Bagikan melalui

Membuat kebijakan sesi Microsoft Defender untuk Cloud Apps

  • Artikel

kebijakan sesi Microsoft Defender untuk Cloud Apps memberikan visibilitas terperinci ke dalam aplikasi cloud dengan pemantauan tingkat sesi secara real time. Gunakan kebijakan sesi untuk mengambil berbagai tindakan, tergantung pada kebijakan yang Anda tetapkan untuk sesi pengguna.

Berbeda dengan kebijakan akses, yang memungkinkan atau memblokir akses sepenuhnya, kebijakan sesi memungkinkan akses saat memantau sesi. Tambahkan kontrol aplikasi Akses Bersyar ke kebijakan sesi Anda untuk membatasi aktivitas sesi tertentu.

Misalnya, Anda mungkin ingin mengizinkan pengguna mengakses aplikasi dari perangkat yang tidak dikelola, atau dari lokasi tertentu. Namun, Anda mungkin ingin membatasi pengunduhan file sensitif selama sesi tersebut atau mengharuskan dokumen tertentu dilindungi dari pengunduhan, pengunggahan, atau penyalinan saat keluar dari aplikasi.

Kebijakan yang dibuat untuk aplikasi host tidak terhubung ke aplikasi sumber daya terkait. Misalnya, kebijakan akses yang Anda buat untuk Teams, Exchange, atau Gmail tidak tersambung ke SharePoint, OneDrive, atau Google Drive. Jika Anda memerlukan kebijakan untuk aplikasi sumber daya selain aplikasi host, buat kebijakan terpisah.

Tidak ada batasan jumlah kebijakan yang dapat diterapkan.

Prasyarat

Sebelum memulai, pastikan Anda memiliki prasyarat berikut:

  • Lisensi Defender untuk Cloud Apps, baik sebagai lisensi mandiri atau sebagai bagian dari lisensi lain

  • Lisensi untuk Microsoft Entra ID P1, baik sebagai lisensi mandiri atau sebagai bagian dari lisensi lain.

  • Jika Anda menggunakan IdP non-Microsoft, lisensi yang diperlukan oleh solusi Penyedia Identitas (IdP) Anda.

  • Aplikasi yang relevan yang di-onboard ke kontrol aplikasi Akses Bersyar. Aplikasi ID Microsoft Entra secara otomatis di-onboarding, sementara aplikasi IdP non-Microsoft harus di-onboarding secara manual.

    Jika Anda bekerja dengan IdP non-Microsoft, pastikan Anda juga telah mengonfigurasi IdP untuk bekerja dengan aplikasi Microsoft Defender untuk Cloud. Untuk informasi selengkapnya, lihat:

Agar kebijakan akses berfungsi, Anda juga harus memiliki kebijakan Akses Bersyar ID Microsoft Entra, yang membuat izin untuk mengontrol lalu lintas.

Sampel: Membuat kebijakan Akses Bersyar microsoft Entra ID untuk digunakan dengan aplikasi Defender untuk Cloud

Prosedur ini memberikan contoh tingkat tinggi tentang cara membuat kebijakan Akses Bersyar untuk digunakan dengan aplikasi Defender untuk Cloud.

  1. Di Microsoft Entra ID Conditional Access, pilih Buat kebijakan baru.

  2. Masukkan nama yang bermakna untuk kebijakan Anda, lalu pilih tautan di bawah Sesi untuk menambahkan kontrol ke kebijakan Anda.

  3. Di area Sesi, pilih Gunakan Kontrol Aplikasi Akses Bersyar.

  4. Di area Pengguna, pilih untuk menyertakan semua pengguna, atau pengguna dan grup tertentu saja.

  5. Di area Kondisi dan aplikasi Klien, pilih kondisi dan aplikasi klien yang ingin Anda sertakan dalam kebijakan Anda.

  6. Simpan kebijakan dengan mengalihkan Laporan-saja ke Aktif, lalu pilih Buat.

MICROSOFT Entra ID mendukung kebijakan berbasis browser dan non-browser. Kami menyarankan agar Anda membuat kedua jenis untuk meningkatkan cakupan keamanan.

Ulangi prosedur ini untuk membuat kebijakan Akses Bersyarah berbasis non-pemisah. Di area Aplikasi klien, alihkan opsi Konfigurasi ke Ya. Kemudian, di bawah Klien autentikasi modern, hapus opsi Browser . Biarkan semua pilihan default lainnya dipilih.

Untuk informasi selengkapnya, lihat Kebijakan Akses Bersyarah dan Membangun kebijakan Akses Bersyar.

Membuat kebijakan sesi Defender untuk Cloud Apps

Prosedur ini menjelaskan cara membuat kebijakan sesi baru di Defender untuk Cloud Apps.

  1. Di Microsoft Defender XDR, pilih tab Akses Bersyar manajemen > Kebijakan Kebijakan > Aplikasi > Cloud.

  2. Pilih Buat kebijakan Sesi kebijakan>. Contohnya:

    Cuplikan layar halaman Buat kebijakan Akses Bersyar.

  3. Pada halaman Buat kebijakan sesi, mulailah dengan memilih templat dari menu dropdown Templat kebijakan, atau dengan memasukkan semua detail secara manual.

  4. Masukkan informasi dasar berikut untuk kebijakan Anda. Jika Anda menggunakan templat, sebagian besar konten sudah diisi untuk Anda.

    Nama Deskripsi
    Nama kebijakan Nama yang bermakna untuk kebijakan Anda, seperti Blokir Unduhan Dokumen Sensitif di Box untuk Pengguna Pemasaran
    Tingkat keparahan kebijakan Pilih tingkat keparahan yang ingin Anda terapkan ke kebijakan Anda.
    Golongan Pilih kategori yang ingin Anda terapkan.
    Keterangan Masukkan deskripsi opsional dan bermakna untuk kebijakan Anda untuk membantu tim Anda memahami tujuannya.
    Jenis kontrol sesi Pilih salah satu opsi berikut:

    - Pantau saja. Hanya memantau aktivitas pengguna dan membuat kebijakan Monitor saja untuk aplikasi yang Anda pilih.
    - Memblokir aktivitas. Memblokir aktivitas tertentu yang ditentukan oleh filter Jenis aktivitas. Semua aktivitas dari aplikasi yang dipilih dipantau dan dilaporkan di log Aktivitas.
    - Mengontrol unduhan file (dengan inspeksi). Memantau unduhan file, dan dapat dikombinasikan dengan tindakan lain, seperti memblokir atau melindungi unduhan.
    - Mengontrol unggahan file (dengan inspeksi). Memantau unggahan file, dan dapat dikombinasikan dengan tindakan lain, seperti memblokir atau melindungi unggahan.

    Untuk informasi selengkapnya, lihat Aktivitas yang didukung untuk kebijakan sesi.

  5. Di Aktivitas yang cocok dengan semua area berikut , pilih filter aktivitas tambahan untuk diterapkan ke kebijakan. Filter menyertakan opsi berikut:

    Nama Deskripsi
    Jenis aktivitas Pilih jenis aktivitas yang ingin Anda terapkan, seperti:

    -Pencetakan
    - Tindakan clipboard seperti memotong, menyalin, menempelkan
    - Mengirim, berbagi, membatalkan berbagi, atau mengedit item di aplikasi yang didukung.

    Misalnya, gunakan aktivitas kirim item dalam kondisi Anda untuk menangkap pengguna yang mencoba mengirim informasi di obrolan Teams atau saluran Slack, dan blokir pesan jika berisi informasi sensitif seperti kata sandi atau kredensial lainnya.
    App Filter untuk aplikasi tertentu untuk disertakan dalam kebijakan. Pilih aplikasi dengan terlebih dahulu memilih apakah mereka menggunakan onboarding Azure AD Otomatis, untuk aplikasi ID Microsoft Entra, atau Orientasi manual, untuk aplikasi IdP non-Microsoft. Kemudian, pilih aplikasi yang ingin Anda sertakan dalam filter Anda dari daftar.

    Jika aplikasi IdP non-Microsoft Anda hilang dari daftar, pastikan Anda telah melakukan onboarding sepenuhnya. Untuk mengetahui informasi selengkapnya, silakan lihat:
    - Onboard aplikasi katalog IdP non-Microsoft untuk kontrol aplikasi Akses Bersyar.
    - Onboard aplikasi kustom IdP non-Microsoft untuk kontrol aplikasi Akses Bersyar

    Jika Anda memilih untuk tidak menggunakan filter Aplikasi, kebijakan berlaku untuk semua aplikasi yang ditandai sebagai Diaktifkan di halaman Pengaturan > aplikasi Kontrol Aplikasi Akses Bersyarkat Aplikasi >> yang Terhubung.

    Catatan: Anda mungkin melihat beberapa tumpang tindih antara aplikasi yang di-onboarding dan aplikasi yang memerlukan onboarding manual. Jika terjadi konflik di filter Anda antara aplikasi, aplikasi yang di-onboarding secara manual akan diutamakan.
    Perangkat Filter untuk tag perangkat, seperti untuk metode manajemen perangkat tertentu, atau jenis perangkat, seperti PC, seluler, atau tablet.
    Alamat IP Filter per alamat IP atau gunakan tag alamat IP yang ditetapkan sebelumnya.
    Location Filter menurut lokasi geografis. Tidak adanya lokasi yang jelas dapat mengidentifikasi aktivitas berisiko.
    ISP terdaftar Filter untuk aktivitas yang berasal dari ISP tertentu.
    Pengguna Filter untuk pengguna atau grup pengguna tertentu.
    String agen pengguna Filter untuk string agen pengguna tertentu.
    Tag agen pengguna Filter untuk tag agen pengguna, seperti untuk browser atau sistem operasi yang sudah kedaluarsa.

    Contohnya:

    Cuplikan layar filter sampel saat membuat kebijakan akses.

    Pilih Edit dan pratinjau hasil untuk mendapatkan pratinjau jenis aktivitas yang akan dikembalikan dengan pilihan Anda saat ini.

  6. Konfigurasikan opsi tambahan yang tersedia untuk jenis kontrol sesi tertentu.

    Misalnya, jika Anda memilih Blokir aktivitas, pilih Gunakan inspeksi konten untuk memeriksa konten aktivitas, lalu konfigurasikan pengaturan Anda sesuai kebutuhan. Dalam hal ini, Anda mungkin ingin memeriksa teks yang menyertakan ekspresi tertentu, seperti nomor jaminan sosial.

  7. Jika Anda memilih Unduhan file kontrol (dengan inspeksi) atau Unggahan file kontrol (dengan inspeksi), konfigurasikan File yang cocok dengan semua pengaturan berikut .

    1. Konfigurasikan salah satu filter file berikut:

      Nama Deskripsi
      Label sensitivitas Filter menurut label sensitivitas Perlindungan Informasi Microsoft Purview, jika Anda juga menggunakan Microsoft Purview, dan data Anda dilindungi oleh label sensitivitasnya.
      Nama file Filter untuk file tertentu.
      Ekstensi Filter untuk jenis file tertentu, misalnya, blokir unduhan untuk semua file .xls.
      Ukuran file (MB) Filter untuk ukuran file tertentu, seperti file besar atau kecil.

    2. Di area Terapkan ke (Pratinjau):

      • Pilih apakah akan menerapkan kebijakan ke semua file, atau file dalam folder tertentu saja
      • Pilih metode inspeksi yang akan digunakan, seperti layanan klasifikasi data, atau malware. Untuk informasi selengkapnya, lihat Integrasi Microsoft Data Classification Services.
      • Konfigurasikan opsi yang lebih rinci untuk kebijakan Anda, seperti skenario berdasarkan elemen seperti sidik jari atau pengklasifikasi yang dapat dilatih.

  8. Di area Tindakan, pilih salah satu opsi berikut ini:

    Nama Deskripsi
    Audit Memantau semua aktivitas. Pilih untuk secara eksplisit mengizinkan pengunduhan sesuai dengan filter kebijakan yang Anda tetapkan.
    Buruk Memblokir unduhan file dan memantau semua aktivitas. Pilih untuk memblokir unduhan secara eksplisit sesuai dengan filter kebijakan yang Anda tetapkan.

    Kebijakan blokir juga memungkinkan Anda memilih untuk memberi tahu pengguna melalui email, dan untuk menyesuaikan pesan blokir.
    Lindungi Menerapkan label sensitivitas untuk mengunduh dan memantau semua aktivitas. Hanya tersedia jika Anda memilih Unduhan file kontrol (dengan inspeksi).

    Jika Anda menggunakan Perlindungan Informasi Microsoft Purview, Anda juga dapat memilih untuk menerapkan label sensitivitas ke file yang cocok, menerapkan izin kustom ke file pengunduhan pengguna, atau memblokir pengunduhan file tertentu.

    Jika Anda memiliki kebijakan Akses Bersyarat ID Microsoft Entra, Anda juga dapat memilih untuk memerlukan autentikasi langkah-up (Pratinjau).

    Secara opsional, pilih opsi Selalu terapkan tindakan yang dipilih meskipun data tidak dapat dipindai sesuai kebutuhan untuk kebijakan Anda.

  9. Di area Pemberitahuan, konfigurasikan salah satu tindakan berikut sesuai kebutuhan:

    • Membuat pemberitahuan untuk setiap peristiwa yang cocok dengan tingkat keparahan kebijakan
    • Mengirim pemberitahuan sebagai email
    • Batas pemberitahuan harian per kebijakan
    • Mengirim pemberitahuan ke Power Automate

  10. Jika sudah selesai, pilih Buat.

Menguji kebijakan Anda

Setelah membuat kebijakan sesi, uji dengan mengautentikasi ulang ke setiap aplikasi yang dikonfigurasi dalam kebijakan dan menguji skenario yang telah Anda konfigurasi dalam kebijakan Anda.

Kami menyarankan Anda:

  • Keluar dari semua sesi yang ada sebelum mengautentikasi ulang ke aplikasi Anda.
  • Masuk ke aplikasi seluler dan desktop dari perangkat terkelola dan tidak terkelola untuk memastikan bahwa aktivitas sepenuhnya ditangkap di log aktivitas.

Pastikan untuk masuk dengan pengguna yang cocok dengan kebijakan Anda.

Untuk menguji kebijakan Anda di aplikasi Anda:

  • Periksa untuk melihat apakah ikon kunci muncul di browser Anda, atau jika Anda bekerja di browser selain Microsoft Edge, periksa apakah URL aplikasi Anda berisi akhiran .mcas . Untuk informasi selengkapnya, lihat Perlindungan dalam browser dengan Microsoft Edge for Business (Pratinjau).

  • Kunjungi semua halaman dalam aplikasi yang merupakan bagian dari proses kerja pengguna dan verifikasi bahwa halaman dirender dengan benar.

  • Verifikasi bahwa perilaku dan fungsionalitas aplikasi tidak terpengaruh secara merugikan dengan melakukan tindakan umum seperti mengunduh dan mengunggah file.

  • Jika Anda bekerja dengan aplikasi IdP kustom non-Microsoft, periksa setiap domain yang telah Anda tambahkan secara manual untuk aplikasi Anda.

Jika Anda mengalami kesalahan atau masalah, gunakan toolbar admin untuk mengumpulkan sumber daya seperti .har file dan sesi yang direkam untuk mengajukan tiket dukungan.

Untuk memeriksa pembaruan di Microsoft Defender XDR:

  1. Di Portal Pertahanan Microsoft, di bawah Aplikasi Cloud, buka Kebijakan, lalu pilih Manajemen kebijakan.

  2. Pilih kebijakan yang telah Anda buat untuk melihat laporan kebijakan. Kecocokan kebijakan sesi akan segera muncul.

Laporan kebijakan menunjukkan rincian masuk mana yang dialihkan ke aplikasi Microsoft Defender untuk Cloud untuk kontrol sesi, serta tindakan lain, seperti file mana yang diunduh atau diblokir dari sesi yang dipantau.

Menonaktifkan pengaturan pemberitahuan pengguna

Secara default, pengguna diberi tahu saat sesi mereka sedang dipantau. Jika Anda lebih suka pengguna Anda tidak diberi tahu, atau untuk menyesuaikan pesan pemberitahuan, konfigurasikan pengaturan pemberitahuan.

Di Microsoft Defender XDR, pilih Pengaturan > Aplikasi > Cloud Pemantauan Pengguna Kontrol > Aplikasi Akses Bersyar.

Buat salah satu pilihan berikut:

  • Hapus opsi Beri tahu pengguna bahwa aktivitas mereka sedang dipantau sama sekali
  • Pertahankan pilihan dan pilih untuk menggunakan pesan default atau untuk menyesuaikan pesan Anda.

Pilih tautan Pratinjau untuk melihat contoh pesan yang dikonfigurasi di tab browser baru.

Mengekspor log penemuan Cloud

Kontrol Aplikasi Akses Bersyar merekam log lalu lintas dari setiap sesi pengguna yang dirutekan melaluinya. Log lalu lintas mencakup waktu, IP, agen pengguna, URL yang dikunjungi, dan jumlah byte yang diunggah dan diunduh. Log ini dianalisis dan laporan berkelanjutan, Defender untuk Cloud App Conditional Access App Control, ditambahkan ke daftar laporan Cloud Discovery di dasbor Cloud Discovery.

Untuk mengekspor log penemuan Cloud dari dasbor Cloud Discovery:

  1. Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps. Di bawah Aplikasi tersambung, pilih Kontrol Aplikasi Akses Bersyar.

  2. Di atas tabel, pilih tombol ekspor. Contohnya:

    Cuplikan layar tombol ekspor.

  3. Pilih rentang laporan dan pilih Ekspor. Proses ini mungkin membutuhkan waktu beberapa saat.

  4. Untuk mengunduh log yang diekspor setelah laporan siap, di Portal Pertahanan Microsoft buka Laporan ->Aplikasi Cloud lalu Laporan yang diekspor.

  5. Dalam tabel, pilih laporan yang relevan dari daftar log lalu lintas Kontrol Aplikasi Akses Bersyar dan pilih Unduh. Contohnya:

    Cuplikan layar tombol unduh.

Aktivitas yang didukung untuk kebijakan sesi

Bagian berikut memberikan detail selengkapnya tentang setiap aktivitas yang didukung oleh kebijakan sesi Defender untuk Cloud Apps.

Pantau saja

Jenis kontrol sesi hanyaMonitor hanya memantau aktivitas Masuk.

Untuk memantau aktivitas lain, pilih salah satu jenis kontrol sesi lainnya dan gunakan tindakan Audit.

Untuk memantau aktivitas selain unduhan dan unggahan, Anda harus memiliki setidaknya satu blok per kebijakan aktivitas dalam kebijakan pemantauan Anda.

Blokir semua unduhan

Saat Kontrol unduhan file (dengan inspeksi) diatur sebagai jenis kontrol sesi, dan Blokir diatur sebagai tindakan, kontrol aplikasi Akses Bersyar mencegah pengguna mengunduh file sesuai filter file kebijakan.

Saat pengguna memulai unduhan, pesan Unduh terbatas muncul untuk pengguna, dan file yang diunduh diganti dengan file teks. Konfigurasikan pesan file teks kepada pengguna sesuai kebutuhan untuk organisasi Anda.

Memerlukan autentikasi langkah-up

Tindakan Perlu autentikasilangkah-up tersedia saat jenis kontrol sesi diatur ke Aktivitas blokir, Kontrol unduhan file (dengan inspeksi), atau Unggahan file kontrol (dengan inspeksi).

Saat tindakan ini dipilih, Defender untuk Cloud Apps mengalihkan sesi ke Akses Bersyar Microsoft Entra untuk evaluasi ulang kebijakan, setiap kali aktivitas yang dipilih terjadi.

Gunakan opsi ini untuk memeriksa klaim seperti autentikasi multifaktor dan kepatuhan perangkat selama sesi, berdasarkan konteks autentikasi yang dikonfigurasi di ID Microsoft Entra.

Memblokir aktivitas tertentu

Saat Aktivitas blokir diatur sebagai jenis kontrol sesi, pilih aktivitas tertentu untuk diblokir di aplikasi tertentu.

  • Semua aktivitas dari aplikasi yang dikonfigurasi dipantau dan dilaporkan di log Aktivitas aplikasi > Cloud.

  • Untuk memblokir aktivitas tertentu, pilih tindakan Blokirlebih lanjut dan pilih aktivitas yang ingin Anda blokir.

  • Untuk menaikkan pemberitahuan untuk aktivitas tertentu, pilih tindakan Auditdan konfigurasikan pengaturan pemberitahuan Anda.

Misalnya, Anda mungkin ingin memblokir aktivitas berikut:

  • Pesan Teams Terkirim. Blokir pengguna agar tidak mengirim pesan dari Microsoft Teams, atau memblokir pesan Teams yang berisi konten tertentu.

  • Cetak. Blokir semua tindakan cetak.

  • Salin. Blokir semua tindakan salin ke clipboard, atau hanya blokir penyalinan untuk konten tertentu saja.

Lindungi file saat diunduh

Pilih jenis kontrol sesi Aktivitasblokir untuk memblokir aktivitas tertentu, yang Anda tentukan menggunakan filter Jenisaktivitas.

Semua aktivitas dari aplikasi yang dikonfigurasi dipantau dan dilaporkan di log Aktivitas aplikasi > Cloud.

  • Pilih tindakan Blokiruntuk memblokir aktivitas tertentu, atau pilih tindakan Auditdan tentukan pengaturan pemberitahuan untuk menaikkan pemberitahuan untuk aktivitas tertentu.

  • Pilih tindakan Lindungiuntuk melindungi file dengan pelabelan sensitivitas dan perlindungan lainnya sesuai filter file kebijakan.

    Label sensitivitas dikonfigurasi di Microsoft Purview dan harus dikonfigurasi untuk menerapkan enkripsi agar muncul sebagai opsi dalam kebijakan sesi Defender untuk Cloud Apps.

    Saat Anda telah mengonfigurasi kebijakan sesi dengan label tertentu dan pengguna mengunduh file yang memenuhi kriteria kebijakan, label dan perlindungan dan izin terkait diterapkan pada file.

    File asli tetap seperti yang ada di aplikasi cloud saat file yang diunduh dilindungi. Pengguna yang mencoba mengakses file yang diunduh harus memenuhi persyaratan izin yang ditentukan oleh perlindungan yang diterapkan.

Defender untuk Cloud Apps saat ini mendukung penerapan label sensitivitas dari Perlindungan Informasi Microsoft Purview untuk jenis file berikut:

  • Word: docm, docx, dotm, dotx
  • Excel: xlam, xlsm, xlsx, xltx
  • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • PDF

Catatan

File PDF harus diberi label terpadu.

Opsi Lindungi tidak mendukung penimpaan file dengan label yang ada dalam kebijakan sesi.

Melindungi unggahan file sensitif

Pilih jenis kontrol kontrol unggahan file Kontrol (dengan inspeksi) untuk mencegah pengguna mengunggah file sesuai filter file kebijakan.

Jika file yang diunggah memiliki data sensitif dan tidak memiliki label yang tepat, unggahan file akan diblokir.

Misalnya, buat kebijakan yang memindai konten file untuk menentukan apakah berisi kecocokan konten sensitif seperti nomor jaminan sosial. Jika berisi konten sensitif dan tidak diberi label dengan label rahasia Perlindungan Informasi Microsoft Purview, unggahan file akan diblokir.

Tip

Konfigurasikan pesan kustom kepada pengguna saat file diblokir, menginstruksikan mereka tentang cara memberi label file untuk mengunggahnya, membantu memastikan bahwa file yang disimpan di aplikasi cloud Anda mematuhi kebijakan Anda.

Untuk informasi selengkapnya, lihat Mendidik pengguna untuk melindungi file sensitif.

Memblokir malware saat diunggah atau diunduh

Pilih unggahan file Kontrol (dengan inspeksi) atau Unduhan file kontrol (dengan inspeksi) sebagai jenis kontrol sesi dan deteksi Malware sebagai metode inspeksi untuk mencegah pengguna mengunggah atau mengunduh file dengan malware. File dipindai untuk malware menggunakan mesin inteligensi ancaman Microsoft.

Lihat file apa pun yang ditandai sebagai potensi malware di log Aktivitas aplikasi > Cloud dengan memfilter item Potensi Malware Terdeteksi. Untuk informasi selengkapnya, lihat Filter aktivitas dan kueri.

Mendidik pengguna untuk melindungi file sensitif

Sebaiknya Anda mendidik pengguna saat mereka melanggar kebijakan Anda sehingga mereka mempelajari cara mematuhi persyaratan organisasi Anda.

Karena setiap perusahaan memiliki kebutuhan dan kebijakan unik, Defender untuk Cloud Apps memungkinkan Anda menyesuaikan filter kebijakan dan pesan yang ditampilkan kepada pengguna saat pelanggaran terdeteksi.

Berikan panduan khusus kepada pengguna Anda, seperti memberikan instruksi tentang cara memberi label file dengan tepat, atau cara mendaftarkan perangkat yang tidak dikelola untuk memastikan file berhasil diunggah.

Misalnya, jika pengguna mengunggah file tanpa label sensitivitas, konfigurasikan pesan yang akan ditampilkan, menjelaskan bahwa file berisi konten sensitif dan memerlukan label yang sesuai. Demikian pula, jika pengguna mencoba mengunggah dokumen dari perangkat yang tidak dikelola, konfigurasikan pesan untuk ditampilkan dengan instruksi tentang cara mendaftarkan perangkat tersebut atau yang memberikan penjelasan lebih lanjut tentang mengapa perangkat harus didaftarkan.

Kontrol akses dalam kebijakan sesi

Banyak organisasi yang memilih untuk menggunakan kontrol sesi untuk aplikasi cloud guna mengontrol aktivitas dalam sesi, juga menerapkan kontrol akses untuk memblokir serangkaian aplikasi klien seluler dan desktop bawaan yang sama, sehingga memberikan keamanan komprehensif untuk aplikasi.

Blokir akses ke aplikasi klien seluler dan desktop bawaan dengan kebijakan akses dengan mengatur filter aplikasi Klien ke Seluler dan desktop. Beberapa aplikasi klien bawaan dapat dikenali secara individual, sementara yang lain yang merupakan bagian dari rangkaian aplikasi hanya dapat diidentifikasi sebagai aplikasi tingkat atas mereka. Misalnya, aplikasi seperti SharePoint Online hanya dapat dikenali dengan membuat kebijakan akses yang diterapkan ke aplikasi Microsoft 365.

Catatan

Kecuali filter aplikasi Klien secara khusus diatur ke Seluler dan desktop, kebijakan akses yang dihasilkan hanya akan berlaku untuk sesi browser. Ini dimaksudkan untuk mencegah proksi sesi pengguna secara tidak sengaja.

Meskipun sebagian besar browser utama mendukung pemeriksaan sertifikat klien, beberapa aplikasi seluler dan desktop menggunakan browser bawaan yang mungkin tidak mendukung pemeriksaan ini. Oleh karena itu, menggunakan filter ini dapat memengaruhi autentikasi untuk aplikasi ini.

Konflik antar kebijakan

Ketika ada konflik antara dua kebijakan sesi, kebijakan yang lebih ketat akan menang.

Contohnya:

  • Jika sesi pengguna cocok dengan kedua kebijakan tempat unduhan diblokir
  • Dan kebijakan di mana file diberi label saat diunduh, atau di mana unduhan diaudit,
  • Opsi unduhan file diblokir, untuk mematuhi kebijakan yang lebih ketat.

Konten terkait

Untuk informasi selengkapnya, lihat:

Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.