建立 適用於雲端的 Microsoft Defender 應用程式會話原則
適用於雲端的 Microsoft Defender 應用程式會話原則可透過即時的會話層級監視,提供雲端應用程式的細微可見性。 根據您為用戶會話設定的原則,使用會話原則採取各種動作。
相較於 完全允許或封鎖存取的存取原則,會話原則允許在監視會話時存取。 將條件式存取應用程控新增至您的會話原則,以限制特定的會話活動。
例如,您可能想要允許使用者從非受控裝置或從特定位置存取應用程式。 不過,您可能想要限制在這些會話期間下載敏感性檔案,或要求特定檔在結束應用程式時,防止下載、上傳或複製。
為主機應用程式建立的原則不會連線到任何相關的資源應用程式。 例如,您為 Teams、Exchange 或 Gmail 建立的存取原則未連線到 SharePoint、OneDrive 或 Google Drive。 如果您需要資源應用程式的原則,以及主機應用程式,請建立個別的原則。
套用的原則數目沒有限制。
必要條件
開始之前,請確定您具備下列必要條件:
適用於雲端的 Defender Apps 授權,可以是獨立授權或另一個授權的一部分
Microsoft Entra ID P1 的授權,可以是獨立授權或另一個授權的一部分。
如果您使用非Microsoft IdP,則身分識別提供者 (IdP) 解決方案所需的授權。
已上線至條件式存取應用程控的相關應用程式。 Microsoft Entra ID 應用程式會自動上線,而非Microsoft IdP 應用程式必須手動上線。
如果您使用非Microsoft IdP,請確定您也已將IdP設定為使用 適用於雲端的 Microsoft Defender Apps。 如需詳細資訊,請參閱
為了讓會話原則能夠運作,您也必須有一個Microsoft Entra ID 條件式存取原則,這會建立控制流量的許可權。
範例:建立Microsoft專案標識符條件式存取原則以搭配 適用於雲端的 Defender Apps 使用
此程式提供如何建立條件式存取原則以搭配 適用於雲端的 Defender Apps 使用的高階範例。
在 [Microsoft專案標識符條件式存取] 中,選取 [ 建立新原則]。
為您的原則輸入有意義的名稱,然後選取 [會話] 底下的連結,以將控件新增至您的原則。
在 [ 工作階段] 區域中,選取 [ 使用條件式存取應用程控]。
在 [ 使用者] 區域中,選取以包含所有使用者,或僅限特定使用者和群組。
在 [ 條件 ] 和 [用戶端應用程式] 區域中,選取您想要包含在原則中的條件和用戶端應用程式。
將僅限報表切換至 [開啟] 以儲存原則,然後選取 [建立]。
Microsoft Entra ID 同時支援瀏覽器型和非瀏覽器型原則。 建議您建立這兩種類型,以提高安全性涵蓋範圍。
重複此程式以建立以非瀏覽器為基礎的條件式存取原則。 在 [ 用戶端應用程式] 區域中,將 [ 設定 ] 選項切換為 [ 是]。 然後,在 [新式驗證用戶端] 下,清除 [瀏覽器] 選項。 保留所有其他預設選取專案。
注意:條件式存取應用程控服務會在內部使用企業應用程式「適用於雲端的 Microsoft Defender 應用程式 – 會話控件」。 請確定 CA 原則不會限制在目標資源中存取此應用程式。
如需詳細資訊,請參閱 條件式存取原則 和 建置條件式存取原則。
建立 適用於雲端的 Defender 應用程式會話原則
此程式描述如何在 適用於雲端的 Defender Apps 中建立新的會話原則。
在 Microsoft Defender 全面偵測回應 中,選取 [雲端應用程式原則>>原則管理>條件式存取] 索引卷標。
選取 [建立原則>會話原則]。 例如:
![[建立條件式存取原則] 頁面的螢幕快照。](media/create-policy-from-conditional-access-tab.png)
在 [ 建立會話原則] 頁面上,從 [ 原則範本 ] 下拉式清單中選取範本,或手動輸入所有詳細數據開始。
輸入下列原則的基本資訊。 如果您使用範本,大部分的內容都已為您填入。
名稱 描述 原則名稱 原則的有意義名稱,例如 [封鎖下載營銷使用者的敏感性檔] 方塊 原則嚴重性 選取您想要套用至原則的嚴重性。 類別 選取您要套用的類別。 說明 為您的原則輸入選擇性且有意義的描述,以協助小組瞭解其用途。 會話控件類型 選取下列其中一個選項:
- 僅監視。 僅監視用戶活動,並針對您選取的應用程式建立 僅限 監視原則。
- 封鎖活動。 封鎖活動類型篩選所定義的特定活動。 來自所選應用程式的所有活動都會在活動記錄檔中受到監視和報告。
- 控制檔案下載 (檢查) 。 監視檔案下載,並可與其他動作結合,例如封鎖或保護下載。
- 控制檔案上傳 (檢查) 。 監視檔案上傳,並可與其他動作結合,例如封鎖或保護上傳。
如需詳細資訊,請參閱 會話原則的支持活動。在 符合下列 所有區域的活動中,選取要套用至原則的其他活動篩選。 篩選包括下列選項:
名稱 描述 活動類型 選取您要套用的活動類型,例如:
-印刷
- 剪貼簿動作,例如剪下、複製、貼上
- 在支援的應用程式中傳送、共用、取消共用或編輯專案。
例如,在您的 條件中使用傳送項目 活動來攔截嘗試在 Teams 聊天或 Slack 頻道中傳送資訊的使用者,並在訊息包含密碼或其他認證等敏感性資訊時封鎖訊息。應用程式 篩選要包含在原則中的特定應用程式。 選取應用程式,方法是先針對非Microsoft IdP 應用程式選取 [自動化 Azure AD 上線]、[Microsoft Entra ID 應用程式] 或 [手動上線]。 然後,從清單中選取您想要包含在篩選中的應用程式。
如果您的非Microsoft IdP 應用程式從清單中遺失,請確定您已完整上線。 如需詳細資訊,請參閱:
- 針對條件式存取應用程控將非Microsoft IdP 目錄應用程序上線。
- 針對條件式存取應用程控將非Microsoft IdP 自定義應用程序上線
如果您選擇不使用應用程式篩選器,原則會套用至 [設定>雲端應用程式>連線>應用程式] 條件式存取應用程控應用程式頁面上標示為 [已啟用] 的所有應用程式。
注意:您可能會在上線的應用程式和需要手動上線的應用程式之間看到一些重疊。 如果應用程式之間的篩選發生衝突,手動上線的應用程式會優先。裝置 篩選裝置標籤,例如特定裝置管理方法,或裝置類型,例如電腦、行動裝置或平板電腦。 IP 位址 篩選每個IP位址,或使用先前指派的IP位址標籤。 地點 依地理位置進行篩選。 沒有明確定義的位置可能會識別有風險的活動。 已註冊的 ISP 篩選來自特定 ISP 的活動。 使用者 篩選特定用戶或使用者群組。 使用者代理程式字串 篩選特定使用者代理程式字串。 使用者代理程式標籤 篩選使用者代理程式標籤,例如過時的瀏覽器或作業系統。 例如:
選取 [編輯] 和 [預覽結果 ],以取得使用您目前選取專案傳回的活動類型預覽。
設定任何特定會話控件類型可用的額外選項。
例如,如果您選取 [ 封鎖活動],請選取 [ 使用內容檢查 來檢查活動內容],然後視需要設定您的設定。 在此情況下,您可能會想要檢查包含特定表達式的文字,例如社會安全號碼。
如果您選取 [控制檔案下載] 或 [使用檢查] 或 [控制檔案上傳],請設定符合下列所有設定的檔案。
設定下列其中一個檔案篩選:
名稱 描述 敏感度標籤 如果您也使用 Microsoft Purview,且您的數據受到其敏感度標籤的保護,請依 Microsoft Purview 資訊保護 敏感度標籤進行篩選。 檔案名稱 篩選特定檔案。 副檔名 篩選特定文件類型,例如,封鎖下載所有.xls檔案。 檔案大小 (MB) 篩選特定檔案大小,例如大型或小型檔案。 -
- 選取是否要將原則套用至所有檔案,或只套用指定資料夾中的檔案
- 選取要使用的檢查方法,例如數據分類服務或惡意代碼。 如需詳細資訊,請參閱 Microsoft數據分類服務整合。
- 為您的原則設定更詳細的選項,例如以指紋或可訓練分類器等元素為基礎的案例。
-
名稱 描述 稽核 監視所有活動。 選取即可根據您設定的原則篩選明確允許下載。 封鎖 封鎖檔案下載並監視所有活動。 選取即可根據您設定的原則篩選來明確封鎖下載。
封鎖原則也可讓您選取以電子郵件通知使用者,以及自定義封鎖訊息。保護 將敏感度標籤套用至下載並監視所有活動。 只有在您選取 [控件檔案下載] 時才能使用(檢查檢查)。
如果您使用 Microsoft Purview 資訊保護,您也可以選取將敏感度標籤套用至相符的檔案、將自定義許可權套用至使用者下載檔案,或封鎖下載特定檔案。
如果您有Microsoft Entra ID 條件式存取原則,您也可以選取需要逐步驗證 (預覽)。您可以選擇性地選取 [永遠套用選取的動作],即使原則所需的數據無法掃描 選項也一樣。
在 [ 警示] 區域中,視需要設定下列任何動作:
- 使用原則嚴重性為每個相符事件建立警示
- 以電子郵件傳送警示
- 每個原則的每日警示限制
- 將警示傳送至 Power Automate
完成時,選取建立。
測試您的原則
建立工作階段原則之後,請重新驗證原則中設定的每個應用程式,並測試您在原則中設定的案例,以進行測試。
建議您:
- 重新驗證您的應用程式之前,請先註銷所有現有的工作階段。
- 從受控和非受控裝置登入行動裝置和桌面應用程式,以確保活動記錄檔中已完全擷取活動。
請務必使用符合原則的使用者登入。
若要在應用程式中測試您的原則:
檢查鎖定
圖示是否出現在瀏覽器中,或如果您正在Microsoft Edge 以外的瀏覽器中工作,請檢查您的應用程式URL是否包含 .mcas後綴。 如需詳細資訊,請參閱 使用 Microsoft Edge for Business 的瀏覽器內保護 (預覽版) 。請瀏覽屬於使用者工作程式一部分之應用程式內的所有頁面,並確認頁面正確轉譯。
執行下載和上傳檔案等常見動作,確認應用程式的行為和功能不會受到負面影響。
如果您正在使用自定義、非Microsoft IdP 應用程式,請檢查您 為應用程式手動新增的每個網域。
如果您遇到錯誤或問題,請使用系統管理員工具列來收集資源,例如 .har 檔案和記錄的會話,以提出支援票證。
若要檢查 Microsoft Defender 全面偵測回應 中的更新:
在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,移至 [原則],然後選取 [原則管理]。
選取您已建立的原則,以檢視原則報告。 工作階段原則相符項目應該很快就會出現。
原則報告會顯示哪些登入已重新導向至會話控件的 適用於雲端的 Microsoft Defender Apps,以及任何其他動作,例如哪些檔案已從受監視的會話下載或封鎖。
關閉使用者通知設定
根據預設,使用者會在監視其會話時收到通知。 如果您想要讓使用者未收到通知,或自定義通知訊息,請設定通知設定。
在 [Microsoft Defender 全面偵測回應] 中,選取 [設定雲端應用程式>條件式存取應用程控>使用者監視>]。
進行下列其中一項選擇:
- 清除 [ 通知使用者正在監視 其活動] 選項
- 保留選取範圍,然後選取以使用預設訊息或自定義您的訊息。
選取 [ 預覽] 連結,即可在新的瀏覽器索引標籤中檢視已設定訊息的範例。
匯出雲端探索記錄
條件式存取應用程式控制會記錄每個經它路由的使用者工作階段流量記錄。 流量記錄包含時間、IP、使用者代理程式、前往過的 URL,以及上傳和下載的位元組數。 系統會分析這些記錄並連續報告,適用於雲端的 Defender 應用程式條件式存取應用程控,會新增至雲端探索儀錶板中的雲端探索報告清單。
若要從雲端探索儀錶板導出雲端探索記錄:
在 Microsoft Defender 入口網站中,選取 [ 設定]。 然後選擇 [ 雲端應用程式]。 在 [已連線的應用程式] 下,選取 [條件式存取應用程控]。
在數據表上方,選取 [匯出] 按鈕。 例如:
選取報表的範圍,然後選取 [ 導出]。 此程序可能需要一些時間。
若要在報表就緒之後下載導出的記錄檔,請在 Microsoft Defender 入口網站中移至 [報告 -> Cloud Apps ],然後 匯出報表。
在數據表中,從條件式存取應用程控流量記錄清單中選取相關報告,然後選取 [下載]。 例如:
會話原則的支持活動
下列各節提供 適用於雲端的 Defender 應用程式會話原則所支援之每個活動的詳細數據。
僅監視
[僅監視會話] 控件類型只會監視登入活動。
若要監視其他活動,請選取其他會話控件類型之一,並使用稽核動作。
若要監視下載和上傳以外的活動,您必須在監視原則中至少有一個每個活動原則的區塊。
封鎖所有下載
當 [控制檔案下載] 設定為會話控件類型,而 [封鎖] 設定為動作時,條件式存取應用程控會防止使用者根據原則檔案篩選下載檔。
當使用者起始下載時, 使用者會出現下載限制 訊息,而下載的檔案會取代為文本檔。 視組織需要將文本檔的訊息設定給使用者。
需要逐步驗證
當會話控件類型設定為 [封鎖活動]、[控制檔案下載]、[檢查] 或 [控制檔案上傳] 時,可以使用 [需要逐步驗證] 動作。
選取此動作時,適用於雲端的 Defender 應用程式會在選取的活動發生時,將會話重新導向至Microsoft原則重新評估的 Entra 條件式存取。
使用此選項,根據設定的驗證內容,在會話期間檢查多重要素驗證和裝置合規性等宣告,Microsoft Entra ID。
封鎖特定活動
當 [封鎖活動] 設定為會話控件類型時,請選取要在特定應用程式中封鎖的特定活動。
來自已設定應用程式的所有活動都會在雲端應用程式>活動記錄中受到監視和報告。
若要封鎖特定活動,請進一步選取 [封鎖] 動作,然後選取您想要封鎖的活動。
若要針對特定活動引發警示,請選取 [稽核] 動作並設定您的警示設定。
例如,您可能想要封鎖下列活動:
已傳送Teams訊息。 封鎖使用者從 Microsoft Teams 傳送訊息,或封鎖包含特定內容的 Teams 訊息。
列印。 封鎖所有列印動作。
複製。 封鎖所有複製到剪貼簿動作,或只封鎖特定內容的複製。
在下載時保護檔案
選取 [封鎖活動工作階段] 控制項類型來封鎖您使用 [活動類型] 篩選定義的特定活動。
來自已設定應用程式的所有活動都會在雲端應用程式>活動記錄中受到監視和報告。
根據原則的檔案篩選,選取 [保護] 動作,以使用敏感度標籤和其他保護來保護檔案。
敏感度標籤設定於 Microsoft Purview 中,且必須設定為套用加密,才能在 適用於雲端的 Defender Apps 會話原則中顯示為選項。
當您使用特定標籤設定會話原則,且使用者下載符合原則準則的檔案時,標籤和任何對應的保護和許可權會套用至檔案上。
在下載的檔案受到保護時,源檔會維持在雲端應用程式中的狀態。 嘗試存取下載檔的用戶必須符合所套用保護所決定的許可權需求。
適用於雲端的 Defender Apps 目前支援針對下列檔類型,從 Microsoft Purview 資訊保護 套用敏感度標籤:
- Word:docm、docx、dotm、dotx
- Excel:xlam、xlsm、xlsx、xltx
- PowerPoint:potm、potx、ppsx、ppsm、pptm、pptx
注意
PDF 檔案必須加上統一標籤。
[ 保護] 選項不支援在會話原則中使用現有標籤覆寫檔案。
保護機密檔案上傳
選取 [控制檔案上傳] 會話控件類型,以防止使用者根據原則的檔案篩選上傳檔案。
如果上傳的檔案具有敏感數據且沒有正確的標籤,則會封鎖檔案上傳。
例如,建立原則來掃描檔案的內容,以判斷它是否包含敏感性內容比對,例如社會安全號碼。 如果它包含敏感性內容,且未加上 Microsoft Purview 資訊保護 機密標籤的標籤,則會封鎖檔案上傳。
封鎖上傳或下載的惡意代碼
選取 [控制檔案上傳] 或 [使用檢查 ] 或 [控制檔案下載] 作為 會話控件類型 ,並 選取 [惡意代碼偵測 ] 作為 檢查方法 ,以防止使用者上傳或下載含有惡意代碼的檔案。 使用Microsoft威脅情報引擎掃描檔案是否有惡意代碼。
篩選潛在惡意代碼偵測到的專案,以檢視雲端應用程式>活動記錄中標示為潛在惡意代碼的任何檔案。 如需詳細資訊,請參閱 活動篩選和查詢。
教育用戶保護敏感性檔案
建議您在使用者違反您的原則時教育使用者,讓他們瞭解如何符合貴組織的需求。
由於每個企業都有獨特的需求和原則,適用於雲端的 Defender Apps 可讓您自定義原則的篩選條件,以及偵測到違規時向用戶顯示的訊息。
提供特定指引給使用者,例如提供如何適當標記檔案的指示,或如何註冊非受控裝置,以確保已成功上傳檔案。
例如,如果用戶上傳沒有敏感度卷標的檔案,請設定要顯示的訊息,說明檔案包含敏感性內容,而且需要適當的標籤。 同樣地,如果用戶嘗試從非受控裝置上傳檔,請設定訊息以說明如何註冊該裝置,或說明裝置為何必須註冊的指示。
會話原則中的訪問控制
許多組織選擇使用雲端應用程式的會話控制工作階段內活動,也套用存取控制來封鎖同一組內建行動和桌面用戶端應用程式,從而為應用程式提供完整的安全性。
將 [用戶端應用程式篩選條件] 設定為 [行動裝置和桌面],以封鎖使用存取原則的內建行動和桌面用戶端應用程式的存取。 某些內建用戶端應用程式可以個別辨識,而屬於一組應用程式的其他應用程式只能識別為其最上層應用程式。 例如,SharePoint Online 等應用程式只能藉由建立套用至 Microsoft 365 應用程式的存取原則來辨識。
注意
除非用戶端應用程式篩選器特別設定為 [行動和桌面],否則產生的存取原則只會套用至瀏覽器會話。 這是為了防止不小心 Proxy 化用戶會話。
雖然大部分的主要瀏覽器都支援執行用戶端憑證檢查,但某些行動裝置和桌面應用程式使用可能不支援這項檢查的內建瀏覽器。 因此,使用此篩選可能會影響這些應用程式的驗證。
原則相衝突
當兩個會話原則之間發生衝突時,較嚴格的原則就會獲勝。
例如:
- 如果用戶會話符合封鎖下載的原則
- 以及檔案在下載時加上標籤的原則,或稽核下載的位置,
- 檔案下載選項會遭到封鎖,以符合更嚴格的原則。
相關內容
如需詳細資訊,請參閱
如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證。