Web 內容篩選
適用於:
- Microsoft Defender XDR
- 適用於端點的 Microsoft Defender 方案 1
- 適用於端點的 Microsoft Defender 方案 2
- 適用於企業的 Microsoft Defender
提示
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
什麼是 Web 內容篩選?
Web 內容篩選是 Microsoft Defender for Endpoint 和 Microsoft Defender for Business 中 Web 保護 功能的一部分。 Web 內容篩選可讓您的組織根據網站的內容類別來追蹤及規範網站的存取。 這些網站中有許多 (,即使它們不是惡意) 也可能因為合規性法規、頻寬使用或其他考慮而造成問題。
跨裝置群組設定原則以封鎖特定類別。 封鎖類別可防止指定裝置群組內的使用者存取與類別相關聯的 URL。 對於任何未封鎖的類別,會自動稽核 URL。 您的使用者可以在不中斷的情況下存取 URL,而且您可以收集存取統計數據來協助建立更自定義的原則決策。 如果使用者正在檢視的頁面上有元素呼叫已封鎖的資源,則會看到封鎖通知。
注意事項
適用於端點的Defender方案1和方案2支援裝置群組建立。
Web 內容篩選可在主要網頁瀏覽器上使用,其中包含由 Windows Defender SmartScreen (Microsoft Edge) 和網路保護所執行的區塊, (Chrome、Firefox、要件和操作) 。 如需瀏覽器支援的詳細資訊,請參閱 必要條件一 節。
注意事項
Web 內容篩選不會將原則套用至隔離的瀏覽器會話 (也就是Microsoft Defender 應用程式防護) 。 此功能也僅限於透過行程名稱的特定瀏覽器。 這表示當有本機 Proxy 應用程式就地 (例如 Fiddler) 時,Web 內容篩選無法運作,因為行程名稱已遮罩。
Web 內容篩選的優點
- 無論使用者是在內部部署或離開時流覽,都無法存取封鎖類別中的網站。
- 您的安全性小組可以存取位於相同中央位置的 Web 報告,並可檢視實際區塊和 Web 使用量。
- 如果您使用適用於端點的Defender,您的安全性小組可以使用 Microsoft Defender for Endpoint 角色型存取控制設定中定義的裝置群組,方便地將原則部署到使用者群組。
- 如果您使用商務用Defender,您可以定義一個套用至所有使用者的Web內容篩選原則。
必要條件
嘗試此功能之前,請確定您符合下表所述的需求:
| 需求 | 描述 |
|---|---|
| 訂閱 | 您的訂用帳戶必須包含下列其中一個方案: - Windows 10/11 企業版 E5 - Microsoft 365 E5 - Microsoft 365 A5 - Microsoft 365 E5 安全性 - Microsoft 365 E3 - Microsoft適用於端點的 Defender 方案 1 或方案 2 - Microsoft商務用 Defender - Microsoft 365 商務進階版 |
| 入口網站存取 | 您必須能夠存取 Microsoft Defender 入口網站。 |
| 作業系統 | 您組織的裝置必須使用 最新的防病毒軟體/反惡意代碼更新執行下列其中一個作業系統: - Windows 11 - Windows 10 年度更新 (版本 1607) 或更新版本 - 如需macOS可用性的相關信息,請參閱 macOS的網路保護 - 如需 Linux 可用性的相關信息,請參閱 Linux 的網路保護 |
| 瀏覽器 | 貴組織的裝置必須執行下列其中一個瀏覽器: - Microsoft Edge - Google Chrome - Mozilla FireFox -勇敢 -歌劇 - Internet Explorer |
| 相關保護 | 您組織的裝置上必須啟用 Windows Defender SmartScreen 和網路保護。 |
資料處理
數據會儲存在已選取為 適用於端點Microsoft Defender 數據處理設定一部分的區域中。 您的數據不會離開該區域中的數據中心。 此外,您的數據將不會與任何第三方共用,包括我們的數據提供者。
多個作用中原則的優先順序
將多個不同的 Web 內容篩選原則套用至相同的裝置,會導致針對每個類別套用更嚴格的原則。 請試想下列案例:
- 原則 1:封鎖類別 1 和 2,並稽核其餘部分
- 原則 2:封鎖類別 3 和 4,並稽核其餘部分
結果會封鎖類別 1-4,如下圖所示。
開啟 Web 內容篩選
移至 Microsoft Defender 入口網站 並登入。
在瀏覽窗格中,選取> [設定端點>一般>進階功能]。
向下捲動,直到您看到 Web 內容篩選。
將切換開關切換為 [開啟],然後選取 [ 儲存喜好設定]。
設定 Web 內容篩選原則
Web 內容篩選原則會指定哪些網站類別會封鎖哪些裝置群組。 若要管理原則,請移至 > [規則) ] 底下的 [設定端點>Web 內容篩選 (]。
您可以部署原則來封鎖下列任何父類別或子類別:
| 父類別 | 子類別 |
|---|---|
| 成人內容 |
-
教職員:與群組或移動相關的網站,其成員對不同於社交接受的信念系統展現熱衷。 - 集會:在線活動,以及可提升技能和練習的網站。 - Nudity:提供全正面和半學習影像或影片的網站,通常是以粗體形式,而且可能允許下載或銷售這類材質。 - 異動/明確性:包含影像或文字形式之明確內容的網站。 這裡也會列出任何形式的性導向材質。 - 性教育:以資訊和非教制性方式討論性與性性的網站,包括提供有關人類重設和性別教育的網站、提供預防性疾病感染建議的網站,以及提供有關性健康問題之建議的網站。 - 無味:面向不適合學校兒童檢視內容的網站,或是僱主會因為員工的存取而感到不適,但不一定是暴力或暴力編譯。 - 暴力:顯示或宣傳與人類或動物之暴力相關內容的網站。 |
| 高頻寬 |
-
下載網站:主要功能是允許使用者下載媒體內容或程序的網站,例如計算機程式。 - 影像共用:主要用於搜尋或共用相片的網站,包括具有社交層面的網站。 - 點對點:裝載點對點 (P2P 的網站) 軟體,或使用 P2P 軟體協助共用檔案。 - 串流媒體 & 下載:主要功能為串流媒體散發的網站,或允許使用者搜尋、監看或接聽串流媒體的網站。 |
| 法律責任 |
-
子濫用影像:包含子濫用影像或濫用影像的網站。 - 犯罪活動:提供非法活動的指示、建議或升級的網站。 - 駭客入侵:提供資源來非法或可疑地使用計算機軟體或硬體的網站,包括散佈已遭破壞之著作權內容的網站。 - 自定義 & 容忍:針對任何可由種族、種族、性別、年齡、兒童、實體身心障礙、經濟情況、性方向或任何其他選擇所識別之母體中任何區段,促進積極、降級或濫用意見的網站。 - 不合法的藥物:銷售不合法/受控制的非法密碼、宣傳濫用藥物或銷售相關參數的網站。 - 不合法的軟體:包含或宣傳使用惡意代碼、間諜軟體、Botnet、網路釣魚詐騙或惡意 & 竊取著作權的網站。 - 學校學生:與合法性或學校學生有關的網站。 - 自我傷害:宣傳自我傷害的網站,包括包含對使用者之惡意和/或威脅訊息的網路雲端網站。 - 敵人:任何銷售敵人或提倡使用敵人的網站,包括但不限於敵人、敵人和敵人。 |
| 暇 |
-
聊天:主要為 Web 聊天室的網站。 - 遊戲:與視訊或計算機遊戲相關的網站,包括透過裝載在線服務或遊戲相關信息來推廣遊戲的網站。 - 立即訊息:可用來下載立即訊息軟體或用戶端式立即訊息的網站。 - 專業網路:提供專業網路服務的網站。 - 社交網路:提供社交網路服務的網站。 - Web 型電子郵件:提供 Web 型郵件服務的網站。 |
| 未分類 |
-
新註冊的網域:過去 30 天內新註冊但尚未移至另一個類別的網站。 - 已停駐的網域:沒有內容或已停駐以供稍後使用的網站。 |
注意事項
未分類只會包含新註冊的網域和已停駐的網域,而且不包含這些類別以外的所有其他網站。
建立原則
若要新增原則,請遵循下列步驟:
在 Microsoft Defender 入口網站中,選擇 [ 設定>端點>Web 內容篩選>+ 新增原則]。
指定名稱。
選取要封鎖的類別。 使用展開圖示來完整展開每個父類別,並選取特定的 Web 內容類別。
指定原則範圍。 選取裝置群組,以指定要套用原則的位置。 只有所選裝置群組中的裝置無法存取所選類別中的網站。
重要事項
如果您使用 Microsoft 365 商務進階版或商務用 Defender,您的 Web 內容篩選原則預設會套用至所有使用者。 範圍不適用。
檢閱摘要並儲存原則。
注意事項
- 在建立原則與在裝置上強制執行原則之間,最多可能會有 2 小時的延遲。
- 您可以部署原則,而不需要在裝置群組上選取任何類別。 此動作會建立僅稽核原則,以協助您在建立封鎖原則之前了解用戶行為。
- 如果您要同時移除原則或變更裝置群組,原則部署可能會發生延遲。
- 封鎖「未分類」類別可能會導致非預期和非預期的結果。
使用者體驗
第三方支援瀏覽器的封鎖體驗是由網路保護所提供,其提供系統層級訊息,通知使用者已封鎖的連線。 如需更方便使用者的瀏覽器內體驗,請考慮使用 Microsoft Edge。
從 Microsoft Edge 版本 124 開始,所有 Web 內容篩選區塊都會顯示下列體驗。
允許特定網站
您可以藉由建立自定義指標原則,覆寫 Web 內容篩選中封鎖的類別,以允許單一網站。 自定義指標原則會在套用至有問題的裝置群組時取代Web內容篩選原則。
若要定義自定義指標,請遵循下列步驟:
在 Microsoft Defender 入口網站中,移至 [設定>端點指標>>URL/網域>新增專案]。
輸入網站的網域。
將原則動作設定為 [允許]。
爭議類別
如果您遇到分類不正確的網域,您可以直接從 Microsoft Defender 入口網站對類別進行爭議。
若要對網域的類別進行爭議,請流覽至 [報告>Web 保護>] Web 內容篩選類別詳細數據>[網域]。 在 Web 內容篩選報表的 [網域] 索引標籤上,尋找每個網域旁邊的省略號。 將滑鼠停留在省略號上方,然後選取 [ 爭議類別]。
面板隨即開啟,您可以在其中選取優先順序並新增更多詳細數據,例如建議的分類以進行重新分類。 完成表單后,選取 [ 提交]。 我們的小組將在一個工作天內檢閱要求。 若要立即解除封鎖,請建立 自定義允許指標。
Web 內容篩選卡片和詳細數據
選 取 [報告>Web 保護 ] 以檢視具有 Web 內容篩選和 Web 威脅防護相關信息的卡片。 下列卡片提供 Web 內容篩選的摘要資訊。
依類別分類的 Web 活動
此卡片會列出存取嘗試次數增加或減少最多的父系 Web 內容類別。 瞭解組織中過去 30 天、3 個月或 6 個月 Web 活動模式的大幅變更。 選取類別名稱以檢視詳細資訊。
在使用這項功能的前 30 天內,您的組織可能沒有足夠的數據可顯示此資訊。
Web 內容篩選摘要卡片
此卡片會顯示跨不同父系 Web 內容類別的封鎖存取嘗試散發。 選取其中一個彩色橫條,以檢視特定父系 Web 類別的詳細資訊。
Web 活動摘要卡片
此卡片會顯示所有 URL 中 Web 內容的要求總數。
檢視卡片詳細數據
您可以從卡片中的圖表中選取數據表列或彩色條形圖,以存取每張卡片的報表 詳細 數據。 每張卡片的報表詳細數據頁面都包含有關 Web 內容類別、網站網域和裝置群組的廣泛統計數據。
Web 類別:列出已在組織中嘗試存取的 Web 內容類別。 選取特定類別以開啟摘要飛出視窗。
網域:列出已在組織中存取或封鎖的 Web 網域。 選取特定網域以檢視該網域的詳細資訊。
裝置群組:列出已在組織中產生 Web 活動的所有裝置群組
使用頁面左上方的時間範圍篩選來選取時間週期。 您也可以篩選資訊或自訂資料行。 選取數據列以開啟飛出視窗窗格,其中包含更多有關所選項目的資訊。
已知問題和限制
網路保護目前不支援 SSL 檢查,這可能會導致一些網站被通常會封鎖的 Web 內容篩選所允許。 在進行 TLS 交握之後,由於對加密流量的可見度不足,且無法剖析特定重新導向,因此允許網站。 這包括從某些網頁型郵件登入頁面重新導向至信箱頁面。 作為可接受的因應措施,您可以為登入頁面建立自定義區塊指示器,以確保沒有任何用戶能夠存取網站。 請記住,這可能會封鎖其對與相同網站相關聯之其他服務的存取。
如果您使用 Microsoft 365 商務進階版或 Microsoft Defender for Business,您可以為您的環境定義一個 Web 內容篩選原則。 該原則預設會套用至所有使用者。
另請參閱
提示
想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。