工作階段原則
適用於雲端的 Microsoft Defender 應用程式會話原則提供雲端應用程式的細微可見度,並提供即時的會話層級監視。 根據您為用戶會話設定的原則,使用會話原則採取不同的動作。
不要 完全允許或封鎖存取,而是使用會話控制原則在監視會話時允許存取。 您也可以使用條件式存取應用程控的反向 Proxy 支援來限制特定工作階段活動。
例如,您可能會決定要允許使用者從非受控裝置存取應用程式,或從來自特定位置的會話存取應用程式。 不過,您想要限制敏感性檔案的下載,或要求特定檔在下載時受到保護。
工作階段原則可讓您設定使用者工作階段控制項、設定存取等等:
注意
- 套用的原則數目沒有限制。
- 您為主應用程式建立的原則與任何相關資源應用程式之間沒有連線。 例如,您為Teams、Exchange或 Gmail 建立的會話原則未連線到 Sharepoint、OneDrive 或 Google Drive。 如果您需要資源應用程式的原則,以及主機應用程式,請建立個別的原則。
使用工作階段原則的必要條件
開始之前,請確定您具備下列必要條件:
適用於雲端的 Defender Apps 授權(獨立或另一個授權的一部分)
Microsoft Entra ID P1 的授權(獨立授權或 E5 授權),或識別提供者 (IdP) 解決方案所需的授權
相關的應用程式應該要部署條件式存取應用程式控制
請確定您已將 IdP 解決方案設定為使用 適用於雲端的 Defender Apps,如下所示:
- 如需 Microsoft Entra 條件式存取,請參閱 設定與 Microsoft Entra 識別碼的整合
- 如需其他 IdP 解決方案,請參閱 設定與其他 IdP 解決方案的整合
建立 適用於雲端的 Defender 應用程式會話原則
使用下列步驟來建立新的會話原則:
在 Microsoft Defender 入口網站的 [Cloud Apps] 下,移至 [原則 -> 原則管理]。 然後選取 [ 條件式存取 ] 索引標籤。
選取 [建立原則 ],然後選取 [ 會話原則]。 例如:
在 [工作階段原則] 視窗中,指派原則的名稱,例如「封鎖下載 Box 行銷使用者機密文件」。
在 [ 工作階段控件類型] 欄位中,選取:
如果您只想要依使用者監視活動,請選取 [僅監視]。 此選取專案會為您選取的應用程式建立 [僅監視] 原則,就是所有登入。
如果您想要監視用戶活動,請選取 [控制檔案下載] (檢查)。 您可以採取更多動作,例如封鎖或保護用戶的下載。
選取 [封鎖活動] 以封鎖特定活動,您可以使用 [活動類型] 篩選來選取要封鎖的活動。 來自所選應用程式的所有活動都會受到監視(並在活動記錄中報告)。 如果您選取 [封鎖] 動作,則會封鎖您選取的特定活動。 如果您選取 [稽核] 動作並開啟警示,則選取的特定活動會引發警示。
在 [符合下列所有] 區段的活動來源底下,選取要套用至原則的更多活動篩選。 這些篩選可包含下列選項:
裝置標記:用以篩選識別受管理的裝置。
位置:用以篩選識別不明 (所以有風險) 的位置。
IP 位址:用這個篩選依 IP 位址篩選,或使用之前指派的 IP 位址標記篩選。
使用者代理程式標記:用以篩選啟用啟發學習法,以識別行動裝置及桌面應用程式。 此篩選可設為等於或不等於原生用戶端。 建議您為每個雲端應用程式,針對您的行動應用程式和傳統型應用程式測試此篩選。
活動類型:使用此篩選來選取要控制的特定活動,例如:
列印
剪貼簿動作:複製、剪下和貼上
在 Teams、Slack 和 Salesforce 等應用程式中傳送專案
在各種應用程式中共用和取消共享專案
編輯各種應用程式中的專案
例如,在您的條件中使用傳送項目活動來攔截嘗試在 Teams 聊天或 Slack 頻道中傳送資訊的使用者,並在訊息包含密碼或其他認證等敏感性資訊時封鎖訊息。
注意
會話原則不支援行動和傳統型應用程式。 透過建立存取原則,也可以封鎖或允許行動應用程式和桌面應用程式。
如果您選擇了 [控制檔案下載] 選項 (檢查時):
在 [符合下列所有區段的檔案] 底下,選取要套用至原則的更多檔案篩選。 這些篩選可包含下列選項:
敏感度標籤 - 如果您的組織使用 Microsoft Purview 資訊保護,且您的數據已受到其敏感度標籤的保護,請使用此篩選器。 您可以根據套用至檔案的敏感度標籤來篩選檔案。 如需與 Microsoft Purview 資訊保護整合的詳細資訊,請參閱 Microsoft Purview 資訊保護 整合。
檔案名稱 - 使用此篩選將原則套用至特定的檔案。
檔案類型 - 使用此篩選將原則套用至特定的檔案類型,例如,封鎖下載所有的 .xls 檔案。
在 [內容檢查] 區段中,設定是否啟用 DLP 引擎掃描文件及檔案內容。
在 [動作] 下選取下列其中一個項目:
若要以電子郵件傳送警示,請選取 [為每個符合原則嚴重性 的事件建立警示],並設定警示限制。
通知使用者:當您建立會話原則時,符合原則的每個使用者會話都會重新導向至會話控件,而不是直接導向至應用程式。
使用者會看到監視通知,知道他們的工作階段受到監視。 如果您不想要通知使用者告知他們受到監視,您可以停用通知訊息。
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。
然後,在 [條件式存取應用程式控制] 下,選取 [使用者監視] 並取消選取 [通知使用者] 核取方塊。
監視記錄:為了在會話中保留使用者,條件式存取應用程控會以 適用於雲端的 Microsoft Defender Apps URL 取代應用程式會話內所有相關的 URL、Java 腳本和 Cookie。 例如,如果應用程式傳回含有網域結尾為 myapp.com 的連結頁面,條件式存取應用程控會將連結取代為結尾為 類似 之
myapp.com.mcas.ms網域的連結。 如此一來,適用於雲端的 Defender 應用程式會監視整個會話。
匯出雲端探索記錄
條件式存取應用程式控制會記錄每個經它路由的使用者工作階段流量記錄。 流量記錄包含時間、IP、使用者代理程式、前往過的 URL,以及上傳和下載的位元組數。 系統會分析這些記錄並連續報告,適用於雲端的 Defender 應用程式條件式存取應用程控,新增至 Cloud Discovery 儀錶板中的 Cloud Discovery 報告清單。
若要從 Cloud Discovery 儀錶板匯出 Cloud Discovery 記錄:
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。 在 連線 的應用程式下,選取 [條件式存取應用程控]。
在數據表上方,選取 [匯出] 按鈕。 例如:
選取報表的範圍,然後選取 [ 導出]。 此程序可能需要一些時間。
若要在報表就緒之後下載導出的記錄檔,請在 Microsoft Defender 入口網站中移至 [報表 -> 雲端應用程式],然後匯出報表。
在數據表中,從條件式存取應用程控流量記錄清單中選取相關報告,然後選取 [下載]。 例如:
全部監視
只監視活動監視器登入活動,而且不會傳送任何警示。
若要監視其他活動,請選取 稽核 動作,在此情況下,系統會根據您的原則傳送警示。 不論原則是否相符,稽核動作中的活動都會受到監視和記錄。
注意
若要監視除了下載和上傳以外的其他活動,監視原則中每個活動原則必須至少有一個區塊。
封鎖所有下載
當 [封鎖] 設定為您想要在 適用於雲端的 Defender Apps 會話原則中採取的動作時,條件式存取應用程控可防止使用者根據原則的檔案篩選下載檔。 適用於雲端的 Defender 應用程式會在使用者開始下載時,辨識每個應用程式的下載事件。 條件式存取應用程式控制可即時介入以防止執行。 收到使用者已起始下載的訊號時,條件式存取應用程式控制會將下載限制訊息傳回給使用者,並以文字檔案取代下載的檔案。 您可以從工作階段原則,設定及自訂傳送給使用者的文字檔訊息。
需要逐步驗證 (驗證內容)
當會話控件類型設定為 [封鎖活動]、[控制檔案下載]、[使用檢查]、[控制檔案上傳] 時,您可以選取 [需要逐步驗證] 的動作。 選取此動作時,每當選取的活動發生時,適用於雲端的 Defender 應用程式會將會話重新導向至原則重新評估的 Microsoft Entra 條件式存取。 根據 Microsoft Entra 識別符中設定的驗證內容,可以在會話期間檢查多重要素驗證和裝置合規性等宣告。
封鎖特定活動
當 [封鎖活動] 設定為 [活動類型] 時,您可以選取要在特定應用程式中封鎖的特定活動。 來自所選應用程式的所有活動都會在活動記錄檔中受到監視和報告。 如果您選取 [封鎖] 動作,則會封鎖您選取的特定活動。 如果您選取 [稽核] 動作並開啟警示,您選取的特定活動會引發警示。
封鎖活動的範例包括:
- 傳送 Teams 訊息:用來封鎖從 Microsoft Teams 傳送的郵件,或封鎖包含特定內容的 Teams 訊息
- 列印:使用它來封鎖列印動作
- 複製:使用它來封鎖複製到剪貼簿動作,或只封鎖特定內容的複製
封鎖特定活動並將其套用至特定群組,以針對您的組織建立全面的唯讀模式。
在下載時保護檔案
選取 [封鎖活動] 以封鎖特定活動,您可以使用 [活動類型] 篩選來找出要封鎖的活動。 來自所選應用程式的所有活動都會受到監視(並在活動記錄中報告)。 如果您選取 [封鎖] 動作,則會封鎖您選取的特定活動。 如果您選取 [稽核] 動作並開啟警示,您選取的特定活動會引發警示。
當 [保護] 設定為在 適用於雲端的 Defender Apps 會話原則中要採取的動作時,條件式存取應用程控會根據原則的檔案篩選強制執行檔案的卷標和後續保護。 卷標是在 Microsoft Purview 合規性入口網站 中設定,而且標籤必須設定為套用加密,才能在 適用於雲端的 Defender Apps 原則中顯示為選項。
當您選取特定標籤,且使用者下載符合原則準則的檔案時,標籤和任何對應的保護和許可權會套用至檔案。
原始檔案仍保持在雲端應用程式中的狀況,而下載的檔案受到保護。 嘗試存取該檔案的使用者必須符合套用保護所決定的權限需求。
適用於雲端的 Defender Apps 目前支援針對下列檔類型,從 Microsoft Purview 資訊保護 套用敏感度標籤:
- Word:docm、docx、dotm、dotx
- Excel:xlam、xlsm、xlsx、xltx
- PowerPoint:potm、potx、ppsx、ppsm、pptm、pptx
注意
- 針對 PDF,您必須使用統一標籤。
- 無法在會話原則中使用 [保護] 選項覆寫已經有現有標籤的檔案。
保護機密檔案上傳
當 [控制檔案上傳] 設定為 適用於雲端的 Defender Apps 會話原則中的會話控件類型時,條件式存取應用程控可防止使用者根據原則的檔案篩選上傳檔案。 辨識上傳事件時,條件式存取應用程控會即時介入,以判斷檔案是否敏感且需要保護。 如果檔案具有敏感數據且沒有適當的標籤,則會封鎖檔案上傳。
例如,您可以建立原則來掃描檔案的內容,以判斷它是否包含敏感性內容比對,例如社會安全號碼。 如果它包含敏感性內容,且未加上 Microsoft Purview 資訊保護 機密標籤的標籤,則會封鎖檔案上傳。 當檔案遭到封鎖時,您可以 向用戶顯示自定義訊息, 指示他們如何為檔案加上標籤,以便上傳檔案。 如此一來,您可確保儲存在雲端應用程式中的檔案符合您的原則。
封鎖上傳時惡意代碼
當 [控制檔案上傳] 設定為 [會話控制類型],並將 [惡意代碼偵測] 設定為 適用於雲端的 Defender Apps 會話原則中的 [檢查方法] 時,條件式存取應用程控會防止使用者在偵測到惡意代碼時即時上傳檔案。 使用 Microsoft 威脅情報引擎掃描檔案。
您可以使用活動記錄中偵測到的潛在惡意代碼篩選,檢視標示為潛在惡意代碼的檔案。
您也可以設定工作階段原則來封鎖下載時惡意代碼。
教育用戶保護敏感性檔案
請務必在使用者違反原則時教育使用者,讓他們瞭解如何遵守您的組織原則。
由於每個企業都有獨特的需求和原則,適用於雲端的 Defender Apps 可讓您自定義原則的篩選條件,以及偵測到違規時向用戶顯示的訊息。
您可以提供特定指引給使用者,例如提供如何適當標記檔案的指示,或如何註冊非受控裝置,以確保已成功上傳檔案。
例如,如果用戶上傳沒有敏感度標籤的檔案,則可以顯示訊息,說明檔案包含需要適當標籤的敏感性內容。 同樣地,如果用戶嘗試從非受控裝置上傳檔,則可以顯示一則訊息,其中包含如何註冊該裝置的指示,或提供裝置為何必須註冊的進一步說明的訊息。
原則相衝突
當兩個原則之間發生衝突時,較嚴格的原則就會獲勝。 例如:
如果使用者會話的範圍是 封鎖下載 原則和 下載 原則時的標籤,則會封鎖檔案下載動作。
如果使用者會話的範圍設定為 [封鎖下載 原則] 和 [ 稽核下載 原則],則會封鎖檔案下載動作。
下一步
如需詳細資訊,請參閱
如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證。