Tworzenie zasad sesji usługi Microsoft Defender dla Chmury Apps
Microsoft Defender dla Chmury Zasady sesji aplikacji zapewniają szczegółowy wgląd w aplikacje w chmurze z monitorowaniem na poziomie sesji w czasie rzeczywistym. Zasady sesji umożliwiają wykonywanie różnych akcji w zależności od zasad ustawionych dla sesji użytkownika.
W przeciwieństwie do zasad dostępu, które umożliwiają lub blokują dostęp całkowicie, zasady sesji zezwalają na dostęp podczas monitorowania sesji. Dodaj kontrolę aplikacji dostępu warunkowego do zasad sesji, aby ograniczyć określone działania sesji.
Możesz na przykład zezwolić użytkownikom na dostęp do aplikacji z urządzeń niezarządzanych lub z określonych lokalizacji. Możesz jednak ograniczyć pobieranie poufnych plików podczas tych sesji lub wymagać, aby określone dokumenty były chronione przed pobieraniem, przekazywaniem lub kopiowaniem podczas zamykania aplikacji.
Zasady utworzone dla aplikacji hosta nie są połączone z żadnymi powiązanymi aplikacjami zasobów. Na przykład zasady dostępu utworzone dla usługi Teams, Exchange lub Gmail nie są połączone z programem SharePoint, Usługą OneDrive lub usługą Google Drive. Jeśli potrzebujesz zasad dla aplikacji zasobów oprócz aplikacji hosta, utwórz oddzielne zasady.
Nie ma limitu liczby zasad, które można zastosować.
Wymagania wstępne
Przed rozpoczęciem upewnij się, że masz następujące wymagania wstępne:
Licencja usługi Defender dla Chmury Apps jako licencja autonomiczna lub w ramach innej licencji
Licencja dla firmy Microsoft Entra ID P1, jako licencja autonomiczna lub w ramach innej licencji.
Jeśli używasz dostawcy tożsamości innej niż Microsoft, licencja wymagana przez rozwiązanie dostawcy tożsamości (IdP).
Odpowiednie aplikacje dołączone do kontroli aplikacji dostępu warunkowego. Aplikacje Microsoft Entra ID są automatycznie dołączane, a aplikacje dostawcy tożsamości innych niż Microsoft muszą być dołączane ręcznie.
Jeśli pracujesz z dostawcą tożsamości innej niż Microsoft, upewnij się, że dostawca tożsamości został również skonfigurowany do pracy z aplikacjami Microsoft Defender dla Chmury. Aby uzyskać więcej informacji, zobacz:
Aby zasady sesji działały, należy również mieć zasady dostępu warunkowego identyfikatora Entra firmy Microsoft, które tworzą uprawnienia do kontrolowania ruchu.
Przykład: tworzenie zasad dostępu warunkowego identyfikatora entra firmy Microsoft do użycia z aplikacjami Defender dla Chmury
Ta procedura zawiera ogólny przykład tworzenia zasad dostępu warunkowego do użycia z aplikacjami Defender dla Chmury.
W obszarze Dostęp warunkowy microsoft Entra ID wybierz pozycję Utwórz nowe zasady.
Wprowadź zrozumiałą nazwę zasad, a następnie wybierz link w obszarze Sesja, aby dodać kontrolki do zasad.
W obszarze Sesja wybierz pozycję Użyj kontroli dostępu warunkowego aplikacji.
W obszarze Użytkownicy wybierz opcję dołączenia wszystkich użytkowników lub tylko określonych użytkowników i grup.
W obszarach Warunki i aplikacje klienckie wybierz warunki i aplikacje klienckie, które chcesz uwzględnić w zasadach.
Zapisz zasady, przełączając opcję Tylko raport do pozycji Włączone, a następnie wybierając pozycję Utwórz.
Identyfikator Entra firmy Microsoft obsługuje zarówno zasady oparte na przeglądarce, jak i nienależące do przeglądarki. Zalecamy utworzenie obu typów w celu zwiększenia pokrycia zabezpieczeń.
Powtórz tę procedurę, aby utworzyć niebrowserowe zasady dostępu warunkowego. W obszarze Aplikacje klienckie przełącz opcję Konfiguruj na Tak. Następnie w obszarze Klienci nowoczesnego uwierzytelniania wyczyść opcję Przeglądarka . Pozostaw zaznaczone wszystkie inne opcje domyślne.
Uwaga: aplikacja dla przedsiębiorstw "Microsoft Defender dla Chmury Aplikacje — kontrolki sesji" jest używana wewnętrznie przez usługę kontroli dostępu warunkowego aplikacji. Upewnij się, że zasady urzędu certyfikacji nie ograniczają dostępu do tej aplikacji w zasobach docelowych.
Aby uzyskać więcej informacji, zobacz Zasady dostępu warunkowego i Tworzenie zasad dostępu warunkowego.
Tworzenie zasad sesji usługi Defender dla Chmury Apps
W tej procedurze opisano sposób tworzenia nowych zasad sesji w usłudze Defender dla Chmury Apps.
W usłudze Microsoft Defender XDR wybierz kartę Zarządzanie dostępem > warunkowym zasad zasad > aplikacji > w chmurze.
Wybierz pozycję Utwórz zasady Zasady>sesji. Na przykład:
Na stronie Tworzenie zasad sesji rozpocznij od wybrania szablonu z listy rozwijanej Szablon zasad lub ręcznie wprowadzając wszystkie szczegóły.
Wprowadź następujące podstawowe informacje dotyczące zasad. Jeśli używasz szablonu, większość zawartości jest już wypełniona.
Nazwa/nazwisko opis Nazwa zasad Zrozumiała nazwa zasad, taka jak Blokuj pobieranie poufnych dokumentów w usłudze Box for Marketing Users Ważność zasad Wybierz ważność, którą chcesz zastosować do zasad. Kategoria Wybierz kategorię, którą chcesz zastosować. Opis Wprowadź opcjonalny, zrozumiały opis zasad, aby pomóc zespołowi zrozumieć jego przeznaczenie. Typ kontrolki sesji Wybierz jedną z następujących opcji:
- Monitoruj tylko. Monitoruje tylko aktywność użytkownika i tworzy zasady Monitor tylko dla wybranych aplikacji.
- Blokuj działania. Blokuje określone działania zdefiniowane przez filtr Typ działania. Wszystkie działania z wybranych aplikacji są monitorowane i zgłaszane w dzienniku aktywności.
- Kontrolowanie pobierania pliku (z inspekcją). Monitoruje pobieranie plików i może być łączone z innymi akcjami, takimi jak blokowanie lub ochrona pobierania.
- Kontrolowanie przekazywania plików (z inspekcją). Monitoruje przekazywanie plików i może być łączone z innymi akcjami, takimi jak blokowanie lub ochrona przekazywania.
Aby uzyskać więcej informacji, zobacz Obsługiwane działania dotyczące zasad sesji.W obszarze Działania zgodne ze wszystkimi poniższymi obszarami wybierz dodatkowe filtry działań, które mają być stosowane do zasad. Filtry obejmują następujące opcje:
Nazwa/nazwisko opis Typ działania Wybierz typ działania, który chcesz zastosować, na przykład:
-Drukarstwo
- Akcje Schowka, takie jak cięcie, kopiowanie, wklejanie
— Wysyłanie, udostępnianie, udostępnianie lub edytowanie elementów w obsługiwanych aplikacjach.
Na przykład użyj działania wyślij elementy w warunkach, aby przechwycić użytkownika próbującego wysłać informacje w czacie usługi Teams lub kanale Usługi Slack i zablokować komunikat, jeśli zawiera poufne informacje, takie jak hasło lub inne poświadczenia.Aplikacja Filtry dla określonej aplikacji do uwzględnienia w zasadach. Wybierz aplikacje, wybierając najpierw, czy używają automatycznego dołączania usługi Azure AD, w przypadku aplikacji Microsoft Entra ID, czy ręcznego dołączania w przypadku aplikacji innych niż Microsoft IdP. Następnie wybierz aplikację, którą chcesz uwzględnić w filtrze z listy.
Jeśli na liście brakuje twojej aplikacji dostawcy tożsamości firmy innej niż Microsoft, upewnij się, że została ona w pełni dołączona. Aby uzyskać więcej informacji, zobacz:
- Dołączanie aplikacji katalogu innych niż Microsoft IdP na potrzeby kontroli aplikacji dostępu warunkowego.
- Dołączanie niestandardowych aplikacji innych niż Microsoft IdP do kontroli aplikacji dostępu warunkowego
Jeśli zdecydujesz się nie używać filtru Aplikacji , zasady dotyczą wszystkich aplikacji oznaczonych jako Włączone na stronie Ustawienia > Aplikacje > połączone aplikacje w chmurze Aplikacje połączone > z dostępem warunkowym aplikacji.
Uwaga: mogą wystąpić pewne nakładające się na siebie aplikacje, które są dołączane, a aplikacje, które wymagają ręcznego dołączania. W przypadku konfliktu filtru między aplikacjami pierwszeństwo będą miały ręcznie dołączone aplikacje.Device Filtruj tagi urządzeń, takie jak określona metoda zarządzania urządzeniami lub typy urządzeń, takie jak komputer, urządzenia przenośne lub tablet. Adres IP Filtruj według adresu IP lub użyj wcześniej przypisanych tagów adresów IP. Lokalizacja Filtruj według lokalizacji geograficznej. Brak jasno zdefiniowanej lokalizacji może identyfikować ryzykowne działania. Zarejestrowany usługodawca Filtruj pod kątem działań pochodzących z określonego usługodawcy isp. Użytkownik Filtruj dla określonego użytkownika lub grupy użytkowników. Ciąg agenta użytkownika Filtruj pod kątem określonego ciągu agenta użytkownika. Tag agenta użytkownika Filtruj tagi agenta użytkownika, takie jak w przypadku nieaktualnych przeglądarek lub systemów operacyjnych. Na przykład:
Wybierz pozycję Edytuj i wyświetl podgląd wyników , aby uzyskać podgląd typów działań, które zostaną zwrócone z bieżącym wyborem.
Skonfiguruj dodatkowe opcje dostępne dla wszystkich określonych typów kontrolek sesji.
Jeśli na przykład wybrano pozycję Blokuj działania, wybierz pozycję Użyj inspekcji zawartości, aby sprawdzić zawartość działania, a następnie skonfigurować ustawienia zgodnie z potrzebami. W takim przypadku warto sprawdzić tekst zawierający określone wyrażenia, takie jak numer ubezpieczenia społecznego.
W przypadku wybrania opcji Kontrola pobierania plików (z inspekcją) lub Kontroli przekazywania plików (z inspekcją) skonfiguruj pliki zgodne ze wszystkimi poniższymi ustawieniami.
Skonfiguruj jeden z następujących filtrów plików:
Nazwa/nazwisko opis Etykieta poufności Filtruj według etykiet poufności usługi Microsoft Purview Information Protection , jeśli używasz również usługi Microsoft Purview, a dane są chronione za pomocą etykiet poufności. Nazwa pliku Filtruj pod kątem określonych plików. Rozszerzenie Filtruj pod kątem określonych typów plików, na przykład blokuj pobieranie wszystkich plików .xls. Rozmiar pliku (MB) Filtruj pod kątem określonych rozmiarów plików, takich jak duże lub małe pliki. W obszarze Zastosuj do (wersja zapoznawcza):
- Wybierz, czy zasady mają być stosowane tylko do wszystkich plików, czy plików w określonych folderach
- Wybierz metodę inspekcji do użycia, taką jak usługi klasyfikacji danych lub złośliwe oprogramowanie. Aby uzyskać więcej informacji, zobacz Integracja usług Microsoft Data Classification Services.
- Skonfiguruj bardziej szczegółowe opcje zasad, takie jak scenariusze oparte na elementach, takich jak odciski palców lub klasyfikatory do trenowania.
W obszarze Akcje wybierz jedną z następujących opcji:
Nazwa/nazwisko opis Audit Monitoruje wszystkie działania. Wybierz, aby jawnie zezwolić na pobieranie zgodnie z ustawionymi filtrami zasad. Bloku Blokuje pobieranie plików i monitoruje wszystkie działania. Wybierz, aby jawnie zablokować pobieranie zgodnie z ustawionymi filtrami zasad.
Blokuj zasady umożliwiają również wybranie opcji powiadamiania użytkowników pocztą e-mail i dostosowywania wiadomości zablokowanych.Ochrona Stosuje etykietę poufności do pobierania i monitoruje wszystkie działania. Dostępne tylko w przypadku wybrania opcji Kontrola pobierania pliku (z inspekcją).
Jeśli używasz usługi Microsoft Purview Information Protection, możesz również wybrać, aby zastosować etykietę poufności do pasujących plików, zastosować uprawnienia niestandardowe do użytkownika pobierającego pliki lub zablokować pobieranie określonych plików.
Jeśli masz zasady dostępu warunkowego identyfikatora entra firmy Microsoft, możesz również wybrać opcję wymagania uwierzytelniania krokowego (wersja zapoznawcza).Opcjonalnie wybierz opcję Zawsze zastosuj wybraną akcję, nawet jeśli nie można skanować danych zgodnie z potrzebami zasad.
W obszarze Alerty skonfiguruj dowolną z następujących akcji zgodnie z potrzebami:
- Tworzenie alertu dla każdego zgodnego zdarzenia z ważnością zasad
- Wysyłanie alertu jako wiadomości e-mail
- Dzienny limit alertów na zasady
- Wysyłanie alertów do usługi Power Automate
Po zakończeniu wybierz Utwórz.
Przetestuj swoje zasady
Po utworzeniu zasad sesji przetestuj je ponownie, uwierzytelniając poszczególne aplikacje skonfigurowane w zasadach i testując scenariusz skonfigurowany w zasadach.
Zalecamy wykonanie następujących czynności:
- Wyloguj się ze wszystkich istniejących sesji przed ponownym uwierzytelnieniem w aplikacjach.
- Zaloguj się do aplikacji mobilnych i klasycznych zarówno z urządzeń zarządzanych, jak i niezarządzanych, aby upewnić się, że działania są w pełni przechwytywane w dzienniku aktywności.
Pamiętaj, aby zalogować się przy użyciu użytkownika zgodnego z zasadami.
Aby przetestować zasady w aplikacji:
Sprawdź, czy w przeglądarce jest wyświetlana ikona blokady lub czy pracujesz w przeglądarce innej niż Microsoft Edge, sprawdź, czy adres URL aplikacji zawiera
.mcas
sufiks. Aby uzyskać więcej informacji, zobacz Ochrona w przeglądarce za pomocą przeglądarki Microsoft Edge dla firm (wersja zapoznawcza).Odwiedź wszystkie strony w aplikacji, które są częścią procesu roboczego użytkownika i sprawdź, czy strony są poprawnie renderowane.
Sprawdź, czy zachowanie i funkcjonalność aplikacji nie ma negatywnego wpływu na wykonywanie typowych akcji, takich jak pobieranie i przekazywanie plików.
Jeśli pracujesz z niestandardowymi aplikacjami dostawcy tożsamości innych niż Microsoft, sprawdź poszczególne domeny, które zostały ręcznie dodane dla aplikacji.
Jeśli wystąpią błędy lub problemy, użyj paska narzędzi administratora, aby zebrać zasoby, takie jak .har
pliki i zarejestrowane sesje w celu zgłoszenia biletu pomocy technicznej.
Aby sprawdzić dostępność aktualizacji w usłudze Microsoft Defender XDR:
W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady, a następnie wybierz pozycję Zarządzanie zasadami.
Wybierz utworzone zasady, aby wyświetlić raport zasad. Wkrótce powinno pojawić się dopasowanie zasad sesji.
Raport zasad pokazuje, które logowania zostały przekierowane do aplikacji Microsoft Defender dla Chmury do kontroli sesji, a także innych akcji, takich jak pliki, które zostały pobrane lub zablokowane z monitorowanych sesji.
Wyłączanie ustawień powiadomień użytkownika
Domyślnie użytkownicy są powiadamiani o monitorowanych sesjach. Jeśli wolisz, aby użytkownicy otrzymywali powiadomienia lub dostosowywać wiadomość z powiadomieniem, skonfiguruj ustawienia powiadomień.
W usłudze Microsoft Defender XDR wybierz pozycję Ustawienia > Aplikacje > w chmurze Monitorowanie użytkowników kontroli > dostępu warunkowego.
Wybierz jedną z następujących opcji:
- Wyczyść opcję Powiadamianie użytkowników, że ich aktywność jest monitorowana całkowicie
- Zachowaj zaznaczenie i wybierz, aby użyć komunikatu domyślnego lub dostosować komunikat.
Wybierz link Podgląd, aby wyświetlić przykład skonfigurowanego komunikatu na nowej karcie przeglądarki.
Eksportowanie dzienników odnajdywania w chmurze
Kontrola dostępu warunkowego aplikacji rejestruje dzienniki ruchu każdej sesji użytkownika, która jest przez nią kierowana. Dzienniki ruchu obejmują czas, adres IP, agenta użytkownika, odwiedzone adresy URL oraz liczbę przekazanych i pobranych bajtów. Te dzienniki są analizowane, a raport ciągły, Defender dla Chmury Aplikacje kontroli dostępu warunkowego aplikacji, jest dodawany do listy raportów odnajdywania w chmurze na pulpicie nawigacyjnym odnajdywania w chmurze.
Aby wyeksportować dzienniki odnajdywania w chmurze z pulpitu nawigacyjnego odnajdywania w chmurze:
W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. W obszarze Połączone aplikacje wybierz pozycję Kontrola dostępu warunkowego aplikacji.
Nad tabelą wybierz przycisk eksportu. Na przykład:
Wybierz zakres raportu i wybierz pozycję Eksportuj. Ten proces może potrwać jakiś czas.
Aby pobrać wyeksportowany dziennik po dokonaniu gotowości raportu, w portalu usługi Microsoft Defender przejdź do pozycji Raporty —> Aplikacje w chmurze, a następnie Wyeksportowane raporty.
W tabeli wybierz odpowiedni raport z listy dzienników ruchu kontroli dostępu warunkowego aplikacji, a następnie wybierz pozycję Pobierz. Na przykład:
Obsługiwane działania dotyczące zasad sesji
Poniższe sekcje zawierają więcej szczegółowych informacji na temat poszczególnych działań obsługiwanych przez zasady sesji usługi Defender dla Chmury Apps.
Monitoruj tylko
Monitor tylko typ kontrolki sesji monitoruje tylko działanie Logowania .
Aby monitorować inne działania, wybierz jeden z innych typów kontrolek sesji i użyj akcji Inspekcja.
Aby monitorować działania inne niż pobieranie i przekazywanie, musisz mieć co najmniej jeden blok na zasady monitorowania.
Blokuj wszystkie pliki do pobrania
Gdy ustawienie Kontrola pobierania pliku (z inspekcją) jest ustawiane jako typ kontroli sesji, a ustawienie Blokuj jest ustawione jako akcja, kontrola aplikacji dostępu warunkowego uniemożliwia użytkownikom pobieranie pliku zgodnie z filtrami plików zasad.
Gdy użytkownik inicjuje pobieranie, zostanie wyświetlony komunikat Pobierz z ograniczeniami dla użytkownika, a pobrany plik zostanie zastąpiony plikiem tekstowym. Skonfiguruj wiadomość pliku tekstowego do użytkownika zgodnie z potrzebami w organizacji.
Wymaganie uwierzytelniania krokowego
Akcja Wymagaj uwierzytelniania krokowego jest dostępna, gdy typ kontrolki sesji jest ustawiony na Blokuj działania, Kontrolowanie pobierania plików (z inspekcją) lub Kontrolowanie przekazywania plików (z inspekcją).
Po wybraniu tej akcji usługa Defender dla Chmury Apps przekierowuje sesję do usługi Microsoft Entra Conditional Access w celu ponownego oceny zasad przy każdym wystąpieniu wybranego działania.
Użyj tej opcji, aby sprawdzić oświadczenia, takie jak uwierzytelnianie wieloskładnikowe i zgodność urządzeń podczas sesji, na podstawie skonfigurowanego kontekstu uwierzytelniania w identyfikatorze Entra firmy Microsoft.
Blokuj określone działania
Gdy ustawienie Blokuj działania jest ustawione jako typ kontrolki sesji, wybierz określone działania, które mają być blokowane w określonych aplikacjach.
Wszystkie działania ze skonfigurowanych aplikacji są monitorowane i zgłaszane w dzienniku aktywności aplikacji > w chmurze.
Aby zablokować określone działania, wybierz akcję Blokuj i wybierz działania, które chcesz zablokować.
Aby zgłosić alerty dotyczące określonych działań, wybierz akcję Inspekcja i skonfiguruj ustawienia alertu.
Na przykład możesz zablokować następujące działania:
Wysłana wiadomość usługi Teams. Blokuj użytkownikom wysyłanie wiadomości z usługi Microsoft Teams lub blokowanie komunikatów usługi Teams zawierających określoną zawartość.
Drukuj. Blokuj wszystkie akcje drukowania.
Kopiuj. Blokuj wszystkie akcje kopiowania do schowka lub blokuj kopiowanie tylko dla określonej zawartości.
Ochrona plików podczas pobierania
Wybierz typ kontrolki Blokuj sesję działań, aby zablokować określone działania, które są definiowane przy użyciu filtru Typ działania.
Wszystkie działania ze skonfigurowanych aplikacji są monitorowane i zgłaszane w dzienniku aktywności aplikacji > w chmurze.
Wybierz akcję Blokuj, aby zablokować określone działania, lub wybierz akcję Inspekcja i zdefiniuj ustawienia alertu w celu zgłaszania alertów dotyczących określonych działań.
Wybierz akcję Chroń, aby chronić pliki z etykietami poufności i innymi zabezpieczeniami zgodnie z filtrami plików zasad.
Etykiety poufności są konfigurowane w usłudze Microsoft Purview i muszą być skonfigurowane do stosowania szyfrowania, aby było wyświetlane jako opcja w zasadach sesji Defender dla Chmury Apps.
Po skonfigurowaniu zasad sesji z określoną etykietą i użytkownik pobiera plik, który spełnia kryteria zasad, etykieta i wszelkie odpowiednie zabezpieczenia i uprawnienia są stosowane w pliku.
Oryginalny plik pozostaje w aplikacji w chmurze, gdy pobrany plik jest chroniony. Użytkownicy, którzy próbują uzyskać dostęp do pobranego pliku, muszą spełniać wymagania dotyczące uprawnień określone przez zastosowaną ochronę.
usługa Defender dla Chmury Apps obsługuje obecnie stosowanie etykiet poufności z usługi Microsoft Purview Information Protection dla następujących typów plików:
- Word: docm, docx, dotm, dotx
- Excel: xlam, xlsm, xlsx, xltx
- PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
Uwaga
Pliki PDF muszą być oznaczone ujednoliconymi etykietami.
Opcja Chroń nie obsługuje zastępowania plików z istniejącą etykietą w zasadach sesji.
Ochrona przekazywania poufnych plików
Wybierz typ kontroli sesji przekazywania pliku sterowania (z inspekcją), aby uniemożliwić użytkownikowi przekazywanie pliku zgodnie z filtrami plików zasad.
Jeśli przekazywany plik ma poufne dane i nie ma odpowiedniej etykiety, przekazywanie pliku zostanie zablokowane.
Na przykład utwórz zasady, które skanują zawartość pliku, aby określić, czy zawiera on dopasowanie poufnej zawartości, takie jak numer ubezpieczenia społecznego. Jeśli zawiera zawartość wrażliwą i nie jest oznaczona etykietą poufnej usługi Microsoft Purview Information Protection, przekazywanie pliku zostanie zablokowane.
Napiwek
Skonfiguruj niestandardowy komunikat dla użytkownika po zablokowaniu pliku, poinstruując go o tym, jak oznaczyć plik w celu przekazania go, co pomaga zapewnić zgodność plików przechowywanych w aplikacjach w chmurze z zasadami.
Aby uzyskać więcej informacji, zobacz Edukuj użytkowników w celu ochrony poufnych plików.
Blokowanie złośliwego oprogramowania podczas przekazywania lub pobierania
Wybierz pozycję Control file upload (with inspection) lub Control file download (with inspection) as the session control type and Malware detection as inspection method to prevent a user from upload or downloading a file with malware (Control file download) as the session control control type and Malware detection as inspection method to prevent a user from upload or downloading a file with malware. Pliki są skanowane pod kątem złośliwego oprogramowania przy użyciu aparatu analizy zagrożeń firmy Microsoft.
Wyświetl wszystkie pliki oflagowane jako potencjalne złośliwe oprogramowanie w dzienniku aktywności aplikacji > w chmurze, filtrując pod kątem potencjalnych wykrytych elementów złośliwego oprogramowania. Aby uzyskać więcej informacji, zobacz Filtry działań i zapytania.
Informowanie użytkowników o ochronie poufnych plików
Zalecamy informowanie użytkowników o naruszeniu zasad, aby dowiedzieć się, jak spełnić wymagania organizacji.
Ponieważ każde przedsiębiorstwo ma unikatowe potrzeby i zasady, Defender dla Chmury Apps umożliwia dostosowanie filtrów zasad i komunikat wyświetlany użytkownikowi po wykryciu naruszenia.
Przekaż użytkownikom konkretne wskazówki, takie jak podawanie instrukcji dotyczących odpowiedniego etykietowania pliku lub sposobu rejestrowania niezarządzanego urządzenia w celu zapewnienia pomyślnego przekazania plików.
Jeśli na przykład użytkownik przekaże plik bez etykiety poufności, skonfiguruj komunikat do wyświetlenia, wyjaśniając, że plik zawiera zawartość wrażliwą i wymaga odpowiedniej etykiety. Podobnie, jeśli użytkownik próbuje przekazać dokument z urządzenia niezarządzanego, skonfiguruj komunikat, który ma być wyświetlany z instrukcjami dotyczącymi rejestrowania tego urządzenia lub takiego, który zawiera dalsze wyjaśnienie, dlaczego urządzenie musi zostać zarejestrowane.
Mechanizmy kontroli dostępu w zasadach sesji
Wiele organizacji, które decydują się używać kontrolek sesji dla aplikacji w chmurze do kontrolowania działań w sesji, stosuje również mechanizmy kontroli dostępu, aby zablokować ten sam zestaw wbudowanych aplikacji mobilnych i klasycznych, zapewniając w ten sposób kompleksowe zabezpieczenia aplikacji.
Blokuj dostęp do wbudowanych aplikacji klienckich mobilnych i klasycznych przy użyciu zasad dostępu, ustawiając filtr aplikacji klienckiej na Aplikacje mobilne i stacjonarne. Niektóre wbudowane aplikacje klienckie mogą być rozpoznawane indywidualnie, podczas gdy inne, które są częścią pakietu aplikacji, można zidentyfikować tylko jako aplikację najwyższego poziomu. Na przykład aplikacje, takie jak SharePoint Online, mogą być rozpoznawane tylko przez utworzenie zasad dostępu zastosowanych do aplikacji platformy Microsoft 365.
Uwaga
Jeśli filtr aplikacji klienckiej nie zostanie specjalnie ustawiony na mobile i desktop, wynikowe zasady dostępu będą stosowane tylko do sesji przeglądarki. Ma to na celu zapobieganie niezamierzonemu serwerowi proxy sesji użytkowników.
Podczas gdy większość głównych przeglądarek obsługuje sprawdzanie certyfikatu klienta, niektóre aplikacje mobilne i klasyczne używają wbudowanych przeglądarek, które mogą nie obsługiwać tego sprawdzania. W związku z tym użycie tego filtru może mieć wpływ na uwierzytelnianie tych aplikacji.
Konflikty między zasadami
Jeśli występuje konflikt między dwiema zasadami sesji, tym bardziej restrykcyjne zasady wygrywają.
Na przykład:
- Jeśli sesja użytkownika jest zgodna z zasadami, w których pobieranie jest zablokowane
- Zasady, w których pliki są oznaczone etykietą podczas pobierania lub gdzie są poddawane inspekcji pobierania,
- Opcja pobierania pliku jest zablokowana, aby zachować zgodność z bardziej restrykcyjnymi zasadami.
Powiązana zawartość
Aby uzyskać więcej informacji, zobacz:
- Rozwiązywanie problemów z kontrolą dostępu i sesji
- Samouczek: blokowanie pobierania poufnych informacji za pomocą kontroli dostępu warunkowego aplikacji
- Blokowanie pobierania na urządzeniach niezarządzanych przy użyciu kontrolek sesji
- Seminarium internetowe dotyczące kontroli dostępu warunkowego aplikacji
Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.