Zásady relací

Poznámka

Přejmenovali jsme Microsoft Cloud App Security. Teď se jí říká Microsoft Defender for Cloud Apps. V nadcházejících týdnech aktualizujeme snímky obrazovek a pokyny zde a na souvisejících stránkách. Další informace o změně najdete v tomto oznámení. Další informace o nedávném přejmenování služeb zabezpečení Společnosti Microsoft najdete na blogu Microsoft Ignite Security.

Microsoft Defender for Cloud Apps zásady relace umožňují monitorování na úrovni relace v reálném čase, které vám umožňují detailní přehled o cloudových aplikacích a možnost provádět různé akce v závislosti na zásadách, které jste nastavili pro uživatelskou relaci. Místo toho, abyste povolili nebo blokovali přístup úplně, s řízením relací můžete povolit přístup při monitorování relace a/nebo omezit konkrétní aktivity relace pomocí funkcí reverzního proxy serveru podmíněného přístupu k aplikacím.

Můžete se například rozhodnout, že z nespravovaných zařízení nebo u relací pocházejících z konkrétních umístění chcete uživateli povolit přístup k aplikaci, ale také omezit stahování citlivých souborů nebo vyžadovat, aby byly určité dokumenty chráněné při stahování. Zásady relací umožňují nastavit tyto ovládací prvky relace uživatelů a povolit přístup a umožňuje:

Požadavky na používání zásad relací

Vytvoření zásady relace Defender for Cloud Apps

Pokud chcete vytvořit novou zásadu relace, postupujte takto:

  1. Přejděte k řízení>podmíněného přístupuk zásadám>.

  2. Vyberte Vytvořit zásadu a vyberte Zásady relace.

    Create a Conditional access policy.

  3. V okně Zásady relace přiřaďte název zásady, například Blokovat stahování citlivých dokumentů v Poli pro marketingové uživatele.

  4. V poli Typ ovládacího prvku Relace :

    1. Vyberte Monitorování jenom v případě, že chcete monitorovat jenom aktivity podle uživatelů. Tento výběr vytvoří zásadu jenom pro aplikace, které jste vybrali, kde se stáhnou všechna přihlášení, heuristické stahování a typy aktivit.

    2. Pokud chcete monitorovat aktivity uživatelů , vyberte možnost Řízení stahování souborů (s kontrolou ). Můžete provádět další akce, jako je blokování nebo ochrana stahování pro uživatele.

    3. Výběrem možnosti Blokovat aktivity můžete blokovat konkrétní aktivity, které můžete vybrat pomocí filtru Typ aktivity . Všechny aktivity z vybraných aplikací budou monitorovány (a hlášeny v protokolu aktivit). Konkrétní aktivity, které vyberete, se zablokují, pokud vyberete akci Blokovat . Konkrétní aktivity, které jste vybrali, budou zvyšovat výstrahy, pokud vyberete akci Test a máte zapnutá upozornění.

  5. V části Zdroj aktivity v části Aktivity odpovídající všem následujícímu oddílu vyberte další filtry aktivit, které se mají na zásadu použít. Tyto filtry můžou zahrnovat následující možnosti pro typ aktivity:

    • Značky zařízení: Pomocí tohoto filtru identifikujte nespravovaná zařízení.

    • Umístění: Tento filtr slouží k identifikaci neznámých (a proto rizikových) umístění.

    • IP adresa: Pomocí tohoto filtru můžete filtrovat podle IP adres nebo použít dříve přiřazené značky IP adres.

    • Značka uživatelského agenta: Pomocí tohoto filtru můžete heuristicky identifikovat mobilní a desktopové aplikace. Tento filtr je možné nastavit na rovná se nebo se nerovná nativnímu klientovi. Tento filtr by se měl testovat na mobilních a desktopových aplikacích pro každou cloudovou aplikaci.

    • Typ aktivity: Pomocí tohoto filtru vyberte konkrétní aktivity, které se mají řídit, například:

      • Tisk
      • Akce schránky: Kopírování, vyjmutí a vložení
      • Odesílání položek v aplikacích, jako jsou Teams, Slack a Salesforce
      • Sdílení a zrušení sdílení položek v různých aplikacích
      • Úprava položek v různých aplikacích

    Poznámka

    Zásady relací nepodporují mobilní a desktopové aplikace. Mobilní aplikace a desktopové aplikace je také možné zablokovat nebo povolit vytvořením zásad přístupu.

  6. If you selected the option to Control file download (with inspection):

    1. V části Zdroj aktivity v části Soubory odpovídající všem následujícímu oddílu vyberte další filtry souborů, které se mají na zásadu použít. Mezi tyto filtry můžou patřit následující možnosti:

      • Popisek citlivosti – Tento filtr použijte, pokud vaše organizace používá Microsoft Information Protection a vaše data byla chráněna popisky citlivosti. Soubory můžete filtrovat na základě popisku citlivosti, který jste na ně použili. Další informace o integraci s Microsoft Information Protection najdete v tématu Microsoft Information Protection integrace.

      • Název souboru – Pomocí tohoto filtru použijte zásadu pro konkrétní soubory.

      • Typ souboru – Pomocí tohoto filtru použijte zásadu pro konkrétní typy souborů, například blokování stahování pro všechny soubory .xls.

    2. V části Kontrola obsahu nastavte, jestli chcete modulu ochrany před únikem informací povolit skenování dokumentů a obsahu souborů.

    3. V části Akce vyberte jednu z následujících položek:

      • Test (Monitorování všech aktivit): Nastavte tuto akci tak, aby explicitně povolte stahování podle nastavených filtrů zásad.

      • Blokování (blokování stahování souborů a monitorování všech aktivit): Nastavte tuto akci tak, aby explicitně blokovala stahování podle nastavených filtrů zásad. Další informace najdete v tématu Jak funguje stahování bloků.

      • Ochrana (použití popisku citlivosti ke stažení a monitorování všech aktivit): Tato možnost je dostupná jenom v případě, že jste vybrali možnost Stažení řídicího souboru (s kontrolou) v části Zásady relace. Pokud vaše organizace používá Microsoft Information Protection, můžete nastavit akci tak, aby na soubor použila popisek citlivosti nastavený v Microsoft Information Protection. Další informace najdete v tématu Jak funguje stahování ochrany.

  7. Pro každou odpovídající událost můžete vytvořit upozornění se závažností zásady a nastavit limit upozornění. Vyberte, jestli chcete upozornění použít jako e-mail, textovou zprávu nebo obojí.

Sledovat všechny aktivity

Při vytváření zásad relace se každá uživatelská relace, která odpovídá zásadám, přesměruje na řízení relací, nikoli přímo do aplikace. Uživateli se zobrazí oznámení o monitorování, které mu oznámí, že se monitorují jejich relace.

Pokud nechcete uživatele upozornit, že je monitorovaný, můžete zprávu oznámení zakázat.

  1. V části ozubené kolečko nastavení vyberte Obecné nastavení.

  2. Potom v části Řízení podmíněného přístupu vyberte Monitorování uživatelů a zrušte zaškrtnutí políčka Upozornit uživatele .

Aby uživatel zůstal v relaci, nahradí řízení podmíněného přístupu všechny relevantní adresy URL, skripty Java a soubory cookie v rámci relace aplikace Microsoft Defender for Cloud Apps adres URL. Pokud například aplikace vrátí stránku s odkazy, jejichž domény končí myapp.com, nahradí řízení podmíněného přístupu odkazy doménami končícími na něco jako myapp.com.mcas.ms. Tímto způsobem se celá relace monitoruje Microsoft Defender for Cloud Apps.

Řízení podmíněného přístupu aplikace zaznamenává protokoly provozu každé uživatelské relace, která je přes ni směrována. Protokoly přenosů zahrnují čas, IP adresu, uživatelský agent, navštívené adresy URL a počet nahraných a stažených bajtů. Tyto protokoly se analyzují a průběžně se přidávají do seznamu sestav Cloud Discovery na řídicím panelu Cloud Discovery Defender for Cloud Aplikace podmíněného přístupu k aplikacím.

Export těchto protokolů:

  1. Přejděte do ozubeného kolečka nastavení a vyberte Řízení podmíněného přístupu k aplikacím.

  2. Na pravé straně tabulky vyberte tlačítko pro export.

    export button.

  3. Vyberte oblast sestavy a vyberte Exportovat. Tento proces může nějakou dobu trvat.

Stažení exportovaného protokolu:

  1. Jakmile je sestava připravená, přejděte na Nastavení a pak exportované sestavy.

  2. V tabulce vyberte příslušnou sestavu ze seznamu protokolů provozu řízení podmíněného přístupu aplikací a vyberte Stáhnout.

    download button.

Blokovat všechna stahování

Když je blok nastavený jako akce, kterou chcete provést v zásadách relace Defender for Cloud Aplikace, zabrání řízení podmíněného přístupu uživateli ve stahování souboru podle filtrů souborů zásad. Událost stahování rozpozná Microsoft Defender for Cloud Apps pro každou aplikaci, když uživatel spustí stahování. Řízení podmíněného přístupu k aplikacím zasahuje v reálném čase, aby se zabránilo jeho spuštění. Jakmile se zobrazí signál, že uživatel zahájil stahování, vrátí řízení podmíněného přístupu zprávu s omezeným přístupem ke stažení uživateli a nahradí stažený soubor textovým souborem. Zprávu textového souboru pro uživatele je možné nakonfigurovat a přizpůsobit ze zásad relace.

Vyžadování podrobného ověřování (kontext ověřování)

Pokud je typ ovládacího prvku relace nastavený na Blokování aktivit, stahování řídicích souborů (s kontrolou), nahrávání řídicích souborů (s kontrolou) můžete vybrat akcivyžadování podrobného ověřování. Když je tato akce vybraná, aplikace Defender for Cloud přesměrují relaci na Azure AD podmíněný přístup pro opětovné vyhodnocení zásad, kdykoli dojde k vybrané aktivitě. Na základě nakonfigurovaného kontextu ověřování v Azure AD je možné deklarace identity, jako je vícefaktorové ověřování a dodržování předpisů zařízením, kontrolovat během relace.

Blokování konkrétních aktivit

Když je blokování aktivit nastavené jako typ aktivity, můžete vybrat konkrétní aktivity, které se mají blokovat v konkrétních aplikacích. Všechny aktivity z vybraných aplikací budou monitorovány a hlášeny v protokolu aktivit. Konkrétní aktivity, které vyberete, budou blokovány, pokud vyberete akci Blokovat . Konkrétní aktivity, které jste vybrali, budou zvyšovat výstrahy, pokud vyberete akci Test a máte zapnutá upozornění.

Mezi blokované aktivity patří:

  • Odeslat zprávu Teams: Pomocí ní můžete blokovat zprávy odeslané z Microsoft Teams nebo blokovat Teams zprávy obsahující konkrétní obsah.
  • Tisk: Použití k blokování akcí tisku
  • Kopírování: Umožňuje blokovat kopírování do schránky nebo blokovat kopírování jenom pro konkrétní obsah.

Zablokujte konkrétní aktivity a použijte je pro konkrétní skupiny, abyste pro vaši organizaci vytvořili komplexní režim jen pro čtení.

Ochrana souborů při stahování

Výběrem možnosti Blokovat aktivity můžete blokovat konkrétní aktivity, které můžete najít pomocí filtru typu aktivity . Všechny aktivity z vybraných aplikací budou monitorovány (a hlášeny v protokolu aktivit). Konkrétní aktivity, které vyberete, budou blokovány, pokud vyberete akci Blokovat . Konkrétní aktivity, které jste vybrali, budou zvyšovat výstrahy, pokud vyberete akci Test a máte zapnutá upozornění.

Pokud je ochrana nastavená jako akce, která se má provést v zásadách relace Defender for Cloud Aplikace, vynucuje řízení podmíněného přístupu popisky a následnou ochranu souboru podle filtrů souborů zásad. Popisky jsou nakonfigurované v Centrum dodržování předpisů Microsoftu 365 a popisek musí být nakonfigurovaný tak, aby se pro něj použil šifrování, aby se zobrazoval jako možnost v zásadách Defender for Cloud Apps. Když je vybraný popisek a soubor se stáhne, který splňuje kritéria zásad Defender for Cloud Apps, popisek a odpovídající ochrana (s oprávněními) se na soubor použije po stažení. Původní soubor zůstane v cloudové aplikaci, zatímco stažený soubor je teď chráněný. Uživatelé, kteří se pokusí získat přístup k souboru, musí splňovat požadavky na oprávnění určená ochranou.

Defender for Cloud Apps aktuálně podporuje použití popisků citlivosti Microsoft Information Protection pro následující typy souborů:

  • Word: docm, docx, dotm, dotx
  • Excel: xlam, xlsm, xlsx, xltx
  • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • PDF

    Poznámka

    Pro PDF musíte použít sjednocené popisky.

Ochrana nahrávání citlivých souborů

Když je nahrávání řídicích souborů (s kontrolou) nastavené jako typ řízení relace v zásadách relace Defender for Cloud Aplikace, zabrání řízení podmíněného přístupu uživateli v nahrávání souboru podle filtrů souborů zásad. Když je událost nahrávání rozpoznána, řízení podmíněného přístupu aplikace zasáhne v reálném čase a určí, jestli je soubor citlivý a potřebuje ochranu. Pokud soubor obsahuje citlivá data a nemá správný popisek, nahrávání souboru se zablokuje.

Můžete například vytvořit zásadu, která prohledá obsah souboru a určí, jestli obsahuje shodu citlivého obsahu, například číslo sociálního pojištění. Pokud obsahuje citlivý obsah a není označený Microsoft Information Protection důvěrným popiskem, nahrávání souboru se zablokuje. Když je soubor zablokovaný, můžete uživateli zobrazit vlastní zprávu s pokyny, jak soubor označit, aby ho mohl nahrát. Tím zajistíte, že soubory uložené ve vašich cloudových aplikacích vyhovují vašim zásadám.

Blokování malwaru při nahrávání

Když je nahrávání řídicích souborů (s kontrolou) nastaveno jako typ řízení relace a detekce malwaru je nastavena jako metoda kontroly v zásadách relace Defender for Cloud Aplikace, zabrání řízení podmíněného přístupu uživateli v reálném čase nahrát soubor v reálném čase, pokud je zjištěn malware. Soubory se prohledávají pomocí modulu analýzy hrozeb Microsoftu.

Soubory označené příznakem jako potenciální malware můžete zobrazit pomocí filtru Potenciální malware zjištěný v protokolu aktivit.

Můžete také nakonfigurovat zásady relace tak, aby blokovaly malware při stahování.

Informování uživatelů o ochraně citlivých souborů

Je důležité informovat uživatele, když porušují zásady, aby se dozvěděli, jak dodržovat zásady vaší organizace. Vzhledem k tomu, že každý podnik má jedinečné potřeby a zásady, Defender for Cloud Aplikace umožňují přizpůsobit filtry zásad a zprávu, která se uživateli zobrazí při zjištění porušení. Uživatelům můžete poskytnout konkrétní pokyny, jako je poskytnutí pokynů k tomu, jak správně označit soubor nebo jak zaregistrovat nespravované zařízení, aby se soubory úspěšně nahrály.

Pokud například uživatel nahraje soubor bez popisku citlivosti, může se zobrazit zpráva s vysvětlením, že soubor obsahuje citlivý obsah, který vyžaduje příslušný popisek. Podobně platí, že pokud se uživatel pokusí nahrát dokument z nespravovaného zařízení, zobrazí se zpráva s pokyny k registraci tohoto zařízení nebo zařízení s dalšími vysvětleními, proč se zařízení musí zaregistrovat.

Další kroky

Viz také

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu vašeho problému s produktem, otevřete lístek podpory.