教學課程：使用條件式存取應用程控封鎖下載敏感性資訊

現今的 IT 系統管理員處於進退兩難的局面。 您想要讓員工更具生產力。 這表示允許員工存取應用程式，讓他們可以透過任何裝置隨時工作。 不過，您想保護公司的資產，包括專屬和特殊權限資訊。 您該如何讓員工存取雲端應用程式，同時又能保護資料？ 對於可以從非受控裝置或非公司網路位置存取企業雲端應用程式中敏感性資料的使用者，本教學課程可讓您防止他們下載資料。

在本教學課程中，您將了解如何：

• 建立 Unmanaged 裝置的封鎖下載原則
• 驗證您的原則

威脅

貴組織的帳戶管理員於週末時，想要在家用他個人的膝上型電腦檢查 Salesforce 的內容。 此 Salesforce 資料可能包括用戶端的信用卡資訊或個人資訊。 家用電腦非受控。 如果從 Salesforce 將文件下載至電腦，可能會受惡意程式碼感染。 如果裝置遺失或遭竊，它可能不會受到密碼保護，而且任何發現裝置的人都可以存取機密資訊。

解決方案

藉由監視及控制雲端應用程式搭配任何 IdP 解決方案和 適用於雲端的 Defender Apps 條件式存取應用程控，保護您的組織。

必要條件

• Microsoft Entra ID P1 授權的有效授權，或識別提供者 （IdP） 解決方案所需的授權

• 使用下列其中一種驗證通訊協定來設定雲端應用程式以進行 SSO：

  IdP	通訊協定
  Microsoft Entra ID	SAML 2.0 或 OpenID 連線
  其他	SAML 2.0

• 請確定應用程式已部署至 適用於雲端的 Defender Apps

建立未受管理裝置的封鎖下載原則

適用於雲端的 Defender Apps 會話原則可讓您根據裝置狀態限制會話。 若要使用其裝置作為條件來達成工作階段的控制，請同時建立條件式存取原則和工作階段原則。

若要建立條件式存取原則，請遵循建立 適用於雲端的 Defender 應用程式存取原則中的步驟。 本教學課程將說明如何建立會話原則。

步驟 1：將您的 IdP 設定為使用 適用於雲端的 Defender Apps

請確定您已將 IdP 解決方案設定為使用 適用於雲端的 Defender Apps，如下所示：

• 如需 Microsoft Entra 條件式存取，請參閱 設定與 Microsoft Entra 識別碼的整合
• 如需其他 IdP 解決方案，請參閱 設定與其他 IdP 解決方案的整合

完成這項工作之後，請移至 適用於雲端的 Defender Apps 入口網站，並建立會話原則以監視和控制會話中的檔案下載。

步驟 2：建立工作階段原則

1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 底下，移至 [原則]，然後選取 [原則管理]。

2. 在 [ 原則] 頁面中，選取 [建立原則 ]，然後選取 [ 會話原則]。

3. 在 [建立工作階段原則] 頁面上，為您的原則提供名稱和描述。 例如，封鎖未受管理裝置的 Salesforce 下載。

4. 指派 [原則嚴重性] 和 [類別]。

5. 針對 [工作階段] 控制檔案下載】 （檢查時）。 此設定可讓您監視使用者在 Salesforce 工作階段中執行的所有作業，並讓您即時控制封鎖與保護下載。

6. 在 [符合下列所有條件的活動] 區段的 [活動來源] 下，選取篩選：

   • 裝置標籤：選取 [不相等]。 然後選取 [Intune 兼容]、 [已加入 Microsoft Entra 混合式] 或 [有效的客戶端憑證]。 選取內容取決於貴組織中用來識別受控裝置的方法。

   • 應用程式：選取您想要控制的應用程式。

   • 使用者：選取您想要監視的使用者。

7. 或者，您可以封鎖不屬於貴公司網路位置的下載。 在 [符合下列所有條件的活動] 區段的 [活動來源] 下，設定下列篩選：

   • IP 位址 或 位置：您可以使用這兩個參數之一來識別使用者可能嘗試存取敏感數據的非公司或未知位置。

   注意

   如果您要封鎖從非受控裝置和非公司位置的下載，則必須建立兩個工作階段原則。 其中一個原則使用位置來設定 [活動來源]。 另一個原則將 [活動來源] 設定為非受控裝置。

   • 應用程式：選取您想要控制的應用程式。

   • 使用者：選取您想要監視的使用者。

8. 在 [符合下列所有條件的檔案] 區段的 [活動來源] 下，設定下列篩選條件：

   • 敏感度標籤：如果您使用來自 Microsoft Purview 資訊保護 的敏感度標籤，請根據特定 Microsoft Purview 資訊保護 敏感度標籤篩選檔案。

   • 選取 [檔案名稱] 或 [檔案類型]，以根據檔案名稱或類型套用限制。

9. 啟用 [內容檢查]，以啟用內部 DLP 來掃描檔案中是否有敏感內容。

10. 在 [動作] 下，選取 [封鎖]。 自訂使用者在無法下載檔案時將收到的封鎖訊息。

11. 設定符合原則時想要收到的警示。 您可以設定限制，以免收到過多警示。 選取是否要以電子郵件訊息的形式取得警示。

12. 選取 建立。

驗證原則

1. 若要模擬封鎖的檔案下載，請從非受控裝置或非公司網路位置，登入應用程式。 然後，嘗試下載檔案。

2. 檔案應該會被封鎖，而您應該會收到在 [自訂封鎖訊息] 下所設定的訊息。

3. 在 Microsoft Defender 入口網站的 [Cloud Apps] 底下，移至 [原則]，然後選取 [原則管理]。 然後選取您已建立的原則，以檢視原則報告。 工作階段原則相符項目應該很快就會出現。

4. 在原則報告中，您可以看到哪些登入已重新導向至 適用於雲端的 Microsoft Defender Apps 以進行會話控制，以及哪些檔案已從受監視的會話下載或封鎖。

下一步

如何建立存取原則

如何建立會話原則

如果您遇到任何問題，我們會在這裡提供説明。 若要取得產品問題的協助或支援，請 開啟支援票證。