Zasady sesjiSession policies

Uwaga

To jest funkcja w wersji zapoznawczej.This is a preview feature.

Cloud App Security sesji zasady Włącz monitorowanie w czasie rzeczywistym poziomu sesji, zapewniającą możesz szczegółowego wgląd w aplikacje w chmurze oraz możliwość podjęcia różnych akcji w zależności od zasad ustawionych dla sesji użytkownika.Cloud App Security session policies enable real-time session-level monitoring, affording you granular visibility into cloud apps and the ability to take different actions depending on the policy you set for a user session. Zamiast zezwalanie lub blokowanie dostępu do całkowicie, za pomocą formantu sesji można zezwolić na dostęp podczas monitorowania działań określonej sesji sesji lub limit.Instead of allowing or blocking access completely, with session control you can allow access while monitoring the session and/or limit specific session activities.

Na przykład można zdecydować, które z urządzeń niezarządzanych, lub dla sesji pochodzących z określonych lokalizacji, chcesz zezwolić użytkownikowi na dostęp do aplikacji, ale również ograniczyć pobieranie poufnych plików lub wymagają ochronę niektórych dokumentów na pobieranie.For example, you can decide that from unmanaged devices, or for sessions coming from specific locations, you want to allow the user to access the app, but also limit the download of sensitive files or require that certain documents be protected upon download. Zasady sesji umożliwiają skonfigurowanie tych kontrolek sesji użytkownika.Session policies enable you to set these user-session controls.

Wymagania wstępne dotyczące przy użyciu zasad sesjiPrerequisites to using session policies

Uwaga

  • Zasady sesji również obsługiwać aplikacje, które są skonfigurowane przy użyciu dostawcy tożsamości innych niż Azure AD w prywatnej wersji zapoznawczej.Session policies also support apps that are configured with identity providers other than Azure AD in Private Preview. Aby uzyskać więcej informacji na temat w prywatnej wersji zapoznawczej, Wyślij wiadomość e-mail do mcaspreview@microsoft.com.For more information about the Private Preview, send an email to mcaspreview@microsoft.com.

Tworzenie zasad dostępu warunkowego usługi Azure ADCreate an Azure AD conditional access policy

Zasady dostępu warunkowego w usłudze Azure Active Directory i zasad sesji Cloud App Security działają wspólnie do badania każdej sesji użytkownika i podjąć decyzje dotyczące zasad dla każdej aplikacji.Azure Active Directory conditional access policies and Cloud App Security session policies work in tandem to examine each user session and make policy decisions for each app. Aby skonfigurować zasady dostępu warunkowego w usłudze Azure AD, wykonaj poniższą procedurę:To set up a conditional access policy in Azure AD, follow this procedure:

  1. Skonfiguruj zasady dostępu warunkowego usługi Azure AD z przypisania dla użytkownika lub grupy użytkowników i aplikacji SAML chcesz kontrolować przy użyciu serwera proxy Cloud App Security.Configure an Azure AD conditional access policy with assignments for user or group of users and the SAML app you want to control with the Cloud App Security proxy.

    Uwaga

    Tylko te aplikacje, które były wdrożone przy użyciu serwera proxy dotyczy tych zasad.Only apps that were deployed with proxy will be affected by this policy.

  2. Przekierować użytkowników do serwera proxy Cloud App Security, wybierając Użyj serwera proxy, wymuszane ograniczeń w sesji bloku.Route users to the Cloud App Security proxy by selecting the Use proxy enforced restrictions in the Session blade.

    Warunkowego dostępu do serwera proxy ograniczeń usługi Azure AD

Tworzenie zasad sesji Cloud App SecurityCreate a Cloud App Security session policy

Aby utworzyć zasady nowej sesji, wykonaj poniższą procedurę:To create a new session policy, follow this procedure:

  1. W portalu, wybierz kontroli następuje zasad.In the portal, select Control followed by Policies.
  2. W zasady kliknij przycisk Tworzenie zasad i wybierz zasady sesji.In the Policies page, click Create policy and select Session policy.

    Tworzenie zasad sesji

  3. W zasady sesji okna, Przypisz nazwę zasady, takie jak bloku pobierania z poufnych dokumentów w okno marketingu użytkowników.In the Session policy window, assign a name for your policy, such as Block Download of Sensitive Documents in Box for Marketing Users.

    Zasady nowej sesji

  4. W — typ formantu sesji pola:In the Session control type field:

    1. Wybierz monitorować wszystkie działania Jeśli chcesz monitorować działania przez użytkowników.Select Monitor all activities if you only want to monitor activities by users.

    2. Wybierz monitorować wszystkie działania i kontrolek pobierania pliku Jeśli chcesz monitorować działania użytkownika i podejmować dodatkowe akcje, takie jak blok lub chronić pliki do pobrania dla użytkowników.Select Monitor all activities & control file download if you want to monitor user activities and take additional actions, such as block or protect downloads for users.

      zasady sesji — typ formantu

  5. W obszarze źródło działania w działania dopasowane do wszystkich następujących wybierz dodatkowe działania filtrów do zastosowania do zasad.Under Activity source in the Activities matching all of the following section, select additional activity filters to apply to the policy. Obejmują one następujące opcje:These can include the following options:

    • Tagi urządzenia: ten filtr służy do identyfikowania niezarządzanych urządzeń.Device tags: Use this filter to identify unmanaged devices.

    • Lokalizacja: ten filtr umożliwia określenie lokalizacji Nieznany (i w związku z tym ryzykowne).Location: Use this filter to identify unknown (and therefore risky) locations.

    • Adres IP: Użyj tego filtru do filtrowania na adresy IP lub użyj uprzednio przypisane tagi adresów IP.IP address: Use this filter to filter per IP addresses or use previously assigned IP address tags.

    • Tag agenta użytkownika: użyć filtru, aby włączyć heurystyki w celu zidentyfikowania aplikacji mobilnych i klasycznych.User agent tag: Use this filter to enable the heuristic to identify mobile and desktop apps. Ten filtr może mieć wartość równą lub nie jest równa Native client i należy badać względem aplikacji mobilnych i klasycznych dla każdej aplikacji w chmurze.This filter can be set to equals or does not equal Native client and should be tested against your mobile and desktop apps for each cloud app.

      Obsługa natywnego klienta

      Uwaga

      Zasady sesji nie obsługują aplikacji mobilnych i klasycznych.Session policies don’t support mobile and desktop apps. Upewnij się, że testowania zasad sesji, aby zobaczyć, czy nie koliduje z funkcjami aplikacji mobilnych i klasycznych.Make sure to test session policies to see that they don’t interfere with mobile and desktop app functionality. W razie potrzeby umożliwia wykluczanie aplikacji mobilnych i klasycznych z zasady sesji.If necessary, exclude mobile and desktop apps from session policies.

      Źródło działania zasad sesji

  6. Jeśli wybrano opcję monitorować wszystkie działania i kontrolek pobierania pliku:If you selected the option to Monitor all activities & control file download:

    1. W obszarze źródło działania w spełniającego wszystkie następujące pliki wybierz dodatkowego pliku filtrów do zastosowania do zasad.Under Activity source in the Files matching all of the following section, select additional file filters to apply to the policy. Obejmują one następujące opcje:These can include the following options:

      • Etykiety klasyfikacji — Użyj filtru, jeśli Twoja organizacja korzysta z usługi Azure Information Protection i chronionej przez jego etykiet klasyfikacji danych.Classification label - Use this filter if your organization uses Azure Information Protection, and your data has been protected by its Classification labels. W tym miejscu następnie można filtrować na podstawie zastosowanych do nich etykiety klasyfikacji plików.Here you will then be able to filter files based on the Classification label you applied to them. Aby uzyskać więcej informacji na temat integracji między Cloud App Security i usługi Azure Information Protection, zobacz integracji usługi Azure Information Protection.For more information about integration between Cloud App Security and Azure Information Protection, see Azure Information Protection integration.

      • Nazwa pliku — Użyj filtru do stosowania zasad do określonych plików.File name - Use this filter to apply the policy to specific files.

      • Typ pliku — Użyj filtru do stosowania zasad do określonych typów plików, na przykład bloku pobierania wszystkich plików xls.File type - Use this filter to apply the policy to specific file types, for example, block download for all .xls files.

        filtry plików zasad sesji

    2. W inspekcja zawartości sekcji, określ, czy chcesz włączyć aparatu DLP skanowania dokumentów i plików zawartości.In the Content inspection section, set whether you want to enable the DLP engine to scan documents and file content.

      inspekcja zawartości zasad sesji

    3. W obszarze akcje, wybierz jedną z następujących czynności:Under Actions, select one of the following:

      • Zezwalaj na: Ustaw tę akcję, aby jawnie zezwolić na pobieranie zgodnie z filtrów zasad możesz ustawić.Allow: Set this action to explicitly allow download according to the policy filters you set.

      • Blok: Ustaw tę akcję, aby jawnie zablokować pobierania zgodnie z filtrów zasad możesz ustawić.Block: Set this action to explicitly block download according to the policy filters you set. Aby uzyskać więcej informacji, zobacz działania pobierania bloku.For more information, see How block download works.

      • Ochrona: Jeśli Twoja organizacja korzysta z usługi Azure Information Protection, możesz ustawić akcji do zastosowania etykiety klasyfikacji ustawić usługi Azure Information Protection do pliku.Protect: If your organization uses Azure Information Protection, you can set an Action to apply a classification label set in Azure Information Protection to the file. Aby uzyskać więcej informacji, zobacz jak chronić działania pobierania.For more information, see How protect download works.

        Akcje zasady sesji

  7. Możesz Utwórz alert dla każdego zdarzenia zgodne z ustawieniem w zasadach ważność i ustawić limit alertów i określ, czy alert jako wiadomość e-mail, wiadomość tekstowa lub oba.You can Create an alert for each matching event with the policy's severity and set an alert limit and select whether you want the alert as an email, a text message or both.

    alert zasad sesji

Jak działa monitorowania sesjiHow session monitoring works

Podczas tworzenia zasady sesji każdej sesji użytkownika, który jest zgodne z zasadami bezpośrednio przekierowanie do serwera proxy kontroli sesji, a nie do aplikacji.When you create a session policy, each user session that matches the policy is redirected to the proxy session control rather than to the app directly. Użytkownicy otrzymają powiadomienie monitorowania, aby go poinformować, że ich sesje są monitorowane.The user will see a monitoring notice to let them know that their sessions are being monitored.

sesji monitorowania powiadomień

Jeśli nie chcesz powiadomić użytkownika, że są właśnie monitorowane, można wyłączyć komunikat powiadomienia.If you do not want to notify the user that they are being monitored, you can disable the notification message.

  1. W obszarze koło zębate ustawień, wybierz ustawienia ogólne.Under the settings cog, select General settings.

  2. Następnie, w obszarze Ustawienia serwera proxy Cloud App Security, usuń zaznaczenie powiadomić użytkowników wyboru.Then, under Cloud App Security proxy settings, unselect the Notify users checkbox.

    Wyłącz sesji monitorowania powiadomień

Aby użytkownicy w sesji serwera proxy zastępuje wszystkie odpowiednie adresy URL, skryptów Java i pliki cookie sesji aplikacji z adresami URL serwera proxy.To keep the user within the session, the proxy replaces all the relevant URLs, Java scripts, and cookies within the app session with proxy URLs. Na przykład: Jeśli aplikacja zwraca stronę z łączami, których domeny kończy się wyrazem myapp.com, serwer proxy zastępuje łącza domen kończąc wyglądać mniej więcej tak: myapp.com.us.cas.ms.For example: if the app returns a page with links whose domains ends with myapp.com, the proxy replaces the links with domains ending with something like: myapp.com.us.cas.ms. W ten sposób całej sesji jest monitorowany przez serwer proxy.This way the entire session is monitored by the proxy.

Serwer proxy rejestruje dzienników ruchu w każdej sesji użytkownika, który jest kierowany przez niego.The proxy records the traffic logs of every user session that is routed through it. Dzienników ruchu to czas, adresu IP, agent użytkownika, odwiedzi adresów URL oraz liczbę bajtów przekazać i pobrane.The traffic logs include the time, IP, user agent, URLs visited, and the number of bytes uploaded and downloaded. Te dzienniki są analizowane i ciągłe raportu o nazwie serwera Proxy w chmurze aplikacji zabezpieczeń zostanie dodany do listy raportów Cloud Discovery w pulpicie nawigacyjnym rozwiązania Cloud Discovery.These logs are analyzed and a continuous report called Cloud App Security Proxy is added to the list of Cloud Discovery reports in the Cloud Discovery dashboard.

Raport serwera proxy

Aby wyeksportować te dzienniki:To export these logs:

  1. Przejdź do koła zębatego ustawienia i kliknij przycisk Proxy.Go to the settings cog and click Proxy.
  2. Po prawej stronie tabeli kliknij przycisk EksportujOn the right side of the table, click the export button przycisk Eksportuj..
  3. Wybierz zakres raportu, a następnie kliknij przycisk wyeksportować.Select the range of the report and click Export. Ten proces może potrwać pewien czas.This process may take some time.

Aby pobrać wyeksportowany dziennika:To download the exported log:

  1. Gdy raport jest gotowe, przejdź do zbadaj , a następnie raporty niestandardowe.After the report is ready, go to Investigate and then Custom reports.
  2. W tabeli, wybierz odpowiedni raport z listy dzienników ruchu Proxy i kliknij przycisk Pobierz przycisk Pobierz.In the table, select the relevant report from the list of Proxy traffic logs and click download download button.

W jaki sposób pobierać działa w blokuHow block download works

Gdy bloku jest ustawiony jako akcji ma być wykonywana w zasadach sesji proxy Cloud App Security, serwer proxy uniemożliwia pobieranie plików zgodnie z ustawieniem w zasadach filtry plików użytkownika.When Block is set as the Action you want to take in the Cloud App Security proxy session policy, the proxy prevents a user from downloading a file in accordance with the policy’s file filters. Zdarzenie pobierania jest rozpoznawany przez serwer proxy dla każdej aplikacji SAML i gdy użytkownik inicjuje tego zdarzenia, serwer proxy uczestniczyło w czasie rzeczywistym, aby uniemożliwić jego uruchomienie.A download event is recognized by the proxy for each SAML app and when a user initiates this event, the proxy intervenes in real time to prevent it from running. Po odebraniu sygnału czy użytkownik zainicjował pobieranie proxy zwraca pobierania ograniczone wiadomość do użytkownika i zastępuje plik tekstowy, który zawiera komunikat można dostosować dla użytkownika, który może być pobrany plik skonfigurowane zasady sesji serwera proxy.When the signal is received that a user has initiated a download, the proxy returns a Download restricted message to the user and replaces the downloaded file with a text file that contains a customizable message to the user, which can be configured from the proxy session policy.

Działa jak chronić pobieraniaHow to protect download works

Gdy Chroń jest ustawiony jako akcji podejmowanych w zasadach sesji proxy Cloud App Security, serwer proxy wymusza etykietowania i kolejne ochrony pliku, zgodnie z pliku zasad filtry.When Protect is set as the Action to be taken in the Cloud App Security proxy session policy, the proxy enforces the labeling and subsequent protection of a file in accordance with the policy’s file filters. Etykiety są konfigurowane w konsoli usługi Azure Information Protection na platformie Azure i Chroń należy wybrać w etykiecie dla etykiety, które były wyświetlane jako opcja zasad Cloud App Security.Labels are configured in the Azure Information Protection console in Azure and Protect must be selected within the label for the label to appear as an option in the Cloud App Security policy. Gdy jest zaznaczone etykiety, a plik jest pobierana, która spełnia kryteria zasad Cloud App Security, etykiety i odpowiedniej ochrony (przy użyciu uprawnień) jest stosowany do pliku podczas pobierania.When a label is selected, and a file is downloaded that meets the criteria of the Cloud App Security policy, the label, and corresponding protection (with permissions) is applied to the file upon download. Oryginalny plik pozostaje jako-podczas pobrany plik jest teraz chroniony znajduje się w aplikacji w chmurze.The original file remains as-is in the cloud app while the downloaded file is now protected. Próba uzyskania dostępu do pliku muszą spełniać wymagania uprawnień ustaleniami objęte ochroną.Users who attempt to access the file must meet the permission requirements determined by the protection applied.

Zobacz teżSee Also

Blokuje pliki do pobrania na urządzeniach niezarządzanych za pomocą funkcji serwera proxy usługi Azure ADBlocking downloads on unmanaged devices using Azure AD proxy capabilities

Klienci wersji Premium mogą również wybrać usługę Cloud App Security bezpośrednio z Portalu Premium.Premier customers can also choose Cloud App Security directly from the Premier Portal.