Kebijakan sesi

kebijakan sesi Microsoft Defender untuk Cloud Apps memberikan visibilitas terperinci ke dalam aplikasi cloud dengan pemantauan tingkat sesi secara real time. Gunakan kebijakan sesi untuk mengambil tindakan yang berbeda, tergantung pada kebijakan yang Anda tetapkan untuk sesi pengguna.

Alih-alih mengizinkan atau memblokir akses sepenuhnya, gunakan kebijakan kontrol sesi untuk mengizinkan akses saat memantau sesi. Anda mungkin juga ingin membatasi aktivitas sesi tertentu menggunakan dukungan proksi terbalik Kontrol Aplikasi Akses Bersyarat.

Misalnya, Anda mungkin memutuskan bahwa Anda ingin mengizinkan pengguna mengakses aplikasi dari perangkat yang tidak dikelola, atau dari sesi yang berasal dari lokasi tertentu. Namun, Anda ingin membatasi pengunduhan file sensitif, atau mengharuskan dokumen tertentu dilindungi saat diunduh.

Kebijakan sesi memungkinkan Anda mengatur kontrol sesi pengguna, mengonfigurasi akses, dan lainnya:

• Memantau semua aktivitas
• Blokir semua unduhan
• Memblokir aktivitas tertentu
• Memerlukan autentikasi langkah atas (konteks autentikasi)
• Lindungi file saat diunduh
• Melindungi unggahan file sensitif
• Memblokir malware saat diunggah
• Mendidik pengguna untuk melindungi file sensitif

Catatan

• Tidak ada batasan jumlah kebijakan yang dapat diterapkan.
• Tidak ada koneksi antara kebijakan yang Anda buat untuk aplikasi host dan aplikasi sumber daya terkait. Misalnya, kebijakan sesi yang Anda buat untuk Teams, Exchange, atau Gmail, tidak tersambung ke Sharepoint, OneDrive, atau Google Drive. Jika Anda memerlukan kebijakan untuk aplikasi sumber daya selain aplikasi host, buat kebijakan terpisah.

Prasyarat untuk menggunakan kebijakan sesi

Sebelum memulai, pastikan Anda memiliki prasyarat berikut:

• Lisensi Defender untuk Cloud Apps (berdiri sendiri atau bagian dari lisensi lain)

• Lisensi untuk Microsoft Entra ID P1 (sebagai lisensi mandiri atau sebagai lisensi E5), atau lisensi yang diperlukan oleh solusi Penyedia Identitas (IdP) Anda

• Aplikasi yang relevan harus disebarkan dengan Kontrol Aplikasi Akses Bersyar

• Pastikan Anda telah mengonfigurasi solusi IdP untuk bekerja dengan aplikasi Defender untuk Cloud, sebagai berikut:

  • Untuk Microsoft Entra Conditional Access, lihat Mengonfigurasi integrasi dengan MICROSOFT Entra ID
  • Untuk solusi IdP lainnya, lihat Mengonfigurasi integrasi dengan solusi IdP lainnya

Membuat kebijakan sesi Defender untuk Cloud Apps

Gunakan langkah-langkah berikut untuk membuat kebijakan sesi baru:

1. Di Portal Pertahanan Microsoft, di bawah Aplikasi Cloud, buka Kebijakan ->Manajemen kebijakan. Lalu pilih tab Akses bersyarah.

2. Pilih Buat kebijakan dan pilih Kebijakan sesi. Misalnya:

   

3. Di jendela Kebijakan sesi, tetapkan nama untuk kebijakan Anda, seperti Blokir Unduhan Dokumen Sensitif di Kotak untuk Pengguna Pemasaran.

4. Di bidang Jenis kontrol sesi, pilih:

   • Pilih Pantau hanya jika Anda hanya ingin memantau aktivitas oleh pengguna. Pilihan ini membuat kebijakan Monitor saja untuk aplikasi yang Anda pilih adalah semua rincian masuk.

   • Pilih Kontrol unduhan file (dengan inspeksi) jika Anda ingin memantau aktivitas pengguna. Anda dapat mengambil lebih banyak tindakan seperti memblokir atau melindungi unduhan untuk pengguna.

   • Pilih Blokir aktivitas untuk memblokir aktivitas tertentu, yang dapat Anda pilih menggunakan filter Jenis aktivitas. Semua aktivitas dari aplikasi yang dipilih dipantau (dan dilaporkan dalam log Aktivitas). Aktivitas tertentu yang Anda pilih diblokir jika Anda memilih tindakan Blokir . Aktivitas tertentu yang Anda pilih menaikkan pemberitahuan jika Anda memilih tindakan Audit dan mengaktifkan pemberitahuan.

5. Di bawah Sumber aktivitas di Aktivitas yang cocok dengan semua bagian berikut, pilih filter aktivitas lainnya untuk diterapkan ke kebijakan. Filter ini dapat mencakup opsi berikut:

   • Tag perangkat: Gunakan filter ini untuk mengidentifikasi perangkat yang tidak dikelola.

   • Lokasi: Gunakan filter ini untuk mengidentifikasi lokasi yang tidak diketahui (dan karenanya berisiko).

   • Alamat IP: Gunakan filter ini untuk memfilter per alamat IP atau menggunakan tag alamat IP yang ditetapkan sebelumnya.

   • Tag agen pengguna: Gunakan filter ini untuk mengaktifkan heuristik untuk mengidentifikasi aplikasi seluler dan desktop. Filter ini dapat diatur ke sama dengan atau tidak sama dengan klien Asli. Filter ini harus diuji terhadap aplikasi seluler dan desktop Anda untuk setiap aplikasi cloud.

   • Jenis aktivitas: Gunakan filter ini untuk memilih aktivitas tertentu yang akan dikontrol, seperti:

     • Print

     • Tindakan Clipboard: Salin, Potong, dan Tempel

     • Mengirim item di aplikasi seperti Teams, Slack, dan Salesforce

     • Berbagi dan membatalkan berbagi item di berbagai aplikasi

     • Mengedit item di berbagai aplikasi

     Misalnya, gunakan aktivitas kirim item dalam kondisi Anda untuk menangkap pengguna yang mencoba mengirim informasi di obrolan Teams atau saluran Slack, dan blokir pesan jika berisi informasi sensitif seperti kata sandi atau kredensial lainnya.

   Catatan

   Kebijakan sesi tidak mendukung aplikasi seluler dan desktop. Aplikasi seluler dan aplikasi desktop juga dapat diblokir atau diizinkan dengan membuat kebijakan akses.

6. Jika Anda memilih opsi untuk Mengontrol unduhan file (dengan inspeksi):

   • Di bawah Sumber aktivitas di File yang cocok dengan semua bagian berikut, pilih filter file lainnya untuk diterapkan ke kebijakan. Filter ini dapat mencakup opsi berikut:

     • Label sensitivitas - Gunakan filter ini jika organisasi Anda menggunakan Perlindungan Informasi Microsoft Purview dan data Anda telah dilindungi oleh label sensitivitasnya. Anda dapat memfilter file berdasarkan label sensitivitas yang Anda terapkan padanya. Untuk informasi selengkapnya tentang integrasi dengan Perlindungan Informasi Microsoft Purview, lihat integrasi Perlindungan Informasi Microsoft Purview.

     • Nama file - Gunakan filter ini untuk menerapkan kebijakan ke file tertentu.

     • Jenis file - Gunakan filter ini untuk menerapkan kebijakan ke jenis file tertentu, misalnya, blokir unduhan untuk semua file .xls.

   • Di bagian Inspeksi konten, atur apakah Anda ingin mengaktifkan mesin DLP untuk memindai dokumen dan konten file.

   • Di bawah Tindakan, pilih salah satu item berikut ini:

     • Audit (Pantau semua aktivitas): Atur tindakan ini untuk secara eksplisit mengizinkan pengunduhan sesuai dengan filter kebijakan yang Anda tetapkan.
     • Blokir (Blokir unduhan file dan pantau semua aktivitas): Atur tindakan ini untuk memblokir unduhan secara eksplisit sesuai dengan filter kebijakan yang Anda tetapkan. Untuk informasi selengkapnya, lihat Cara kerja pengunduhan blokir.
     • Lindungi (Terapkan label sensitivitas untuk mengunduh dan memantau semua aktivitas): Opsi ini hanya tersedia jika Anda memilih Unduhan file kontrol (dengan inspeksi) di bawah Kebijakan sesi. Jika organisasi Anda menggunakan Perlindungan Informasi Microsoft Purview, Anda dapat mengatur Tindakan untuk menerapkan label sensitivitas yang diatur dalam Perlindungan Informasi Microsoft Purview ke file. Untuk informasi selengkapnya, lihat Cara kerja proteksi unduhan.

7. Agar pemberitahuan dikirim sebagai email, pilih Buat pemberitahuan untuk setiap peristiwa yang cocok dengan tingkat keparahan kebijakan dan tetapkan batas pemberitahuan.

8. Beri tahu pengguna: Saat Anda membuat kebijakan sesi, setiap sesi pengguna yang cocok dengan kebijakan dialihkan ke kontrol sesi daripada ke aplikasi secara langsung.

   Pengguna akan melihat pemberitahuan pemantauan untuk memberi tahu mereka bahwa sesi mereka sedang dipantau. Jika Anda tidak ingin memberi tahu pengguna bahwa mereka sedang dipantau, Anda dapat menonaktifkan pesan pemberitahuan.

   1. Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps.

   2. Kemudian, di bawah Kontrol Aplikasi Akses Bersyar pilih Pemantauan pengguna dan batal pilih kotak centang Beri tahu pengguna .

9. Log pemantauan: Untuk menjaga pengguna tetap dalam sesi, Kontrol Aplikasi Akses Bersyar menggantikan semua URL, skrip Java, dan cookie yang relevan dalam sesi aplikasi dengan URL aplikasi Microsoft Defender untuk Cloud. Misalnya, jika aplikasi mengembalikan halaman dengan tautan yang domainnya diakhir dengan myapp.com, Kontrol Aplikasi Akses Bersyar mengganti tautan dengan domain yang diakhir dengan sesuatu seperti myapp.com.mcas.ms. Dengan cara ini, Defender untuk Cloud Apps memantau seluruh sesi.

Mengekspor log penemuan Cloud

Kontrol Aplikasi Akses Bersyar merekam log lalu lintas dari setiap sesi pengguna yang dirutekan melaluinya. Log lalu lintas mencakup waktu, IP, agen pengguna, URL yang dikunjungi, dan jumlah byte yang diunggah dan diunduh. Log ini dianalisis dan laporan berkelanjutan, Defender untuk Cloud App Conditional Access App Control, ditambahkan ke daftar laporan Cloud Discovery di dasbor Cloud Discovery.

Untuk mengekspor log penemuan Cloud dari dasbor Cloud Discovery:

1. Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps. Di bawah aplikasi yang Koneksi, pilih Kontrol Aplikasi Akses Bersyar.

2. Di atas tabel, pilih tombol ekspor. Misalnya:

   

3. Pilih rentang laporan dan pilih Ekspor. Proses ini mungkin membutuhkan waktu beberapa saat.

4. Untuk mengunduh log yang diekspor setelah laporan siap, di Portal Pertahanan Microsoft buka Laporan ->Aplikasi Cloud lalu Laporan yang diekspor.

5. Dalam tabel, pilih laporan yang relevan dari daftar log lalu lintas Kontrol Aplikasi Akses Bersyar dan pilih Unduh. Misalnya:

   

Memantau semua

Pantau hanya aktivitas yang memantau aktivitas Masuk , dan tidak ada pemberitahuan yang dikirim. 

Untuk memantau aktivitas lain, pilih tindakan Audit , dalam hal ini, pemberitahuan dikirim sesuai dengan kebijakan Anda. Aktivitas dalam tindakan Audit dipantau dan dicatat, terlepas dari apakah kebijakan cocok atau tidak. 

Catatan

Untuk memantau aktivitas lain selain unduhan dan unggahan, setidaknya harus ada satu blok per kebijakan aktivitas dalam kebijakan pemantauan Anda.

Blokir semua unduhan

Saat Blokir ditetapkan sebagai Tindakan yang ingin Anda ambil dalam kebijakan sesi aplikasi Defender untuk Cloud, Kontrol Aplikasi Akses Bersyar mencegah pengguna mengunduh file sesuai filter file kebijakan. Defender untuk Cloud Apps mengenali peristiwa unduhan untuk setiap aplikasi saat pengguna memulai unduhan. Kontrol Aplikasi Akses Bersyar mengintervensi secara real time untuk mencegahnya berjalan. Ketika sinyal diterima bahwa pengguna telah memulai unduhan, Kontrol Aplikasi Akses Bersyarat mengembalikan pesan Unduhan terbatas kepada pengguna dan mengganti file yang diunduh dengan file teks. Pesan file teks kepada pengguna dapat dikonfigurasi dan disesuaikan dari kebijakan sesi.

Memerlukan autentikasi langkah atas (konteks autentikasi)

Saat Jenis kontrol sesi diatur ke Aktivitas blokir, Kontrol unduhan file (dengan inspeksi), Unggahan file kontrol (dengan inspeksi), Anda dapat memilih TindakanPerlu autentikasi langkah-up. Saat tindakan ini dipilih, Defender untuk Cloud Apps akan mengalihkan sesi ke Akses Bersyarat Microsoft Entra untuk evaluasi ulang kebijakan, setiap kali aktivitas yang dipilih terjadi. Berdasarkan konteks autentikasi yang dikonfigurasi di ID Microsoft Entra, klaim seperti autentikasi multifaktor dan kepatuhan perangkat dapat diperiksa selama sesi.

Memblokir aktivitas tertentu

Saat Aktivitas blokir diatur sebagai Jenis aktivitas, Anda dapat memilih aktivitas tertentu untuk diblokir di aplikasi tertentu. Semua aktivitas dari aplikasi yang dipilih dipantau dan dilaporkan di log Aktivitas. Aktivitas tertentu yang Anda pilih diblokir jika Anda memilih tindakan Blokir . Aktivitas tertentu yang Anda pilih menaikkan pemberitahuan jika Anda memilih tindakan Audit dan mengaktifkan pemberitahuan.

Contoh aktivitas yang diblokir meliputi:

• Kirim pesan Teams: Gunakan untuk memblokir pesan yang dikirim dari Microsoft Teams, atau blokir pesan Teams yang berisi konten tertentu
• Cetak: Gunakan untuk memblokir tindakan Cetak
• Salin: Gunakan untuk memblokir salin ke tindakan clipboard atau hanya blokir salinan untuk konten tertentu

Blokir aktivitas tertentu dan terapkan ke grup tertentu untuk membuat mode baca-saja yang komprehensif untuk organisasi Anda.

Lindungi file saat diunduh

Pilih Blokir aktivitas untuk memblokir aktivitas tertentu, yang dapat Anda temukan menggunakan filter Jenis aktivitas. Semua aktivitas dari aplikasi yang dipilih dipantau (dan dilaporkan dalam log Aktivitas). Aktivitas tertentu yang Anda pilih diblokir jika Anda memilih tindakan Blokir . Aktivitas tertentu yang Anda pilih menaikkan pemberitahuan jika Anda memilih tindakan Audit dan mengaktifkan pemberitahuan.

Saat Lindungi ditetapkan sebagai Tindakan yang akan diambil dalam kebijakan sesi aplikasi Defender untuk Cloud, Kontrol Aplikasi Akses Bersyar memberlakukan pelabelan dan perlindungan file berikutnya per filter file kebijakan. Label dikonfigurasi dalam portal kepatuhan Microsoft Purview dan label harus dikonfigurasi untuk menerapkan enkripsi agar muncul sebagai opsi dalam kebijakan aplikasi Defender untuk Cloud.

Saat Anda telah memilih label tertentu dan pengguna mengunduh file yang memenuhi kriteria kebijakan, label dan perlindungan dan izin yang sesuai diterapkan ke file.

File asli tetap apa adanya di aplikasi cloud saat file yang diunduh sekarang dilindungi. Pengguna yang mencoba mengakses file harus memenuhi persyaratan izin yang ditentukan oleh perlindungan yang diterapkan.

Defender untuk Cloud Apps saat ini mendukung penerapan label sensitivitas dari Perlindungan Informasi Microsoft Purview untuk jenis file berikut:

• Word: docm, docx, dotm, dotx
• Excel: xlam, xlsm, xlsx, xltx
• PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
• PDF

Catatan

• Untuk PDF, Anda harus menggunakan label terpadu.
• Tidak dimungkinkan untuk menimpa file yang sudah memiliki label yang ada menggunakan opsi Lindungi dalam kebijakan sesi.

Melindungi unggahan file sensitif

Saat Pengunggahan file Kontrol (dengan inspeksi) diatur sebagai jenis Kontrol Sesi dalam kebijakan sesi aplikasi Defender untuk Cloud, Kontrol Aplikasi Akses Bersyar mencegah pengguna mengunggah file per filter file kebijakan. Saat peristiwa unggahan dikenali, Kontrol Aplikasi Akses Bersyar mengintervensi secara real time untuk menentukan apakah file sensitif dan memerlukan perlindungan. Jika file memiliki data sensitif dan tidak memiliki label yang tepat, unggahan file akan diblokir.

Misalnya, Anda dapat membuat kebijakan yang memindai konten file untuk menentukan apakah berisi kecocokan konten sensitif seperti nomor jaminan sosial. Jika berisi konten sensitif dan tidak diberi label dengan label rahasia Perlindungan Informasi Microsoft Purview, unggahan file akan diblokir. Saat file diblokir, Anda dapat menampilkan pesan kustom kepada pengguna yang menginstruksikan mereka tentang cara memberi label file untuk mengunggahnya. Dengan demikian, Anda memastikan bahwa file yang disimpan di aplikasi cloud Anda mematuhi kebijakan Anda.

Memblokir malware saat diunggah

Saat Pengunggahan file Kontrol (dengan inspeksi) diatur sebagai jenis Kontrol Sesi dan Deteksi Malware diatur sebagai Metode Inspeksi dalam kebijakan sesi aplikasi Defender untuk Cloud, Kontrol Aplikasi Akses Bersyarah mencegah pengguna mengunggah file secara real time jika malware terdeteksi. File dipindai menggunakan mesin inteligensi ancaman Microsoft.

Anda dapat melihat file yang ditandai sebagai potensi malware menggunakan filter Potensi Malware Terdeteksi di log aktivitas.

Anda juga dapat mengonfigurasi kebijakan sesi untuk memblokir malware saat diunduh.

Mendidik pengguna untuk melindungi file sensitif

Penting untuk mendidik pengguna ketika mereka melanggar kebijakan sehingga mereka mempelajari cara mematuhi kebijakan organisasi Anda.

Karena setiap perusahaan memiliki kebutuhan dan kebijakan unik, Defender untuk Cloud Apps memungkinkan Anda menyesuaikan filter kebijakan dan pesan yang ditampilkan kepada pengguna saat pelanggaran terdeteksi.

Anda dapat memberikan panduan khusus kepada pengguna Anda, seperti memberikan instruksi tentang cara memberi label file dengan tepat, atau cara mendaftarkan perangkat yang tidak dikelola untuk memastikan file berhasil diunggah.

Misalnya, jika pengguna mengunggah file tanpa label sensitivitas, pesan dapat ditampilkan yang menjelaskan bahwa file berisi konten sensitif yang memerlukan label yang sesuai. Demikian pula, jika pengguna mencoba mengunggah dokumen dari perangkat yang tidak dikelola, pesan dapat ditampilkan dengan instruksi tentang cara mendaftarkan perangkat tersebut atau yang memberikan penjelasan lebih lanjut tentang mengapa perangkat harus didaftarkan.

Konflik antar kebijakan

Ketika ada konflik antara dua kebijakan, kebijakan yang lebih ketat akan menang. Misalnya:

• Jika sesi pengguna dilingkup ke kebijakan unduhan Blokir dan ke Label setelah kebijakan pengunduhan , tindakan unduhan file diblokir.

• Jika sesi pengguna dilingkup ke kebijakan unduhan Blokir dan kebijakan unduhan Audit, tindakan pengunduhan file diblokir.

Langkah berikutnya

Untuk informasi selengkapnya, lihat:

• Webinar Kontrol Aplikasi Akses Bersyar (video).
• Pemecahan masalah akses dan kontrol sesi
• Memblokir unduhan pada perangkat yang tidak dikelola menggunakan Microsoft Entra Conditional Access App Control

« SEBELUMNYA: Onboarding dan sebarkan Kontrol Aplikasi Akses Bersyar untuk aplikasi apa pun »

BERIKUTNYA: Cara membuat kebijakan akses »

Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.