lehetőséget adott tevékenységek letiltásához, amelyet a Tevékenységtípus szűrővel választhat ki. A kiválasztott alkalmazásokból származó összes tevékenységet figyeljük (és a tevékenységnaplóban jelentjük). A kiválasztott tevékenységek le lesznek tiltva, ha a Letiltás műveletet választja. A kiválasztott tevékenységek riasztásokat adnak, ha a Naplózás műveletet választja, és a riasztások be vannak kapcsolva.

5. Az alábbi szakasznak megfelelő Tevékenységek területen válassza ki a szabályzatra alkalmazandó további tevékenységszűrőket. Ezek a szűrők a következő beállításokat tartalmazhatják:

   • Eszközcímkék: Ezzel a szűrővel azonosíthatja a nem felügyelt eszközöket.

   • Hely: Ezzel a szűrővel azonosíthatja az ismeretlen (és ezért kockázatos) helyeket.

   • IP-cím: Ezzel a szűrővel szűrhet IP-címek alapján, vagy használhatja a korábban hozzárendelt IP-címcímkéket.

   • Felhasználói ügynök címke: Ezzel a szűrővel engedélyezheti a heurisztikus számára a mobil- és asztali alkalmazások azonosítását. Ez a szűrő beállítható egyenlőre vagy nem egyenlő natív ügyfélre. Ezt a szűrőt minden egyes felhőalkalmazáshoz tesztelni kell a mobil- és asztali alkalmazásokon.

   • Tevékenység típusa: Ezzel a szűrővel kiválaszthatja a vezérelni kívánt tevékenységeket, például:

     • Nyomtatás

     • Vágólapműveletek: Másolás, kivágás és beillesztés

     • Elemek küldése alkalmazásokban, például a Teamsben, a Slackben és a Salesforce-ban

     • Elemek megosztása és megosztása különböző alkalmazásokban

     • Elemek szerkesztése különböző alkalmazásokban

     Például a feltételekben szereplő küldési tevékenységekkel elkaphatja, hogy egy felhasználó egy Teams-csevegésben vagy Slack-csatornán próbál adatokat küldeni, és letiltja az üzenetet, ha bizalmas adatokat, például jelszót vagy más hitelesítő adatokat tartalmaz.

   Feljegyzés

   A munkamenet-szabályzatok nem támogatják a mobil- és asztali alkalmazásokat. A mobilalkalmazások és az asztali alkalmazások is letilthatók vagy engedélyezhetők egy hozzáférési szabályzat létrehozásával.

6. Ha a Fájlletöltés vezérlése (ellenőrzéssel) lehetőséget választotta:

   • A Következő szakasznak megfelelő fájlok tevékenységforrása területen válasszon ki további fájlszűrőket a szabályzatra való alkalmazáshoz. Ezek a szűrők a következő beállításokat tartalmazhatják:

     • Bizalmassági címke – Ezt a szűrőt akkor használja, ha a szervezet Microsoft Purview információvédelem használ, és az adatait bizalmassági címkék védik. A fájlokat a rájuk alkalmazott bizalmassági címke alapján szűrheti. A Microsoft Purview információvédelem integrációjával kapcsolatos további információkért lásd Microsoft Purview információvédelem integrációt.

     • Fájlnév – Ezzel a szűrővel alkalmazhatja a szabályzatot adott fájlokra.

     • Fájltípus – Ezzel a szűrővel alkalmazza a szabályzatot adott fájltípusokra, például tiltsa le az összes .xls fájl letöltését.

   • A Tartalomvizsgálat szakaszban adja meg, hogy engedélyezni szeretné-e a DLP-motor számára a dokumentumok és a fájltartalmak vizsgálatát.

   • A Műveletek csoportban válasszon az alábbi elemek közül:

     • Naplózás (Az összes tevékenység figyelése): Állítsa be ezt a műveletet úgy, hogy explicit módon engedélyezze a letöltést a beállított szabályzatszűrőknek megfelelően.
     • Letiltás (A fájlletöltés letiltása és az összes tevékenység figyelése): Állítsa be ezt a műveletet úgy, hogy explicit módon tiltsa le a letöltést a beállított szabályzatszűrőknek megfelelően. További információ: A blokkletöltés működése.
     • Védelem (Bizalmassági címke alkalmazása az összes tevékenység letöltéséhez és figyeléséhez): Ez a beállítás csak akkor érhető el, ha a Munkamenet-házirend alatt a Fájlletöltés vezérlése (ellenőrzéssel) lehetőséget választotta. Ha a szervezet Microsoft Purview információvédelem használ, beállíthatja, hogy a művelet egy bizalmassági címkekészletet alkalmazzon a fájlra Microsoft Purview információvédelem. További információ: Hogyan működik a letöltés védelme.

7. Ha e-mailként szeretné elküldeni a riasztást, válassza a Riasztás létrehozása minden egyező eseményhez a szabályzat súlyosságával , és állítson be egy riasztási korlátot.

8. Felhasználók értesítése: Munkamenet-szabályzat létrehozásakor a rendszer a szabályzatnak megfelelő felhasználói munkameneteket a munkamenet-vezérlésre irányítja át, nem pedig közvetlenül az alkalmazásra.

   A felhasználó egy figyelési értesítést fog látni, amely értesíti őket arról, hogy a munkamenetek figyelve vannak. Ha nem szeretné értesíteni a felhasználót arról, hogy figyelik őket, letilthatja az értesítési üzenetet.

   1. A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

   2. Ezután a Feltételes hozzáférés alkalmazásvezérlő területén válassza a Felhasználófigyelés lehetőséget, és törölje a jelölést a Felhasználók értesítése jelölőnégyzetből.

9. Naplók figyelése: Ha a felhasználót a munkameneten belül szeretné tartani, a feltételes hozzáférésű alkalmazásvezérlő az alkalmazás munkamenetében lévő összes releváns URL-címet, Java-szkriptet és cookie-t lecseréli Felhőhöz készült Microsoft Defender Alkalmazások URL-címére. Ha például az alkalmazás egy olyan lapot ad vissza, amelynek tartományai myapp.com végződnek, a feltételes hozzáférésű alkalmazásvezérlő a hivatkozásokat olyan tartományokra cseréli, amelyek hasonló myapp.com.mcas.msvégződéssel végződnek. Így az Felhőhöz készült Defender Apps a teljes munkamenetet figyeli.

Felhőfelderítési naplók exportálása

A feltételes hozzáférésű alkalmazásvezérlés minden rajta keresztül irányított felhasználói munkamenet forgalmi naplóit rögzíti. A forgalmi naplók tartalmazzák az időt, az IP-címet, a felhasználói ügynököt, a meglátogatott URL-címeket, valamint a feltöltött és letöltött bájtok számát. Ezeket a naplókat elemzi a rendszer, és a Cloud Discovery irányítópultján egy folyamatos jelentés (Felhőhöz készült Defender Alkalmazások feltételes hozzáférésű alkalmazásvezérlése) kerül fel a Cloud Discovery-jelentések listájára.

Felhőfelderítési naplók exportálása a Cloud Discovery irányítópultjáról:

1. A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget. A Csatlakozás alkalmazások területen válassza a Feltételes hozzáférésű alkalmazásvezérlő lehetőséget.

2. A táblázat felett válassza az exportálás gombot. Példa:

   

3. Jelölje ki a jelentés tartományát, és válassza az Exportálás lehetőséget. Ez a folyamat eltarthat egy ideig.

4. Ha a jelentés elkészülte után szeretné letölteni az exportált naplót, a Microsoft Defender portálon nyissa meg a Jelentések –>Cloud Apps, majd az Exportált jelentések lehetőséget.

5. A táblázatban válassza ki a megfelelő jelentést a feltételes hozzáférésű alkalmazásvezérlés forgalmi naplóinak listájából, és válassza a Letöltés lehetőséget. Példa:

   

Az összes figyelése

Csak a tevékenység figyelése csak a bejelentkezési tevékenységet figyeli, és a rendszer nem küld riasztásokat. 

Más tevékenységek figyeléséhez válassza a Naplózás műveletet, amely esetben a rendszer a szabályzatnak megfelelően küld riasztásokat. A naplózási művelet tevékenységeit a rendszer figyeli és naplózza, függetlenül attól, hogy a szabályzat egyezik-e vagy sem. 

Feljegyzés

Ha a letöltéseken és feltöltéseken kívül más tevékenységeket is monitorozni szeretne, tevékenységszabályzatonként legalább egy blokknak kell lennie a figyelőszabályzatban.

Az összes letöltés letiltása

Ha a Letiltás a Felhőhöz készült Defender-alkalmazások munkamenetszabályzatában végrehajtandó műveletként van beállítva, a feltételes hozzáférésű alkalmazásvezérlés megakadályozza, hogy a felhasználó letöltsön egy fájlt a szabályzat fájlszűrői alapján. Felhőhöz készült Defender Az alkalmazások minden alkalmazáshoz felismernek egy letöltési eseményt, amikor egy felhasználó elindít egy letöltést. A feltételes hozzáférésű alkalmazásvezérlő valós időben beavatkozik, hogy megakadályozza a futtatását. Amikor a rendszer értesítést kap arról, hogy egy felhasználó letöltést kezdeményezett, a feltételes hozzáférésű alkalmazásvezérlő egy korlátozott letöltési üzenetet ad vissza a felhasználónak, és a letöltött fájlt szövegfájlra cseréli. A szöveges fájl felhasználónak szóló üzenete konfigurálható és testre szabható a munkamenet-szabályzatból.

Lépésenkénti hitelesítés megkövetelése (hitelesítési környezet)

Ha a munkamenet-vezérlési típus a Tevékenységek letiltása, a Fájlletöltés vezérlése (ellenőrzéssel), a Fájlfeltöltés vezérlése (ellenőrzéssel) beállításra van beállítva, kiválaszthatja a lépésenkénti hitelesítés megkövetelése műveletet. Ha ezt a műveletet választja, Felhőhöz készült Defender Apps átirányítja a munkamenetet a Microsoft Entra Feltételes hozzáférésre a szabályzatok újraértékeléséhez, amikor a kiválasztott tevékenység megtörténik. A Microsoft Entra ID-ban konfigurált hitelesítési környezet alapján a munkamenetek során ellenőrizhetők az olyan jogcímek, mint a többtényezős hitelesítés és az eszközmegfelelőség.

Adott tevékenységek letiltása

Ha a Tevékenységek tiltása tevékenységtípusként van beállítva, adott alkalmazásokban letiltandó tevékenységek közül választhat. A kiválasztott alkalmazások tevékenységeit a tevékenységnapló figyeli és jelenti. A kiválasztott tevékenységek le lesznek tiltva, ha a Letiltás műveletet választja. A kiválasztott tevékenységek riasztásokat adnak, ha a Naplózás műveletet választja, és a riasztások be vannak kapcsolva.

A letiltott tevékenységek például a következők:

• Teams-üzenet küldése: Ezzel letilthatja a Microsoft Teamsből küldött üzeneteket, vagy letilthatja az adott tartalmat tartalmazó Teams-üzeneteket
• Nyomtatás: Nyomtatás letiltása
• Másolás: Ezzel letilthatja a vágólapműveletek másolását, vagy csak adott tartalom másolását tilthatja le

Adott tevékenységek letiltása és alkalmazása adott csoportokra, hogy átfogó írásvédett módot hozzon létre a szervezet számára.

Fájlok védelme letöltés után

A Tevékenységek tiltása lehetőséget választva letilthat bizonyos tevékenységeket, amelyeket a Tevékenységtípus szűrővel találhat meg. A kiválasztott alkalmazásokból származó összes tevékenységet figyeljük (és a tevékenységnaplóban jelentjük). A kiválasztott tevékenységek le lesznek tiltva, ha a Letiltás műveletet választja. A kiválasztott tevékenységek riasztásokat adnak, ha a Naplózás műveletet választja, és a riasztások be vannak kapcsolva.

Ha a Védelem a Felhőhöz készült Defender-alkalmazások munkamenetszabályzatában végrehajtandó műveletként van beállítva, a feltételes hozzáférésű alkalmazásvezérlő a házirend fájlszűrőire állítva kényszeríti a fájlok címkézését és későbbi védelmét. A címkék a Microsoft Purview megfelelőségi portál vannak konfigurálva, és a címkét úgy kell konfigurálni, hogy titkosítást alkalmazva jelenjenek meg az Felhőhöz készült Defender-alkalmazások szabályzatában.

Ha kiválasztott egy adott címkét, és egy felhasználó letölt egy olyan fájlt, amely megfelel a szabályzatok feltételeinek, a címke és a megfelelő védelem és engedélyek érvényesek lesznek a fájlra.

Az eredeti fájl a felhőalkalmazásban marad, míg a letöltött fájl védett. A fájlhoz hozzáférni próbáló felhasználóknak meg kell felelniük az alkalmazott védelem által meghatározott engedélykövetelményeknek.

Felhőhöz készült Defender Alkalmazások jelenleg az alábbi fájltípusok esetében támogatja a bizalmassági címkék Microsoft Purview információvédelem alkalmazását:

• Word: docm, docx, dotm, dotx
• Excel: xlam, xlsm, xlsx, xltx
• PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
• PDF

Feljegyzés

• PDF esetén egységes címkéket kell használnia.
• A munkamenet-szabályzatokban a Védelem beállítással nem írható felül olyan fájlok, amelyek már rendelkeznek meglévő címkével.

Bizalmas fájlok feltöltésének védelme

Ha a vezérlőfájl feltöltése (ellenőrzéssel) a munkamenet-vezérlés típusaként van beállítva a Felhőhöz készült Defender Apps munkamenet-szabályzatában, a feltételes hozzáférésű alkalmazásvezérlő megakadályozza, hogy a felhasználó feltöltsön egy fájlt a szabályzat fájlszűrőire. Amikor felismer egy feltöltési eseményt, a feltételes hozzáférésű alkalmazásvezérlő valós időben beavatkozik annak megállapításához, hogy a fájl bizalmas-e, és védelemre van-e szüksége. Ha a fájl bizalmas adatokkal rendelkezik, és nem rendelkezik megfelelő címkével, a fájlfeltöltés le lesz tiltva.

Létrehozhat például egy szabályzatot, amely megvizsgálja egy fájl tartalmát, hogy megállapítsa, tartalmaz-e bizalmas tartalmat, például társadalombiztosítási számot. Ha bizalmas tartalmat tartalmaz, és nem Microsoft Purview információvédelem bizalmas címkével van megjelölve, a fájlfeltöltés le lesz tiltva. Ha a fájl le van tiltva, megjeleníthet egy egyéni üzenetet a felhasználónak , amely arra utasítja őket, hogyan címkézhetik fel a fájlt a feltöltéshez. Ezzel biztosítja, hogy a felhőalkalmazásokban tárolt fájlok megfeleljenek a szabályzatainak.

Kártevők letiltása feltöltésre

Ha a vezérlőfájl feltöltése (ellenőrzéssel) munkamenet-vezérlési típusként van beállítva, és a kártevőészlelés a Felhőhöz készült Defender-alkalmazások munkamenetszabályzatában ellenőrzési módszerként van beállítva, a feltételes hozzáférésű alkalmazásvezérlés megakadályozza, hogy a felhasználó valós időben töltsön fel egy fájlt, ha kártevőt észlel. A fájlok vizsgálata a Microsoft fenyegetésfelderítési motorjával történik.

A potenciális kártevőként megjelölt fájlokat a tevékenységnaplóban található Lehetséges kártevő észlelte szűrővel tekintheti meg.

A munkamenet-szabályzatokat úgy is konfigurálhatja, hogy letiltsa a kártevőket a letöltés során.

A felhasználók felkészítése a bizalmas fájlok védelmére

Fontos, hogy megtanítsa a felhasználókat, ha megsértenek egy szabályzatot, hogy megtanulhassák, hogyan felelnek meg a szervezeti szabályzatoknak.

Mivel minden vállalat egyedi igényekkel és szabályzatokkal rendelkezik, a Felhőhöz készült Defender Apps lehetővé teszi a szabályzat szűrőinek testreszabását, valamint a felhasználó számára a szabálysértés észlelésekor megjelenő üzenetet.

Konkrét útmutatást adhat a felhasználóknak, például útmutatást adhat a fájlok megfelelő címkézéséhez, vagy hogyan regisztrálhat nem felügyelt eszközt a fájlok sikeres feltöltésének biztosítása érdekében.

Ha például egy felhasználó bizalmassági címke nélkül tölt fel egy fájlt, megjelenik egy üzenet, amely elmagyarázza, hogy a fájl bizalmas tartalmat tartalmaz, amelyhez megfelelő címke szükséges. Hasonlóképpen, ha egy felhasználó nem felügyelt eszközről kísérel meg dokumentumot feltölteni, egy üzenet jelenhet meg az eszköz regisztrálására vonatkozó útmutatással, vagy egy olyan üzenettel, amely további magyarázatot ad arra, hogy miért kell regisztrálni az eszközt.

Ütközések a szabályzatok között

Két szabályzat ütközése esetén a szigorúbb szabályzat nyer. Példa:

• Ha egy felhasználói munkamenet hatóköre a letöltési szabályzat blokkolására és a címke letöltési szabályzatra terjed ki, a fájlletöltési művelet le lesz tiltva.

• Ha egy felhasználói munkamenet hatóköre a Letöltés letiltása szabályzatra és egy Naplózási letöltési szabályzatra terjed ki, a fájlletöltési művelet le lesz tiltva.

Következő lépések

További információkért lásd:

• Feltételes hozzáférésű alkalmazásvezérlő webináriuma (videó).
• Hozzáférés- és munkamenet-vezérlők hibaelhárítása
• Nem felügyelt eszközök letöltésének letiltása a Microsoft Entra feltételes hozzáférésű alkalmazásvezérlővel

« ELŐZŐ: Feltételes hozzáférésű alkalmazásvezérlés előkészítése és üzembe helyezése bármely alkalmazáshoz »

TOVÁBB: Hozzáférési szabályzat létrehozása »

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.