建立檔案政策以過濾網路檔案內容（預覽）

全球安全存取支援透過檔案政策進行網路內容過濾。 此功能有助於防止非預期資料外洩，並防止線上資料外洩至生成式 AI 應用程式及網路平台。 透過全球安全存取（Global Secure Access）將資料保護功能擴展至網路層，網路內容過濾使您的組織能即時執行網路流量的資料政策。 你可以發現並保護與未經授權的平台共享的檔案，例如生成式 AI 和未受管理的雲端應用程式，透過瀏覽器、應用程式、外掛程式、API 等受管端點。

網路內容過濾解決方案結合了 Microsoft Purview 的資料分類服務與 Global Secure Access 中以身份為中心的網路安全政策。 這種組合創造了先進的網路層資料安全解決方案——資料遺失防護（DLP），以身份為中心且以政策為導向。 結合內容檢查與即時用戶風險評估，您可以在不犧牲使用者生產力或安全態勢的情況下，對敏感資料在網路中流動進行細緻控制。

高階架構

本文說明如何建立檔案政策，以過濾通過全球安全存取的網路流量。

這很重要

網路內容過濾搭配檔案政策的功能目前處於預覽階段。
這項資訊與發行前版本產品有關，在發行前可能會大幅修改。 Microsoft針對此處提供的資訊，不提供任何明示或默示擔保。

本次預覽中包含的劇本

此預覽支援以下 HTTP/1.1 流量的關鍵情境與結果：

• 使用 Basic 檔案政策，您可以根據支援的檔案 MIME 類型來阻擋檔案。
• 利用檔案政策中的 Scan with Purview 動作，您可以根據以下條件審核並封鎖檔案：
  • Microsoft Purview 敏感度標籤
  • 檔案中的敏感內容
  • 使用者的風險等級
• 你可以為規則匹配產生資料遺失防護（DLP）管理員警示。

這很重要

此預覽僅支援 HTTP/1.1 協定上的網路內容過濾。 它不支援網路內容過濾文字。

先決條件

要使用檔案政策功能，您需要以下先決條件：

• 一個有效的 Microsoft Entra 租戶。
• 產品需要授權。 如需詳細資訊，請參閱什麼是全球安全存取的授權一節。 如有需要，您可以購買授權或取得試用版授權。
  • 有效的 Microsoft Entra 網際網路接取授權。
  • 有效的 Microsoft Purview 授權，必須用於 Purview 檢查掃描。 （你可以在沒有 Purview 授權的情況下使用基本檔案政策。）
• 一位在 Microsoft Entra ID 中擔任 全球安全存取管理員 角色的使用者，負責設定全球安全存取設定。
• 條件存取管理員 角色用於設定條件式存取原則。
• 全球安全存取用戶端需要一台裝置（或虛擬機器），此裝置必須是 Microsoft Entra ID 加入或 Entra ID 混合加入。

初始設定

要設定檔案政策，請完成以下初步設定步驟：

1. 啟用網際網路接入流量轉發設定檔 ，並確保使用者分配正確。  
2. 設定傳輸層安全（TLS）檢查 政策。
3. 安裝並設定全球安全存取用戶端：
   1. 請在 Windows 或 macOS 安裝全球安全存取（Global Secure Access）用戶端。

      這很重要

      在繼續之前，請測試並確保您的客戶網路流量是經過全球安全存取（Global Secure Access）路由的。 要驗證用戶端設定，請參考以下章節的步驟。

   2. 選擇 全域安全存取 圖示，並選擇故障排除標籤。
   3. 在 進階診斷中，選擇 執行工具。
   4. 在全域安全存取進階診斷視窗中，選擇 「轉發設定檔 」標籤。
   5. 請確認網路 接入 規則在 規則 部分是否存在。 在啟用 Microsoft Entra 管理中心的網際網路存取流量設定後，此設定可能需要長達 15 分鐘才能套用到用戶端。
4. 確認你計畫使用檔案政策的網頁應用程式存取權。

設定檔案政策

要在全球安全存取中設定檔案政策，請完成以下步驟：

1. 建立檔案政策。
2. 將檔案政策連結到安全設定檔。
3. 設定條件存取政策。

建立檔案政策

1. 以全球安全存取管理員的身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 全球安全存取>安全>檔案政策。
3. 選取 [+ 建立原則]。 選擇合適的選項。
4. 在 [基本] 索引標籤上：
   1. 請輸入政策 名稱。
   2. 請輸入政策 說明。
   3. 選取 下一步。
5. 在 規則 標籤中：
   1. 新增一條規則。
   2. 請依適當方式輸入 姓名、 描述、 優先順序及 狀態 。
   3. 在 動作 選單中選擇適當的選項：
      • 要設定基本資料政策，請選擇 允許 或 封鎖。
      • 若要使用 Microsoft Purview 中設定的資料政策，請選擇 「用 Purview 掃描」。
   4. 對於 匹配條件，請選擇適當的 活動 與 檔案類型。
   5. 選擇 + 新增目的地 ，並選擇目的地選項。
6. 選取 下一步。
7. 在 [ 檢閱 ] 索引標籤上，檢閱您的設定。
8. 選取 [ 建立 ] 以建立原則。

備註

如果您選擇「用 Purview 掃描」動作，請確保您已透過 Microsoft Purview 設定對應的資料政策。

將檔案政策連結到安全設定檔

1. 流覽至 全域安全存取>安全>安全性設定檔。
2. 選擇你想修改的安全配置檔。
3. 切換到 連結政策 檢視。
4. 設定連結檔案政策：
   1. 選擇 + 鏈結現有檔案政策。
   2. 從 政策名稱 選單中，選擇你建立的檔案政策。
   3. 將 位置 和 狀態 設定為預設值。
   4. 選取 ，然後新增。
5. 關閉安全設定檔。

設定條件存取政策

為強制執行全球安全存取安全設定檔，請建立以下條件存取政策：

1. 登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [身分識別>保護>條件式存取]。
3. 選擇 + 建立新政策。
4. 將原則命名為 。
5. 選擇要套用該政策的使用者和群組。
6. 將 目標資源 設為 所有具有全球安全存取的網際網路資源。
7. 根據您的需求配置 網路、 條件及 補助 部分。
8. 在 會話中，選擇 使用全域安全存取安全設定檔 ，並選擇你所建立的安全設定檔。
9. 要建立政策，請選擇 「建立」。

欲了解更多資訊，請參閱 建立並連結條件存取政策。

檔案政策已成功設定。

測試檔案規則

嘗試上傳或下載符合檔案政策條件的檔案來測試設定。 確認政策設定是否封鎖或允許這些動作。

1. 打開包含個人資料的測試檔案，例如 dlptest.com/sample-data.pdf。
2. 試著把測試檔和你在檔案政策中設定的目的地分享。 如果政策設定正確，該動作會被阻擋。

已知的限制

• 網路內容過濾不支援文字。 它只支援檔案。
• 不支援多部分編碼，因此檔案政策對這類應用程式無法運作（例如 Google Drive 上傳檔案時使用多部分編碼）。
• 壓縮內容會以壓縮格式被偵測到（內容並未解壓）。
• 真實檔案類型偵測的準確度可能不是 100%。
• 使用 WebSocket 的目的地應用程式（例如 Copilot）不被支援。
• 頂層和二層網域在配置 FQDN 時不支援萬用字組（如 *、*.com、*contoso.com）。

備註

應用程式在你互動時，可能會在底層使用多個網址和 FQDN。 務必設定正確的目的地，讓檔案政策生效。

監視與記錄

查看交通記錄：

1. 以至少 報表讀者的身分登入 Microsoft Entra 系統管理中心。
2. 選擇 全球安全存取>監控>流量記錄。

要顯示所有受 Netskope 檢查的流量：

1. 前往交易標籤。
2. 選擇新增篩選器。
3. 搜尋或捲動找到合適的篩選器（例如，Action, policyName）。 
4. 選取 套用。
5. 請檢查 filteringProfileName 和 policyName，以辨識負責該動作的政策。

相關內容

• 了解 Microsoft Purview 網路資料安全
• 如何設定全球安全存取網頁內容過濾
• 啟用網際網路接取流量轉發設定檔 
• 設定傳輸層安全性檢查