Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Zasady sesjiSession policies

«Poprzedni: Wdrażanie kontroli dostępu warunkowego aplikacji« PREVIOUS: Deploy Conditional Access App Control
NASTĘPNIE: Jak utworzyć zasady dostępu "NEXT: How to create an access policy »

Zasady sesji Microsoft Cloud App Security włączyć monitorowanie w czasie rzeczywistym poziomu sesji, współtworzone szczegółowy wgląd w aplikacje w chmurze i możliwości, aby wykonać różne operacje, w zależności od zasad ustawionych dla sesji użytkownika.Microsoft Cloud App Security session policies enable real-time session-level monitoring, affording you granular visibility into cloud apps and the ability to take different actions depending on the policy you set for a user session. Zamiast zezwalanie lub blokowanie dostępu do całkowicie, za pomocą kontroli sesji można zezwolić na dostęp podczas monitorowania sesji i/lub limit działań określonej sesji przy użyciu funkcji zwrotnego serwera proxy aplikacji dostępu warunkowego Formant.Instead of allowing or blocking access completely, with session control you can allow access while monitoring the session and/or limit specific session activities using the reverse proxy capabilities of Conditional Access App Control.

Na przykład możesz zdecydować, że z niezarządzanych urządzeń lub sesji pochodzące z określonych lokalizacji chcesz zezwolić użytkownikowi na dostęp do aplikacji, ale również ograniczyć pobierania poufnych plików lub wymagają ochronę podczas pobierania niektórych dokumentów.For example, you can decide that from unmanaged devices, or for sessions coming from specific locations, you want to allow the user to access the app, but also limit the download of sensitive files or require that certain documents be protected upon download. Zasady sesji pozwalają na ustawienie tych kontroli sesji użytkownika i zezwolić na dostęp i umożliwia:Session policies enable you to set these user-session controls and allow access and enables you to:

Wymagania wstępne dotyczące przy użyciu zasady sesjiPrerequisites to using session policies

Uwaga

  • Zasady sesji obsługuje również aplikacje, które są skonfigurowane za pomocą dostawców tożsamości innych niż Usługa Azure AD.Session policies also support apps that are configured with identity providers other than Azure AD. Aby uzyskać więcej informacji na temat tego scenariusza, Wyślij wiadomość e-mail do mcaspreview@microsoft.com.For more information about this scenario, send an email to mcaspreview@microsoft.com.

Tworzenie zasad dostępu warunkowego usługi Azure ADCreate an Azure AD conditional access policy

Zasady dostępu warunkowego w usłudze Azure Active Directory i zasady sesji w usłudze Cloud App Security działają w tandem zbadanie każdej sesji użytkownika i decyzje dotyczące zasad dla każdej aplikacji.Azure Active Directory conditional access policies and Cloud App Security session policies work in tandem to examine each user session and make policy decisions for each app. Aby skonfigurować zasady dostępu warunkowego w usłudze Azure AD, wykonaj poniższą procedurę:To set up a conditional access policy in Azure AD, follow this procedure:

  1. Konfigurowanie zasad dostępu warunkowego usługi Azure AD za pomocą przypisań dla użytkownika lub grupy użytkowników i aplikacji SAML, które użytkownik chce kontrolować za pomocą kontroli dostępu warunkowego w aplikacji.Configure an Azure AD conditional access policy with assignments for user or group of users and the SAML app you want to control with the Conditional Access App Control.

    Uwaga

    Tylko te aplikacje, które zostały wdrożona za pomocą kontroli dostępu warunkowego aplikacji wpływ tych zasad.Only apps that were deployed with Conditional Access App Control will be affected by this policy.

  2. Przekierowywać użytkowników do Microsoft Cloud App Security, wybierając Użyj kontroli dostępu warunkowego w aplikacji wymuszonych ograniczeń w sesji bloku.Route users to Microsoft Cloud App Security by selecting the Use Conditional Access App Control enforced restrictions in the Session blade.

Utwórz zasady sesji Cloud App SecurityCreate a Cloud App Security session policy

Aby utworzyć zasadę nową sesję, wykonaj poniższą procedurę:To create a new session policy, follow this procedure:

  1. W portalu, wybierz kontroli następuje zasady.In the portal, select Control followed by Policies.

  2. W zasady kliknij Tworzenie zasad i wybierz zasady sesji.In the Policies page, click Create policy and select Session policy.

  3. W zasady sesji oknie przypisać nazwę zasady, takie jak bloku Pobierz z poufnych dokumentów w usłudze Box dla użytkowników marketingu.In the Session policy window, assign a name for your policy, such as Block Download of Sensitive Documents in Box for Marketing Users.

  4. W typ kontroli sesji pola:In the Session control type field:

    1. Wybierz tylko monitorowanie Jeśli chcesz monitorować działania przez użytkowników.Select Monitor only if you only want to monitor activities by users. Spowoduje to utworzenie zasad tylko Monitor, w którym wszystkich logowań heurystyki pliki do pobrania i będzie można pobrać typów działań dla wybranych aplikacji.This will create a Monitor only policy in which, all sign-ins, heuristic downloads, and Activity types will be downloaded, for the apps you selected.

    2. Wybierz pobieranie pliku sterowania (z DLP) Jeśli chcesz monitorować działania użytkowników i wykonać dodatkowe akcje, takie jak bloku lub chronić pliki do pobrania dla użytkowników.Select Control file download (with DLP) if you want to monitor user activities and take additional actions, such as block or protect downloads for users.

    3. Wybierz blokowanie działania zablokować konkretne działania, które można wybrać za pomocą typ działania filtru.Select Block activities to block specific activities which you can select using the Activity type filter. Wszystkie działania z wybranych aplikacji będą monitorowane (oraz zgłaszane w dzienniku aktywności).All activities from selected apps will be monitored (and reported in the Activity log). Konkretne działania, możesz wybrać zostanie zablokowane, jeśli wybierzesz bloku akcji i konkretne działania, które wybrano będzie zgłaszał alerty na wybranie testu akcji i mieć alertów jest włączona.The specific activities you select will be blocked if you select the Block action, and the specific activities you selected will raise alerts on if you select the Test action and have alerts turned on.

  5. W obszarze źródło działania w działania dopasowane do wszystkich następujących wybierz działanie dodatkowych filtrów do zastosowania do zasad.Under Activity source in the Activities matching all of the following section, select additional activity filters to apply to the policy. Obejmują one następujące opcje:These can include the following options:

    • Tagi urządzenia: ten filtr służy do identyfikowania niezarządzanych urządzeń.Device tags: Use this filter to identify unmanaged devices.

    • Lokalizacja: ten filtr służy do identyfikowania lokalizacji Nieznany (i w związku z tym ryzykowne).Location: Use this filter to identify unknown (and therefore risky) locations.

    • Adres IP: Użyj tym filtr do filtru na adresy IP lub użyj uprzednio przypisane tagi adresów IP.IP address: Use this filter to filter per IP addresses or use previously assigned IP address tags.

    • Tag agenta użytkownika: Użyj tego filtru, aby włączyć Algorytm heurystyczny w celu zidentyfikowania aplikacji mobilnych i klasycznych.User agent tag: Use this filter to enable the heuristic to identify mobile and desktop apps. Ten filtr można ustawić równa się lub nie jest równa Native client i powinien zostać przetestowany względem aplikacji mobilnych i klasycznych dla każdej aplikacji w chmurze.This filter can be set to equals or does not equal Native client and should be tested against your mobile and desktop apps for each cloud app.

      Uwaga

      Zasady sesji nie obsługują aplikacji mobilnych i klasycznych.Session policies don’t support mobile and desktop apps. Aplikacje mobilne i aplikacje komputerowe można być zablokowane lub dozwolone przez utworzenie zasad dostępu.Mobile apps and desktop apps can also be blocked or allowed by creating an access policy.

  6. W przypadku wybrania opcji pobieranie pliku sterowania (z DLP):If you selected the option to Control file download (with DLP):

    1. W obszarze źródło działania w pliki dopasowane do wszystkich następujących wybierz dodatkowy plik filtrów do zastosowania do zasad.Under Activity source in the Files matching all of the following section, select additional file filters to apply to the policy. Obejmują one następujące opcje:These can include the following options:

      • Etykieta klasyfikacji — Użyj tego filtru, jeśli Twoja organizacja korzysta z usługi Azure Information Protection, a dane objęty ochroną z jej etykiet klasyfikacji.Classification label - Use this filter if your organization uses Azure Information Protection, and your data has been protected by its Classification labels. W tym miejscu następnie można filtrować pliki oparte na zastosowanych do nich etykiety klasyfikacji.Here you will then be able to filter files based on the Classification label you applied to them. Aby uzyskać więcej informacji na temat integracji między Cloud App Security i Azure Information Protection, zobacz integracji usługi Azure Information Protection.For more information about integration between Cloud App Security and Azure Information Protection, see Azure Information Protection integration.

      • Nazwa pliku — Użyj tego filtru, aby zastosować zasady do określonych plików.File name - Use this filter to apply the policy to specific files.

      • Typ pliku — Użyj tego filtru, aby zastosować zasady do określonych typów plików, na przykład blok pobierania dla wszystkich plików xls.File type - Use this filter to apply the policy to specific file types, for example, block download for all .xls files.

    2. W inspekcja zawartości sekcji, ustal, czy chcesz włączyć aparat DLP do skanowania dokumentów i zawartość pliku.In the Content inspection section, set whether you want to enable the DLP engine to scan documents and file content.

    3. W obszarze akcje, wybierz jedną z następujących czynności:Under Actions, select one of the following:

      • Test (Monitoruj wszystkie działania): Ustaw tę akcję, aby jawnie zezwolić na pobieranie zgodnie z filtrów zasad możesz ustawić.Test (Monitor all activities): Set this action to explicitly allow download according to the policy filters you set.

      • Block (Blokuj pobieranie plików i Monitoruj wszystkie działania): Ustaw tę akcję, aby jawnie blokować pobieranie zgodnie z filtrów zasad możesz ustawić.Block (Block file download and monitor all activities): Set this action to explicitly block download according to the policy filters you set. Aby uzyskać więcej informacji, zobacz działania Blokuj pobieranie.For more information, see How block download works.

      • Ochrona (Zastosuj etykietę klasyfikacji, aby pobrać i Monitoruj wszystkie działania): to jest dostępna tylko w przypadku wybrania pobieranie pliku sterowania (z DLP) w obszarze zasady sesji.Protect (Apply classification label to download and monitor all activities): This is only available if you selected Control file download (with DLP) under Session policy. Jeśli Twoja organizacja korzysta z usługi Azure Information Protection, możesz ustawić akcji do zastosowania etykiety klasyfikacji ustawić usługę Azure Information Protection do pliku.If your organization uses Azure Information Protection, you can set an Action to apply a classification label set in Azure Information Protection to the file. Aby uzyskać więcej informacji, zobacz jak chronić działania pobierania.For more information, see How protect download works.

  7. Możesz Utwórz alert w przypadku każdego pasującego zdarzenia z ważnością zasad i Ustaw limit alertów i określ, czy alert jako wiadomość e-mail, wiadomość SMS lub obu.You can Create an alert for each matching event with the policy's severity and set an alert limit and select whether you want the alert as an email, a text message or both.

Monitoruj wszystkie działania Monitor all activities

Podczas tworzenia zasady sesji każdej sesji użytkownika, który pasuje do zasad jest przekierowywany do kontroli sesji, a nie do aplikacji bezpośrednio.When you create a session policy, each user session that matches the policy is redirected to session control rather than to the app directly. Użytkownik będzie widział monitorowania powiadomienie z informacją o tym, czy ich sesji są monitorowane.The user will see a monitoring notice to let them know that their sessions are being monitored.

Jeśli nie chcesz powiadomić użytkownika, że są właśnie monitorowane, możesz wyłączyć komunikat powiadomienia.If you do not want to notify the user that they are being monitored, you can disable the notification message.

  1. W obszarze przypominającą koło zębate wybierz ustawienia ogólne.Under the settings cog, select General settings.

  2. Następnie w obszarze kontroli dostępu warunkowego aplikacji wybierz monitorowanie użytkownika i usuń zaznaczenie pozycji powiadamiania użytkowników pola wyboru.Then, under Conditional Access App Control select User monitoring and unselect the Notify users checkbox.

Aby użytkownicy w ramach sesji, kontroli dostępu warunkowego aplikacji zastępuje wszystkie odpowiednie adresy URL, Java, skrypty i pliki cookie sesji aplikacji przy użyciu adresów URL programu Microsoft Cloud App zabezpieczeń.To keep the user within the session, Conditional Access App Control replaces all the relevant URLs, Java scripts, and cookies within the app session with Microsoft Cloud App Security URLs. Na przykład: Jeśli aplikacja zwróci strony wraz z łączami, w których domeny kończy się myapp.com, kontroli dostępu warunkowego aplikacji zastępuje łącza z domenami, kończąc mniej więcej tak: myapp.com.us.cas.ms.For example: if the app returns a page with links whose domains ends with myapp.com, Conditional Access App Control replaces the links with domains ending with something like: myapp.com.us.cas.ms. W ten sposób podczas całej sesji jest monitorowana przez Microsoft Cloud App Security.This way the entire session is monitored by Microsoft Cloud App Security.

Kontroli dostępu warunkowego aplikacji rejestruje dzienniki ruchu z każdą sesję użytkownika, który jest kierowany przez nią.Conditional Access App Control records the traffic logs of every user session that is routed through it. Dzienniki ruchu obejmują agenta użytkownika w czasie, adres IP, odwiedzane adresy URL i liczbę bajtów przekazane oraz pobrane.The traffic logs include the time, IP, user agent, URLs visited, and the number of bytes uploaded and downloaded. Te dzienniki są analizowane i o nazwie Raport ciągły Cloud App Security kontroli dostępu warunkowego aplikacji zostanie dodany do listy raportów rozwiązania Cloud Discovery w pulpicie nawigacyjnym rozwiązania Cloud Discovery.These logs are analyzed and a continuous report called Cloud App Security Conditional Access App Control is added to the list of Cloud Discovery reports in the Cloud Discovery dashboard.

Aby wyeksportować te dzienniki:To export these logs:

  1. Przejdź do koło zębate ustawienia i kliknij kontroli dostępu warunkowego aplikacji.Go to the settings cog and click Conditional Access App Control.
  2. W prawej tabeli kliknij przycisk EksportujOn the right side of the table, click the export button przycisk Eksportuj..
  3. Wybierz zakres raportu, a następnie kliknij przycisk wyeksportować.Select the range of the report and click Export. Ten proces może potrwać pewien czas.This process may take some time.

Aby pobrać wyeksportowane dziennika:To download the exported log:

  1. Gdy raport jest gotowy, przejdź do zbadaj i następnie raporty niestandardowe.After the report is ready, go to Investigate and then Custom reports.
  2. W tabeli, wybierz odpowiedni raport z listy dzienników ruchu kontroli dostępu warunkowego aplikacji i kliknij przycisk Pobierz przycisk Pobierz.In the table, select the relevant report from the list of Conditional Access App Control traffic logs and click download download button.

Blokuj wszystkie pliki do pobrania Block all downloads

Gdy bloku jest ustawiony jako akcji chcesz wykonać w zasadach sesji usługi Cloud App Security, kontroli dostępu warunkowego aplikacji uniemożliwia pobieranie plików zgodnie z pliku zasad użytkownika filtry.When Block is set as the Action you want to take in the Cloud App Security session policy, Conditional Access App Control prevents a user from downloading a file in accordance with the policy’s file filters. To zdarzenie pobierania jest rozpoznawany przez Microsoft Cloud App Security dla każdej aplikacji SAML, a po użytkownik inicjuje to zdarzenie, kontroli dostępu warunkowego aplikacji uczestniczyło w czasie rzeczywistym, aby uniemożliwić jego uruchomienie.A download event is recognized by Microsoft Cloud App Security for each SAML app and when a user initiates this event, Conditional Access App Control intervenes in real time to prevent it from running. Po odebraniu sygnału, że użytkownik zainicjował pobieranie, kontroli dostępu warunkowego aplikacji zwraca pobierania z ograniczeniami komunikat dla użytkownika i zamienia pobrany plik na plik tekstowy, który zawiera wyświetlanie konfigurowalnego komunikatu użytkownikowi, którego można konfigurować na podstawie zasady sesji.When the signal is received that a user has initiated a download, Conditional Access App Control returns a Download restricted message to the user and replaces the downloaded file with a text file that contains a customizable message to the user, which can be configured from the session policy.

Blok określonych działań. Block specific activities

Gdy blokowanie działania jest ustawiony jako typ działania, możesz wybrać konkretne działania, aby zablokować w określonych aplikacji.When Block activities is set as the Activity type, you can select specific activities to block in specific apps. Wszystkie działania z wybranych aplikacji będą monitorowane (i zgłaszanych w dzienniku aktywności), a konkretne działania, możesz wybrać zostanie zablokowane, jeśli zostanie wybrana bloku akcji i konkretne działania, które wybrano zgłaszać alerty w Jeśli wybierzesz testu akcji i mieć alertów jest włączona.All activities from selected apps will be monitored (and reported in the Activity log) and the specific activities you select will be blocked if you select the Block action, and the specific activities you selected will raise alerts on if you select the Test action and have alerts turned on.

Ponadto można utworzyć kompleksowe trybu tylko do odczytu dla Twojej organizacji za pomocą zablokować konkretne działania filtru i zastosowanie go do określonych grup w Twojej organizacji.In addition, you can create a comprehensive read-only mode for your organization by using the Block specific activities filter and applying it to specific groups in your organization.

Ochrona plików podczas pobierania Protect files on download

Wybierz blokowanie działania zablokować konkretne działania, które można wybrać za pomocą typ działania filtru.Select Block activities to block specific activities which you can select using the Activity type filter. Wszystkie działania z wybranych aplikacji będą monitorowane (oraz zgłaszane w dzienniku aktywności).All activities from selected apps will be monitored (and reported in the Activity log). Konkretne działania, możesz wybrać zostanie zablokowane, jeśli wybierzesz bloku akcji i konkretne działania, które wybrano będzie zgłaszał alerty na wybranie testu akcji i mieć alertów jest włączona.The specific activities you select will be blocked if you select the Block action, and the specific activities you selected will raise alerts on if you select the Test action and have alerts turned on. Gdy Chroń jest ustawiony jako akcji podejmowanych w zasadach usługi Cloud App Security sesji kontroli dostępu warunkowego aplikacji wymusza etykietowania i kolejne ochrony pliku, zgodnie z filtrów plików zasad.When Protect is set as the Action to be taken in the Cloud App Security session policy, Conditional Access App Control enforces the labeling and subsequent protection of a file in accordance with the policy’s file filters. Etykiety są konfigurowane w konsoli usługi Azure Information Protection na platformie Azure i Chroń , należy wybrać w etykiecie etykiety były wyświetlane jako opcję w zasadach usługi Cloud App Security.Labels are configured in the Azure Information Protection console in Azure and Protect must be selected within the label for the label to appear as an option in the Cloud App Security policy. Jeśli etykieta jest zaznaczona, a plik jest pobierany, który spełnia kryteria zasad Cloud App Security, etykiety, a także odpowiedniej ochrony (przy użyciu uprawnień) są stosowane do pliku podczas pobierania.When a label is selected, and a file is downloaded that meets the criteria of the Cloud App Security policy, the label, and corresponding protection (with permissions) is applied to the file upon download. Oryginalny plik pozostaje jako — znajduje się w aplikacji w chmurze a pobrany plik jest obecnie chroniony.The original file remains as-is in the cloud app while the downloaded file is now protected. Użytkownicy, którzy spróbują dostępu do tego pliku muszą spełniać wymagania dotyczące uprawnień ustalany na podstawie objęte ochroną.Users who attempt to access the file must meet the permission requirements determined by the protection applied.

«Poprzedni: Wdrażanie kontroli dostępu warunkowego aplikacji« PREVIOUS: Deploy Conditional Access App Control
NASTĘPNIE: Jak utworzyć zasady dostępu "NEXT: How to create an access policy »

Zobacz teżSee Also

Blokowanie plików do pobrania na urządzeniach niezarządzanych przy użyciu funkcji kontroli dostępu warunkowego usługi Azure AD w aplikacjiBlocking downloads on unmanaged devices using Azure AD Conditional Access App Control capabilities

Klienci wersji Premium mogą również wybrać usługę Cloud App Security bezpośrednio z Portalu Premium.Premier customers can also choose Cloud App Security directly from the Premier Portal.