Kebijakan sesi

Catatan

• Kami telah mengganti nama Microsoft Cloud App Security. Sekarang disebut Microsoft Defender for Cloud Apps. Dalam beberapa minggu mendatang, kami akan memperbarui cuplikan layar dan instruksi di sini dan di halaman terkait. Untuk informasi selengkapnya tentang perubahan tersebut, lihat pengumuman ini. Untuk mempelajari selengkapnya tentang penggantian nama layanan keamanan Microsoft baru-baru ini, lihat blog Microsoft Ignite Security.

• Microsoft Defender for Cloud Apps sekarang menjadi bagian dari Pertahanan Microsoft 365. Portal Pertahanan Microsoft 365 memungkinkan admin keamanan untuk melakukan tugas keamanan mereka di satu lokasi. Ini akan menyederhanakan alur kerja, dan menambahkan fungsionalitas layanan Pertahanan Microsoft 365 lainnya. Pertahanan Microsoft 365 akan menjadi rumah bagi pemantauan dan pengelolaan keamanan di seluruh identitas, data, perangkat, aplikasi, dan infrastruktur Microsoft Anda. Untuk informasi selengkapnya tentang perubahan ini, lihat Microsoft Defender for Cloud Apps di Pertahanan Microsoft 365.

Microsoft Defender for Cloud Apps kebijakan sesi memungkinkan pemantauan tingkat sesi real time, yang memberikan visibilitas terperinci ke dalam aplikasi cloud dan kemampuan untuk mengambil tindakan yang berbeda tergantung pada kebijakan yang Anda tetapkan untuk sesi pengguna. Alih-alih mengizinkan atau memblokir akses sepenuhnya, dengan kontrol sesi Anda dapat mengizinkan akses saat memantau sesi dan/atau membatasi aktivitas sesi tertentu menggunakan kemampuan proksi terbalik Kontrol Aplikasi Akses Bersyarat.

Misalnya, Anda dapat memutuskan bahwa dari perangkat yang tidak dikelola, atau untuk sesi yang berasal dari lokasi tertentu, Anda ingin mengizinkan pengguna mengakses aplikasi tetapi juga membatasi pengunduhan file sensitif atau mengharuskan dokumen tertentu dilindungi saat diunduh. Kebijakan sesi memungkinkan Anda mengatur kontrol sesi pengguna ini dan mengizinkan akses dan memungkinkan Anda untuk:

• Memantau semua aktivitas
• Memblokir semua unduhan
• Memblokir aktivitas tertentu
• Memerlukan autentikasi peningkatan (konteks autentikasi)
• Lindungi file saat diunduh
• Lindungi unggahan file sensitif
• Memblokir malware saat diunggah
• Mendidik pengguna untuk melindungi file sensitif

Prasyarat untuk menggunakan kebijakan sesi

• Azure AD Premium P1 lisensi, atau lisensi yang diperlukan oleh solusi Penyedia Identitas (IdP) Anda
• Aplikasi yang relevan harus disebarkan dengan Kontrol Aplikasi Akses Bersyar
• Pastikan Anda telah mengonfigurasi solusi IdP untuk bekerja dengan Defender untuk Cloud Apps, sebagai berikut:
  • Untuk Akses Bersyar Azure AD, lihat Mengonfigurasi integrasi dengan Azure AD
  • Untuk solusi IdP lainnya, lihat Mengonfigurasi integrasi dengan solusi IdP lainnya

Membuat kebijakan sesi Defender untuk Cloud Apps

Untuk membuat kebijakan sesi baru, ikuti prosedur ini:

1. Buka Kontrol>Kebijakan>Akses bersyar.

2. Pilih Buat kebijakan dan pilih Kebijakan sesi.

   

3. Di jendela Kebijakan sesi , tetapkan nama untuk kebijakan Anda, seperti Blokir Unduhan Dokumen Sensitif di Box untuk Pengguna Pemasaran.

4. Di bidang Jenis kontrol sesi :

   1. Pilih Pantau hanya jika Anda hanya ingin memantau aktivitas oleh pengguna. Pilihan ini akan membuat kebijakan Hanya Monitor untuk aplikasi yang Anda pilih di mana semua rincian masuk, unduhan heuristik, dan Jenis aktivitas akan diunduh.

   2. Pilih Kontrol unduhan file (dengan inspeksi) jika Anda ingin memantau aktivitas pengguna. Anda dapat mengambil tindakan tambahan seperti memblokir atau melindungi unduhan untuk pengguna.

   3. Pilih Blokir aktivitas untuk memblokir aktivitas tertentu, yang dapat Anda pilih menggunakan filter Jenis aktivitas . Semua aktivitas dari aplikasi yang dipilih akan dipantau (dan dilaporkan dalam log Aktivitas). Aktivitas tertentu yang Anda pilih akan diblokir jika Anda memilih tindakan Blokir . Aktivitas tertentu yang Anda pilih akan memunculkan pemberitahuan jika Anda memilih tindakan Uji dan mengaktifkan pemberitahuan.

5. Di bawah Sumber aktivitas di bagian Aktivitas yang cocok dengan semua bagian berikut , pilih filter aktivitas tambahan untuk diterapkan ke kebijakan. Filter ini dapat mencakup opsi berikut untuk Jenis aktivitas:

   • Tag perangkat: Gunakan filter ini untuk mengidentifikasi perangkat yang tidak dikelola.

   • Lokasi: Gunakan filter ini untuk mengidentifikasi lokasi yang tidak diketahui (dan karenanya berisiko).

   • Alamat IP: Gunakan filter ini untuk memfilter per alamat IP atau menggunakan tag alamat IP yang ditetapkan sebelumnya.

   • Tag agen pengguna: Gunakan filter ini untuk memungkinkan heuristik mengidentifikasi aplikasi seluler dan desktop. Filter ini dapat diatur ke sama dengan atau tidak sama dengan klien Asli. Filter ini harus diuji terhadap aplikasi seluler dan desktop Anda untuk setiap aplikasi cloud.

   • Jenis aktivitas: Gunakan filter ini untuk memilih aktivitas tertentu yang akan dikontrol, seperti:

     • Cetak
     • Tindakan Clipboard: Salin, Potong, dan Tempel
     • Mengirim item di aplikasi seperti Teams, Slack, dan Salesforce
     • Berbagi dan membatalkan berbagi item di berbagai aplikasi
     • Mengedit item di berbagai aplikasi

   Catatan

   Kebijakan sesi tidak mendukung aplikasi seluler dan desktop. Aplikasi seluler dan aplikasi desktop juga dapat diblokir atau diizinkan dengan membuat kebijakan akses.

6. Jika Anda memilih opsi untuk Mengontrol unduhan file (dengan inspeksi):

   1. Di bawah Sumber aktivitas di File yang cocok dengan semua bagian berikut, pilih filter file tambahan untuk diterapkan ke kebijakan. Filter ini dapat mencakup opsi berikut:

      • Label sensitivitas - Gunakan filter ini jika organisasi Anda menggunakan Perlindungan Informasi Microsoft Purview dan data Anda telah dilindungi oleh label sensitivitasnya. Anda dapat memfilter file berdasarkan label sensitivitas yang Anda terapkan padanya. Untuk informasi selengkapnya tentang integrasi dengan Perlindungan Informasi Microsoft Purview, lihat integrasi Perlindungan Informasi Microsoft Purview.

      • Nama file - Gunakan filter ini untuk menerapkan kebijakan ke file tertentu.

      • Jenis file - Gunakan filter ini untuk menerapkan kebijakan ke jenis file tertentu, misalnya, blokir unduhan untuk semua file .xls.

   2. Di bagian Inspeksi konten , atur apakah Anda ingin mengaktifkan mesin DLP untuk memindai dokumen dan konten file.

   3. Di bawah Tindakan, pilih salah satu item berikut ini:

      • Uji (Pantau semua aktivitas): Atur tindakan ini untuk secara eksplisit mengizinkan pengunduhan sesuai dengan filter kebijakan yang Anda tetapkan.

      • Blokir (Blokir unduhan file dan pantau semua aktivitas): Atur tindakan ini untuk memblokir unduhan secara eksplisit sesuai dengan filter kebijakan yang Anda tetapkan. Untuk informasi selengkapnya, lihat Cara kerja pengunduhan blokir.

      • Lindungi (Terapkan label sensitivitas untuk mengunduh dan memantau semua aktivitas): Opsi ini hanya tersedia jika Anda memilih Unduhan file kontrol (dengan inspeksi) di bawah Kebijakan sesi. Jika organisasi Anda menggunakan Perlindungan Informasi Microsoft Purview, Anda bisa mengatur Tindakan untuk menerapkan label sensitivitas yang diatur dalam Perlindungan Informasi Microsoft Purview ke file. Untuk informasi selengkapnya, lihat Cara kerja melindungi unduhan.

7. Anda dapat Membuat pemberitahuan untuk setiap peristiwa yang cocok dengan tingkat keparahan kebijakan dan menetapkan batas pemberitahuan. Pilih apakah Anda menginginkan pemberitahuan sebagai email, pesan teks, atau keduanya.

Memantau semua aktivitas

Saat Anda membuat kebijakan sesi, setiap sesi pengguna yang cocok dengan kebijakan dialihkan ke kontrol sesi daripada ke aplikasi secara langsung. Pengguna akan melihat pemberitahuan pemantauan untuk memberi tahu mereka bahwa sesi mereka sedang dipantau.

Jika Anda tidak ingin memberi tahu pengguna bahwa mereka sedang dipantau, Anda dapat menonaktifkan pesan pemberitahuan.

1. Di bawah cog pengaturan, pilih Pengaturan umum.

2. Kemudian, di bawah Kontrol Aplikasi Akses Bersyar pilih Pemantauan pengguna dan batalkan pilihan kotak centang Beri tahu pengguna .

Untuk menjaga pengguna tetap dalam sesi, Kontrol Aplikasi Akses Bersyar menggantikan semua URL, skrip Java, dan cookie yang relevan dalam sesi aplikasi dengan URL Microsoft Defender for Cloud Apps. Misalnya, jika aplikasi mengembalikan halaman dengan tautan yang domainnya diakhapi dengan myapp.com, Kontrol Aplikasi Akses Bersyar mengganti tautan dengan domain yang diakhapi dengan sesuatu seperti myapp.com.mcas.ms. Dengan cara ini seluruh sesi dipantau oleh Microsoft Defender for Cloud Apps.

Kontrol Aplikasi Akses Bersyar merekam log lalu lintas dari setiap sesi pengguna yang dirutekan melaluinya. Log lalu lintas mencakup waktu, IP, agen pengguna, URL yang dikunjungi, dan jumlah byte yang diunggah dan diunduh. Log ini dianalisis dan laporan berkelanjutan, Defender untuk Cloud App Conditional Access App Control, ditambahkan ke daftar laporan Cloud Discovery di dasbor Cloud Discovery.

Untuk mengekspor log ini:

1. Buka cog pengaturan dan pilih Kontrol Aplikasi Akses Bersyar.

2. Di sisi kanan tabel, pilih tombol ekspor.

   

3. Pilih rentang laporan dan pilih Ekspor. Proses ini mungkin membutuhkan waktu beberapa saat.

Untuk mengunduh log yang diekspor:

1. Setelah laporan siap, buka Pengaturan lalu Laporan yang diekspor.

2. Dalam tabel, pilih laporan yang relevan dari daftar log lalu lintas Kontrol Aplikasi Akses Bersyar dan pilih Unduh.

   

Memblokir semua unduhan

Saat Blokir ditetapkan sebagai Tindakan yang ingin Anda ambil dalam kebijakan sesi Defender untuk Cloud Apps, Kontrol Aplikasi Akses Bersyar mencegah pengguna mengunduh file sesuai filter file kebijakan. Peristiwa unduhan dikenali oleh Microsoft Defender for Cloud Apps untuk setiap aplikasi saat pengguna memulai pengunduhan. Kontrol Aplikasi Akses Bersyar mengintervensi secara real time untuk mencegahnya berjalan. Ketika sinyal diterima bahwa pengguna telah memulai pengunduhan, Kontrol Aplikasi Akses Bersyarat mengembalikan pesan Unduhan terbatas kepada pengguna dan mengganti file yang diunduh dengan file teks. Pesan file teks kepada pengguna dapat dikonfigurasi dan disesuaikan dari kebijakan sesi.

Memerlukan autentikasi peningkatan (konteks autentikasi)

Saat Jenis kontrol sesi diatur ke Aktivitas blokir, Kontrol unduhan file (dengan inspeksi), Unggahan file kontrol (dengan inspeksi), Anda dapat memilih TindakanMemerlukan autentikasi peningkatan. Saat tindakan ini dipilih, Defender untuk Cloud Apps akan mengalihkan sesi ke Azure AD Akses Bersyar untuk evaluasi ulang kebijakan, setiap kali aktivitas yang dipilih terjadi. Berdasarkan konteks autentikasi yang dikonfigurasi dalam Azure AD, klaim seperti autentikasi multifaktor dan kepatuhan perangkat dapat diperiksa selama sesi.

Memblokir aktivitas tertentu

Saat Aktivitas blokir ditetapkan sebagai Jenis aktivitas, Anda dapat memilih aktivitas tertentu untuk diblokir di aplikasi tertentu. Semua aktivitas dari aplikasi yang dipilih akan dipantau dan dilaporkan di log Aktivitas. Aktivitas tertentu yang Anda pilih akan diblokir jika Anda memilih tindakan Blokir . Aktivitas tertentu yang Anda pilih akan memunculkan pemberitahuan jika Anda memilih tindakan Uji dan mengaktifkan pemberitahuan.

Contoh aktivitas yang diblokir meliputi:

• Mengirim pesan Teams: Gunakan untuk memblokir pesan yang dikirim dari Microsoft Teams, atau memblokir pesan Teams yang berisi konten tertentu
• Cetak: Gunakan untuk memblokir tindakan Cetak
• Salin: Gunakan untuk memblokir tindakan salin ke clipboard atau hanya blokir salinan untuk konten tertentu

Blokir aktivitas tertentu dan terapkan ke grup tertentu untuk membuat mode baca-saja yang komprehensif untuk organisasi Anda.

Lindungi file saat diunduh

Pilih Blokir aktivitas untuk memblokir aktivitas tertentu, yang dapat Anda temukan menggunakan filter Jenis aktivitas . Semua aktivitas dari aplikasi yang dipilih akan dipantau (dan dilaporkan dalam log Aktivitas). Aktivitas tertentu yang Anda pilih akan diblokir jika Anda memilih tindakan Blokir . Aktivitas tertentu yang Anda pilih akan memunculkan pemberitahuan jika Anda memilih tindakan Uji dan mengaktifkan pemberitahuan.

Saat Lindungi ditetapkan sebagai Tindakan yang akan diambil dalam kebijakan sesi Defender untuk Cloud Apps, Kontrol Aplikasi Akses Bersyar memberlakukan pelabelan dan perlindungan file berikutnya per filter file kebijakan. Label dikonfigurasi dalam portal kepatuhan Microsoft Purview dan label harus dikonfigurasi untuk menerapkan enkripsi agar muncul sebagai opsi dalam kebijakan Defender untuk Cloud Apps. Saat label dipilih, dan file diunduh yang memenuhi kriteria kebijakan Defender untuk Cloud Apps, label, dan perlindungan yang sesuai (dengan izin) diterapkan ke file saat diunduh. File asli tetap apa adanya di aplikasi cloud saat file yang diunduh sekarang dilindungi. Pengguna yang mencoba mengakses file harus memenuhi persyaratan izin yang ditentukan oleh perlindungan yang diterapkan.

Defender untuk Cloud Apps saat ini mendukung penerapan label sensitivitas dari Perlindungan Informasi Microsoft Purview untuk jenis file berikut:

• Word: docm, docx, dotm, dotx
• Excel: xlam, xlsm, xlsx, xltx
• PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
• PDF

  Catatan

  Untuk PDF, Anda harus menggunakan label terpadu.

Lindungi unggahan file sensitif

Saat Pengunggahan file Kontrol (dengan inspeksi) ditetapkan sebagai jenis Kontrol Sesi dalam kebijakan sesi Defender untuk Cloud Apps, Kontrol Aplikasi Akses Bersyar mencegah pengguna mengunggah file sesuai filter file kebijakan. Saat peristiwa unggahan dikenali, Kontrol Aplikasi Akses Bersyar mengintervensi secara real time untuk menentukan apakah file sensitif dan memerlukan perlindungan. Jika file memiliki data sensitif dan tidak memiliki label yang tepat, unggahan file akan diblokir.

Misalnya, Anda dapat membuat kebijakan yang memindai konten file untuk menentukan apakah berisi kecocokan konten sensitif seperti nomor jaminan sosial. Jika berisi konten sensitif dan tidak diberi label Perlindungan Informasi Microsoft Purview rahasia, unggahan file akan diblokir. Saat file diblokir, Anda dapat menampilkan pesan kustom kepada pengguna yang menginstruksikan mereka tentang cara memberi label file untuk mengunggahnya. Dengan demikian, Anda memastikan bahwa file yang disimpan di aplikasi cloud Anda mematuhi kebijakan Anda.

Memblokir malware saat diunggah

Saat Unggahan file Kontrol (dengan inspeksi) diatur sebagai jenis Kontrol Sesi dan Deteksi Malware ditetapkan sebagai Metode Inspeksi dalam kebijakan sesi Defender untuk Cloud Apps, Kontrol Aplikasi Akses Bersyar mencegah pengguna mengunggah file secara real time jika malware terdeteksi. File dipindai menggunakan mesin inteligensi ancaman Microsoft.

Anda dapat melihat file yang ditandai sebagai potensi malware menggunakan filter Potensi Malware Terdeteksi di log aktivitas.

Anda juga dapat mengonfigurasi kebijakan sesi untuk memblokir malware saat diunduh.

Mendidik pengguna untuk melindungi file sensitif

Penting untuk mendidik pengguna ketika mereka melanggar kebijakan sehingga mereka mempelajari cara mematuhi kebijakan organisasi Anda. Karena setiap perusahaan memiliki kebutuhan dan kebijakan unik, Defender untuk Cloud Apps memungkinkan Anda menyesuaikan filter kebijakan dan pesan yang ditampilkannya kepada pengguna saat pelanggaran terdeteksi. Anda dapat memberikan panduan khusus kepada pengguna Anda seperti memberikan instruksi tentang cara memberi label file dengan tepat, atau cara mendaftarkan perangkat yang tidak dikelola, untuk memastikan file berhasil diunggah.

Misalnya, jika pengguna mengunggah file tanpa label sensitivitas, pesan dapat ditampilkan yang menjelaskan bahwa file berisi konten sensitif yang memerlukan label yang sesuai. Demikian pula, jika pengguna mencoba mengunggah dokumen dari perangkat yang tidak dikelola, pesan dengan instruksi tentang cara mendaftarkan perangkat tersebut atau yang memberikan penjelasan lebih lanjut tentang mengapa perangkat harus terdaftar, dapat ditampilkan.

Video terkait

Webinar Kontrol Aplikasi Akses Bersyar

Langkah berikutnya

« SEBELUMNYA: Onboard dan sebarkan Kontrol Aplikasi Akses Bersyar untuk aplikasi apa pun »

BERIKUTNYA: Cara membuat kebijakan akses »

Pemecahan masalah akses dan kontrol sesi

Lihat juga

Memblokir unduhan pada perangkat yang tidak dikelola menggunakan Azure AD Conditional Access App Control

Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, silakan buka tiket dukungan.