Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Zasady sesjiSession policies

Uwaga

To jest funkcja w wersji zapoznawczej.This is a preview feature.

«Poprzedni: Wdrażanie kontroli dostępu warunkowego aplikacji« PREVIOUS: Deploy Conditional Access App Control
NASTĘPNIE: Jak utworzyć zasady dostępu»NEXT: How to create an access policy »

Zasady sesji Microsoft Cloud App Security Włącz monitorowanie w czasie rzeczywistym poziomu sesji, zapewniającą możesz szczegółowego wgląd w aplikacje w chmurze oraz możliwość podjęcia różnych akcji w zależności od zasad ustawionych dla sesji użytkownika.Microsoft Cloud App Security session policies enable real-time session-level monitoring, affording you granular visibility into cloud apps and the ability to take different actions depending on the policy you set for a user session. Zamiast zezwalanie lub blokowanie dostępu do całkowicie, za pomocą formantu sesji można zezwolić na dostęp podczas monitorowania sesji lub limit działania określonej sesji za pomocą funkcji zwrotnego serwera proxy aplikacji dostępu warunkowego Formant.Instead of allowing or blocking access completely, with session control you can allow access while monitoring the session and/or limit specific session activities using the reverse proxy capabilities of Conditional Access App Control.

Na przykład można zdecydować, które z urządzeń niezarządzanych, lub dla sesji pochodzących z określonych lokalizacji, chcesz zezwolić użytkownikowi na dostęp do aplikacji, ale również ograniczyć pobieranie poufnych plików lub wymagają ochronę niektórych dokumentów na pobieranie.For example, you can decide that from unmanaged devices, or for sessions coming from specific locations, you want to allow the user to access the app, but also limit the download of sensitive files or require that certain documents be protected upon download. Zasady sesji Włącz ustawienie tych kontrolek sesję użytkownika i zezwolić na dostęp i umożliwia:Session policies enable you to set these user-session controls and allow access and enables you to:

Wymagania wstępne dotyczące przy użyciu zasad sesjiPrerequisites to using session policies

Uwaga

  • Zasady sesji również obsługiwać aplikacje, które są skonfigurowane przy użyciu dostawcy tożsamości innych niż Azure AD w prywatnej wersji zapoznawczej.Session policies also support apps that are configured with identity providers other than Azure AD in Private Preview. Aby uzyskać więcej informacji na temat w prywatnej wersji zapoznawczej, Wyślij wiadomość e-mail do mcaspreview@microsoft.com.For more information about the Private Preview, send an email to mcaspreview@microsoft.com.

Tworzenie zasad dostępu warunkowego usługi Azure ADCreate an Azure AD conditional access policy

Zasady dostępu warunkowego w usłudze Azure Active Directory i zasad sesji Cloud App Security działają wspólnie do badania każdej sesji użytkownika i podjąć decyzje dotyczące zasad dla każdej aplikacji.Azure Active Directory conditional access policies and Cloud App Security session policies work in tandem to examine each user session and make policy decisions for each app. Aby skonfigurować zasady dostępu warunkowego w usłudze Azure AD, wykonaj poniższą procedurę:To set up a conditional access policy in Azure AD, follow this procedure:

  1. Skonfiguruj zasady dostępu warunkowego usługi Azure AD z przypisania dla użytkownika lub grupy użytkowników i aplikacji SAML chcesz kontrolować za pomocą formantu aplikacji dostępu warunkowego.Configure an Azure AD conditional access policy with assignments for user or group of users and the SAML app you want to control with the Conditional Access App Control.

    Uwaga

    Tylko te aplikacje, które były z kontroli dostępu warunkowego w aplikacji dotyczy tych zasad.Only apps that were deployed with Conditional Access App Control will be affected by this policy.

  2. Kierować użytkowników do Microsoft Cloud App Security, wybierając użycie kontroli dostępu warunkowego w aplikacji wymuszane ograniczenia w sesji bloku.Route users to Microsoft Cloud App Security by selecting the Use Conditional Access App Control enforced restrictions in the Session blade.

    Kontrola dostępu do aplikacji ograniczeń usługi Azure AD warunkowego dostępu warunkowego

Tworzenie zasad sesji Cloud App SecurityCreate a Cloud App Security session policy

Aby utworzyć zasady nowej sesji, wykonaj poniższą procedurę:To create a new session policy, follow this procedure:

  1. W portalu, wybierz kontroli następuje zasad.In the portal, select Control followed by Policies.

  2. W zasady kliknij przycisk Tworzenie zasad i wybierz zasady sesji.In the Policies page, click Create policy and select Session policy.

    Tworzenie zasad sesji

  3. W zasady sesji okna, Przypisz nazwę zasady, takie jak bloku pobierania z poufnych dokumentów w okno marketingu użytkowników.In the Session policy window, assign a name for your policy, such as Block Download of Sensitive Documents in Box for Marketing Users.

    Zasady nowej sesji

  4. W — typ formantu sesji pola:In the Session control type field:

    1. Wybierz monitorować tylko Jeśli chcesz monitorować działania przez użytkowników.Select Monitor only if you only want to monitor activities by users. Spowoduje to utworzenie zasady tylko Monitor, w którym wszystkie sesje logowania, pobiera heurystycznego i będzie można pobrać typów działań dla wybranych aplikacji.This will create a Monitor only policy in which, all sign-ins, heuristic downloads, and Activity types will be downloaded, for the apps you selected.

    2. Wybierz kontroli pobierania pliku (z DLP) Jeśli chcesz monitorować działania użytkownika i podejmować dodatkowe akcje, takie jak blok lub chronić pliki do pobrania dla użytkowników.Select Control file download (with DLP) if you want to monitor user activities and take additional actions, such as block or protect downloads for users.

      zasady sesji — typ formantu

    3. Wybierz blokowanie działania zablokować konkretne działania, które można wybrać przy użyciu typ działania filtru.Select Block activities to block specific activities which you can select using the Activity type filter. Wszystkie działania z wybranych aplikacji będzie monitorowany (i w dzienniku aktywności).All activities from selected apps will be monitored (and reported in the Activity log). Konkretne działania, należy wybrać zostanie zablokowane, jeśli zostanie wybrana bloku akcji i konkretne działania wybrano zgłosi alerty na wybranie testu akcji i alerty włączona.The specific activities you select will be blocked if you select the Block action, and the specific activities you selected will raise alerts on if you select the Test action and have alerts turned on.

  5. W obszarze źródło działania w działania dopasowane do wszystkich następujących wybierz dodatkowe działania filtrów do zastosowania do zasad.Under Activity source in the Activities matching all of the following section, select additional activity filters to apply to the policy. Obejmują one następujące opcje:These can include the following options:

    • Tagi urządzenia: ten filtr służy do identyfikowania niezarządzanych urządzeń.Device tags: Use this filter to identify unmanaged devices.

    • Lokalizacja: ten filtr umożliwia określenie lokalizacji Nieznany (i w związku z tym ryzykowne).Location: Use this filter to identify unknown (and therefore risky) locations.

    • Adres IP: Użyj tego filtru do filtrowania na adresy IP lub użyj uprzednio przypisane tagi adresów IP.IP address: Use this filter to filter per IP addresses or use previously assigned IP address tags.

    • Tag agenta użytkownika: użyć filtru, aby włączyć heurystyki w celu zidentyfikowania aplikacji mobilnych i klasycznych.User agent tag: Use this filter to enable the heuristic to identify mobile and desktop apps. Ten filtr może mieć wartość równą lub nie jest równa Native client i należy badać względem aplikacji mobilnych i klasycznych dla każdej aplikacji w chmurze.This filter can be set to equals or does not equal Native client and should be tested against your mobile and desktop apps for each cloud app.

      Obsługa natywnego klienta

      Uwaga

      Zasady sesji nie obsługują aplikacji mobilnych i klasycznych.Session policies don’t support mobile and desktop apps. Upewnij się, że testowania zasad sesji, aby zobaczyć, czy nie koliduje z funkcjami aplikacji mobilnych i klasycznych.Make sure to test session policies to see that they don’t interfere with mobile and desktop app functionality. W razie potrzeby umożliwia wykluczanie aplikacji mobilnych i klasycznych z zasady sesji.If necessary, exclude mobile and desktop apps from session policies.

      Źródło działania zasad sesji

  6. Jeśli wybrano opcję kontroli pobierania pliku (z DLP):If you selected the option to Control file download (with DLP):

    1. W obszarze źródło działania w spełniającego wszystkie następujące pliki wybierz dodatkowego pliku filtrów do zastosowania do zasad.Under Activity source in the Files matching all of the following section, select additional file filters to apply to the policy. Obejmują one następujące opcje:These can include the following options:

      • Etykiety klasyfikacji — Użyj filtru, jeśli Twoja organizacja korzysta z usługi Azure Information Protection i chronionej przez jego etykiet klasyfikacji danych.Classification label - Use this filter if your organization uses Azure Information Protection, and your data has been protected by its Classification labels. W tym miejscu następnie można filtrować na podstawie zastosowanych do nich etykiety klasyfikacji plików.Here you will then be able to filter files based on the Classification label you applied to them. Aby uzyskać więcej informacji na temat integracji między Cloud App Security i usługi Azure Information Protection, zobacz integracji usługi Azure Information Protection.For more information about integration between Cloud App Security and Azure Information Protection, see Azure Information Protection integration.

      • Nazwa pliku — Użyj filtru do stosowania zasad do określonych plików.File name - Use this filter to apply the policy to specific files.

      • Typ pliku — Użyj filtru do stosowania zasad do określonych typów plików, na przykład bloku pobierania wszystkich plików xls.File type - Use this filter to apply the policy to specific file types, for example, block download for all .xls files.

        filtry plików zasad sesji

    2. W inspekcja zawartości sekcji, określ, czy chcesz włączyć aparatu DLP skanowania dokumentów i plików zawartości.In the Content inspection section, set whether you want to enable the DLP engine to scan documents and file content.

      inspekcja zawartości zasad sesji

    3. W obszarze akcje, wybierz jedną z następujących czynności:Under Actions, select one of the following:

      • Test (wszystkie działania monitorowania): Ustaw tę akcję, aby jawnie zezwolić na pobieranie zgodnie z filtrów zasad możesz ustawić.Test (Monitor all activities): Set this action to explicitly allow download according to the policy filters you set.

      • Block (Blokuj pobierania pliku i monitorować wszystkie działania): Ustaw tę akcję, aby jawnie zablokować pobierania zgodnie z filtrów zasad możesz ustawić.Block (Block file download and monitor all activities): Set this action to explicitly block download according to the policy filters you set. Aby uzyskać więcej informacji, zobacz działania pobierania bloku.For more information, see How block download works.

      • Ochrona (Zastosuj etykiety klasyfikacji do pobrania i monitorować wszystkie działania): to jest dostępna tylko w przypadku wybrania kontroli pobierania pliku (z DLP) w obszarze zasady sesji.Protect (Apply classification label to download and monitor all activities): This is only available if you selected Control file download (with DLP) under Session policy. Jeśli Twoja organizacja korzysta z usługi Azure Information Protection, możesz ustawić akcji do zastosowania etykiety klasyfikacji ustawić usługi Azure Information Protection do pliku.If your organization uses Azure Information Protection, you can set an Action to apply a classification label set in Azure Information Protection to the file. Aby uzyskać więcej informacji, zobacz jak chronić działania pobierania.For more information, see How protect download works.

        Akcje zasady sesji

  7. Możesz Utwórz alert dla każdego zdarzenia zgodne z ustawieniem w zasadach ważność i ustawić limit alertów i określ, czy alert jako wiadomość e-mail, wiadomość tekstowa lub oba.You can Create an alert for each matching event with the policy's severity and set an alert limit and select whether you want the alert as an email, a text message or both.

    alert zasad sesji

Monitoruj wszystkie działania Monitor all activities

Podczas tworzenia zasady sesji każdej sesji użytkownika, który jest zgodne z zasadami bezpośrednio przekierowanie do kontroli sesji, a nie do aplikacji.When you create a session policy, each user session that matches the policy is redirected to session control rather than to the app directly. Użytkownicy otrzymają powiadomienie monitorowania, aby go poinformować, że ich sesje są monitorowane.The user will see a monitoring notice to let them know that their sessions are being monitored.

sesji monitorowania powiadomień

Jeśli nie chcesz powiadomić użytkownika, że są właśnie monitorowane, można wyłączyć komunikat powiadomienia.If you do not want to notify the user that they are being monitored, you can disable the notification message.

  1. W obszarze koło zębate ustawień, wybierz ustawienia ogólne.Under the settings cog, select General settings.

  2. Następnie w obszarze kontroli dostępu warunkowego w aplikacji wybierz monitorowanie użytkownika i usuń zaznaczenie pozycji powiadomić użytkowników wyboru.Then, under Conditional Access App Control select User monitoring and unselect the Notify users checkbox.

    Wyłącz sesji monitorowania powiadomień

Aby zachować użytkownika w ramach sesji, kontroli dostępu warunkowego w aplikacji zastępuje wszystkie odpowiednie adresy URL, skryptów Java i pliki cookie sesji aplikacji z adresami URL programu Microsoft Cloud App zabezpieczeń.To keep the user within the session, Conditional Access App Control replaces all the relevant URLs, Java scripts, and cookies within the app session with Microsoft Cloud App Security URLs. Na przykład: Jeśli aplikacja zwraca stronę z łączami, których domeny kończy się wyrazem myapp.com, kontroli dostępu warunkowego w aplikacji zastępuje łącza domen kończąc wyglądać mniej więcej tak: myapp.com.us.cas.ms.For example: if the app returns a page with links whose domains ends with myapp.com, Conditional Access App Control replaces the links with domains ending with something like: myapp.com.us.cas.ms. W ten sposób całej sesji jest monitorowany przez Microsoft Cloud App Security.This way the entire session is monitored by Microsoft Cloud App Security.

Kontrola dostępu warunkowego w aplikacji rejestruje dzienników ruchu w każdej sesji użytkownika, który jest kierowany przez niego.Conditional Access App Control records the traffic logs of every user session that is routed through it. Dzienników ruchu to czas, adresu IP, agent użytkownika, odwiedzi adresów URL oraz liczbę bajtów przekazać i pobrane.The traffic logs include the time, IP, user agent, URLs visited, and the number of bytes uploaded and downloaded. Te dzienniki są analizowane i ciągłe raportu o nazwie chmury aplikacji warunkowego dostępu do aplikacji kontrolę zabezpieczeń zostanie dodany do listy raportów Cloud Discovery w pulpicie nawigacyjnym rozwiązania Cloud Discovery.These logs are analyzed and a continuous report called Cloud App Security Conditional Access App Control is added to the list of Cloud Discovery reports in the Cloud Discovery dashboard.

Raport kontroli aplikacji dostępu warunkowego

Aby wyeksportować te dzienniki:To export these logs:

  1. Przejdź do koła zębatego ustawienia i kliknij przycisk kontroli dostępu warunkowego w aplikacji.Go to the settings cog and click Conditional Access App Control.
  2. Po prawej stronie tabeli kliknij przycisk EksportujOn the right side of the table, click the export button przycisk Eksportuj..
  3. Wybierz zakres raportu, a następnie kliknij przycisk wyeksportować.Select the range of the report and click Export. Ten proces może potrwać pewien czas.This process may take some time.

Aby pobrać wyeksportowany dziennika:To download the exported log:

  1. Gdy raport jest gotowe, przejdź do zbadaj , a następnie raporty niestandardowe.After the report is ready, go to Investigate and then Custom reports.
  2. W tabeli, wybierz odpowiedni raport z listy dzienników ruchu kontroli dostępu warunkowego w aplikacji i kliknij przycisk Pobierz przycisk Pobierz.In the table, select the relevant report from the list of Conditional Access App Control traffic logs and click download download button.

Blokuj wszystkie pliki do pobrania Block all downloads

Gdy bloku jest ustawiony jako akcji ma być wykonywana w ramach zasad sesji Cloud App Security, kontroli dostępu warunkowego w aplikacji uniemożliwia pobieranie plików zgodnie z pliku zasad użytkownika filtry.When Block is set as the Action you want to take in the Cloud App Security session policy, Conditional Access App Control prevents a user from downloading a file in accordance with the policy’s file filters. Zdarzenie pobierania jest rozpoznawany przez Microsoft Cloud App Security dla każdej aplikacji SAML i gdy użytkownik inicjuje tego zdarzenia, kontroli dostępu warunkowego w aplikacji uczestniczyło w czasie rzeczywistym, aby uniemożliwić jego uruchomienie.A download event is recognized by Microsoft Cloud App Security for each SAML app and when a user initiates this event, Conditional Access App Control intervenes in real time to prevent it from running. Po odebraniu sygnału czy użytkownik zainicjował pobieranie kontroli dostępu warunkowego w aplikacji zwraca pobierania ograniczone wiadomość do użytkownika i zastępuje pobrany plik plik tekstowy, który zawiera komunikat można dostosowywać do użytkownika, które można skonfigurować zasady sesji.When the signal is received that a user has initiated a download, Conditional Access App Control returns a Download restricted message to the user and replaces the downloaded file with a text file that contains a customizable message to the user, which can be configured from the session policy.

Konkretne działania bloku Block specific activities

Gdy blokowanie działania jest ustawiony jako typ działania, możesz wybrać konkretne działania, aby zablokować w określonych aplikacji.When Block activities is set as the Activity type, you can select specific activities to block in specific apps. Wszystkie działania z wybranych aplikacji będzie monitorowane (i w dzienniku aktywności), a konkretne działania, należy wybrać zostanie zablokowane, jeśli zostanie wybrana bloku akcji i konkretne działania wybrano zgłaszał alerty na w przypadku wybrania testu akcji i alerty włączona.All activities from selected apps will be monitored (and reported in the Activity log) and the specific activities you select will be blocked if you select the Block action, and the specific activities you selected will raise alerts on if you select the Test action and have alerts turned on.

Ochrona plików w pobierania Protect files on download

Wybierz blokowanie działania zablokować konkretne działania, które można wybrać przy użyciu typ działania filtru.Select Block activities to block specific activities which you can select using the Activity type filter. Wszystkie działania z wybranych aplikacji będzie monitorowany (i w dzienniku aktywności).All activities from selected apps will be monitored (and reported in the Activity log). Konkretne działania, należy wybrać zostanie zablokowane, jeśli zostanie wybrana bloku akcji i konkretne działania wybrano zgłosi alerty na wybranie testu akcji i alerty włączona.The specific activities you select will be blocked if you select the Block action, and the specific activities you selected will raise alerts on if you select the Test action and have alerts turned on. Gdy Chroń jest ustawiony jako akcji podejmowanych w zasadach sesji Cloud App Security, kontroli dostępu warunkowego w aplikacji wymusza etykietowania i kolejne ochrony plików przy użyciu filtry plików w zasadach.When Protect is set as the Action to be taken in the Cloud App Security session policy, Conditional Access App Control enforces the labeling and subsequent protection of a file in accordance with the policy’s file filters. Etykiety są konfigurowane w konsoli usługi Azure Information Protection na platformie Azure i Chroń należy wybrać w etykiecie dla etykiety, które były wyświetlane jako opcja zasad Cloud App Security.Labels are configured in the Azure Information Protection console in Azure and Protect must be selected within the label for the label to appear as an option in the Cloud App Security policy. Gdy jest zaznaczone etykiety, a plik jest pobierana, która spełnia kryteria zasad Cloud App Security, etykiety i odpowiedniej ochrony (przy użyciu uprawnień) jest stosowany do pliku podczas pobierania.When a label is selected, and a file is downloaded that meets the criteria of the Cloud App Security policy, the label, and corresponding protection (with permissions) is applied to the file upon download. Oryginalny plik pozostaje jako-podczas pobrany plik jest teraz chroniony znajduje się w aplikacji w chmurze.The original file remains as-is in the cloud app while the downloaded file is now protected. Próba uzyskania dostępu do pliku muszą spełniać wymagania uprawnień ustaleniami objęte ochroną.Users who attempt to access the file must meet the permission requirements determined by the protection applied.

«Poprzedni: Wdrażanie kontroli dostępu warunkowego aplikacji« PREVIOUS: Deploy Conditional Access App Control
NASTĘPNIE: Jak utworzyć zasady dostępu»NEXT: How to create an access policy »

Zobacz teżSee Also

Blokuje pliki do pobrania na urządzeniach niezarządzanych za pomocą funkcji kontroli aplikacji usługi Azure AD warunkowego dostępuBlocking downloads on unmanaged devices using Azure AD Conditional Access App Control capabilities

Klienci wersji Premium mogą również wybrać usługę Cloud App Security bezpośrednio z Portalu Premium.Premier customers can also choose Cloud App Security directly from the Premier Portal.