Zasady sesjiSession policies

Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

«Poprzedni: Wdrażanie kontroli dostępu warunkowego aplikacji« PREVIOUS: Deploy Conditional Access App Control
NASTĘPNIE: Jak utworzyć zasady dostępu "NEXT: How to create an access policy »

Zasady sesji Microsoft Cloud App Security włączyć monitorowanie w czasie rzeczywistym poziomu sesji, współtworzone szczegółowy wgląd w aplikacje w chmurze i możliwości, aby wykonać różne operacje, w zależności od zasad ustawionych dla sesji użytkownika.Microsoft Cloud App Security session policies enable real-time session-level monitoring, affording you granular visibility into cloud apps and the ability to take different actions depending on the policy you set for a user session. Zamiast zezwalanie lub blokowanie dostępu do całkowicie, za pomocą kontroli sesji można zezwolić na dostęp podczas monitorowania sesji i/lub limit działań określonej sesji przy użyciu funkcji zwrotnego serwera proxy aplikacji dostępu warunkowego Formant.Instead of allowing or blocking access completely, with session control you can allow access while monitoring the session and/or limit specific session activities using the reverse proxy capabilities of Conditional Access App Control.

Na przykład możesz zdecydować, że z niezarządzanych urządzeń lub sesji pochodzące z określonych lokalizacji chcesz zezwolić użytkownikowi na dostęp do aplikacji, ale również ograniczyć pobierania poufnych plików lub wymagają ochronę podczas pobierania niektórych dokumentów.For example, you can decide that from unmanaged devices, or for sessions coming from specific locations, you want to allow the user to access the app but also limit the download of sensitive files or require that certain documents be protected upon download. Zasady sesji pozwalają na ustawienie tych kontroli sesji użytkownika i zezwolić na dostęp i umożliwia:Session policies enable you to set these user-session controls and allow access and enables you to:

Wymagania wstępne dotyczące przy użyciu zasady sesjiPrerequisites to using session policies

Uwaga

Zasady sesji obsługuje również aplikacje, które są skonfigurowane za pomocą dostawców tożsamości innych niż Usługa Azure AD.Session policies also support apps that are configured with identity providers other than Azure AD. Aby uzyskać więcej informacji na temat tego scenariusza, Wyślij wiadomość e-mail do mcaspreview@microsoft.com.For more information about this scenario, send an email to mcaspreview@microsoft.com.

Tworzenie zasad dostępu warunkowego usługi Azure ADCreate an Azure AD conditional access policy

Zasady dostępu warunkowego w usłudze Azure Active Directory i zasady sesji w usłudze Cloud App Security działają w tandem zbadanie każdej sesji użytkownika i decyzje dotyczące zasad dla każdej aplikacji.Azure Active Directory conditional access policies and Cloud App Security session policies work in tandem to examine each user session and make policy decisions for each app. Aby skonfigurować zasady dostępu warunkowego w usłudze Azure AD, wykonaj poniższą procedurę:To set up a conditional access policy in Azure AD, follow this procedure:

  1. Konfigurowanie zasad dostępu warunkowego usługi Azure AD za pomocą przypisań dla użytkownika lub grupy użytkowników i aplikacji, użytkownik chce kontrolować za pomocą kontroli dostępu warunkowego w aplikacji.Configure an Azure AD conditional access policy with assignments for a user or group of users and the app you want to control with the Conditional Access App Control.

    Uwaga

    Tylko te aplikacje, które zostały wdrożona za pomocą kontroli dostępu warunkowego aplikacji wpływ tych zasad.Only apps that were deployed with Conditional Access App Control will be affected by this policy.

  2. Przekierowywać użytkowników do Microsoft Cloud App Security, wybierając Użyj kontroli dostępu warunkowego w aplikacji wymuszonych ograniczeń w sesji strony.Route users to Microsoft Cloud App Security by selecting the Use Conditional Access App Control enforced restrictions in the Session page.

Utwórz zasady sesji Cloud App SecurityCreate a Cloud App Security session policy

Aby utworzyć zasadę nową sesję, wykonaj poniższą procedurę:To create a new session policy, follow this procedure:

  1. W portalu, wybierz kontroli następuje zasady.In the portal, select Control followed by Policies.

  2. W zasady kliknij Tworzenie zasad i wybierz zasady sesji.In the Policies page, click Create policy and select Session policy.

  3. W zasady sesji oknie przypisać nazwę zasady, takie jak bloku Pobierz z poufnych dokumentów w usłudze Box dla użytkowników marketingu.In the Session policy window, assign a name for your policy, such as Block Download of Sensitive Documents in Box for Marketing Users.

  4. W typ kontroli sesji pola:In the Session control type field:

    1. Wybierz tylko monitorowanie Jeśli chcesz monitorować działania przez użytkowników.Select Monitor only if you only want to monitor activities by users. Wybranie tej opcji spowoduje utworzenie zasad tylko monitorowanie dla aplikacji, które wybrano, gdzie zostanie pobrany wszystkich logowań heurystyczne pliki do pobrania i typy działań.This selection will create a Monitor only policy for the apps you selected where all sign-ins, heuristic downloads, and Activity types will be downloaded.

    2. Wybierz pobieranie pliku sterowania (z DLP) Jeśli chcesz monitorować działania użytkowników.Select Control file download (with DLP) if you want to monitor user activities. Można wykonać dodatkowe akcje, takie jak bloku lub chronić pliki do pobrania dla użytkowników.You can take additional actions like block or protect downloads for users.

    3. Wybierz blokowanie działania zablokować konkretne działania, które można wybrać za pomocą typ działania filtru.Select Block activities to block specific activities, which you can select using the Activity type filter. Wszystkie działania z wybranych aplikacji będą monitorowane (oraz zgłaszane w dzienniku aktywności).All activities from selected apps will be monitored (and reported in the Activity log). Konkretne działania, możesz wybrać zostanie zablokowane, jeśli wybierzesz bloku akcji.The specific activities you select will be blocked if you select the Block action. Konkretne działania, które wybrano będzie zgłaszać alerty, jeśli zostanie wybrana testu akcji i mieć alertów jest włączona.The specific activities you selected will raise alerts if you select the Test action and have alerts turned on.

  5. W obszarze źródło działania w działania dopasowane do wszystkich następujących wybierz działanie dodatkowych filtrów do zastosowania do zasad.Under Activity source in the Activities matching all of the following section, select additional activity filters to apply to the policy. Filtry te mogą obejmować następujące opcje:These filters can include the following options:

    • Tagi urządzenia: ten filtr służy do identyfikowania niezarządzanych urządzeń.Device tags: Use this filter to identify unmanaged devices.

    • Lokalizacja: ten filtr służy do identyfikowania lokalizacji Nieznany (i w związku z tym ryzykowne).Location: Use this filter to identify unknown (and therefore risky) locations.

    • Adres IP: Użyj tym filtr do filtru na adresy IP lub użyj uprzednio przypisane tagi adresów IP.IP address: Use this filter to filter per IP addresses or use previously assigned IP address tags.

    • Tag agenta użytkownika: Użyj tego filtru, aby włączyć Algorytm heurystyczny w celu zidentyfikowania aplikacji mobilnych i klasycznych.User agent tag: Use this filter to enable the heuristic to identify mobile and desktop apps. Ten filtr można ustawić równa się lub nie jest równa Native client.This filter can be set to equals or doesn't equal Native client. Ten filtr powinien zostać przetestowany względem aplikacji mobilnych i klasycznych dla każdej aplikacji w chmurze.This filter should be tested against your mobile and desktop apps for each cloud app.

      Uwaga

      Zasady sesji nie obsługują aplikacji mobilnych i klasycznych.Session policies don’t support mobile and desktop apps. Aplikacje mobilne i aplikacje komputerowe można być zablokowane lub dozwolone przez utworzenie zasad dostępu.Mobile apps and desktop apps can also be blocked or allowed by creating an access policy.

  6. W przypadku wybrania opcji pobieranie pliku sterowania (z DLP):If you selected the option to Control file download (with DLP):

    1. W obszarze źródło działania w pliki dopasowane do wszystkich następujących wybierz dodatkowy plik filtrów do zastosowania do zasad.Under Activity source in the Files matching all of the following section, select additional file filters to apply to the policy. Filtry te mogą obejmować następujące opcje:These filters can include the following options:

      • Etykieta klasyfikacji — Użyj tego filtru, jeśli Twoja organizacja korzysta z usługi Azure Information Protection, a dane objęty ochroną z jej etykiet klasyfikacji.Classification label - Use this filter if your organization uses Azure Information Protection and your data has been protected by its Classification labels. Można filtrować pliki oparte na zastosowanych do nich etykiety klasyfikacji.You can filter files based on the Classification label you applied to them. Aby uzyskać więcej informacji o integracji z usługą Azure Information Protection, zobacz integracji usługi Azure Information Protection.For more information about integration with Azure Information Protection, see Azure Information Protection integration.

      • Nazwa pliku — Użyj tego filtru, aby zastosować zasady do określonych plików.File name - Use this filter to apply the policy to specific files.

      • Typ pliku — Użyj tego filtru, aby zastosować zasady do określonych typów plików, na przykład blok pobierania dla wszystkich plików xls.File type - Use this filter to apply the policy to specific file types, for example, block download for all .xls files.

    2. W inspekcja zawartości sekcji, ustal, czy chcesz włączyć aparat DLP do skanowania dokumentów i zawartość pliku.In the Content inspection section, set whether you want to enable the DLP engine to scan documents and file content.

    3. W obszarze akcje, wybierz jedną z następujących elementów:Under Actions, select one of the following items:

      • Test (Monitoruj wszystkie działania): Ustaw tę akcję, aby jawnie zezwolić na pobieranie zgodnie z filtrów zasad możesz ustawić.Test (Monitor all activities): Set this action to explicitly allow download according to the policy filters you set.

      • Block (Blokuj pobieranie plików i Monitoruj wszystkie działania): Ustaw tę akcję, aby jawnie blokować pobieranie zgodnie z filtrów zasad możesz ustawić.Block (Block file download and monitor all activities): Set this action to explicitly block download according to the policy filters you set. Aby uzyskać więcej informacji, zobacz działania Blokuj pobieranie.For more information, see How block download works.

      • Ochrona (Zastosuj etykietę klasyfikacji, aby pobrać i Monitoruj wszystkie działania): Ta opcja jest dostępna tylko jeśli wybrano pobieranie pliku sterowania (z DLP) w obszarze zasady sesji.Protect (Apply classification label to download and monitor all activities): This option is only available if you selected Control file download (with DLP) under Session policy. Jeśli Twoja organizacja korzysta z usługi Azure Information Protection, możesz ustawić akcji do zastosowania etykiety klasyfikacji ustawić usługę Azure Information Protection do pliku.If your organization uses Azure Information Protection, you can set an Action to apply a classification label set in Azure Information Protection to the file. Aby uzyskać więcej informacji, zobacz jak chronić działania pobierania.For more information, see How protect download works.

  7. Możesz Utwórz alert w przypadku każdego pasującego zdarzenia z ważnością zasad i Ustaw limit alertów.You can Create an alert for each matching event with the policy's severity and set an alert limit. Wybierz, czy alert jako wiadomość e-mail, wiadomość SMS lub obu.Select whether you want the alert as an email, a text message, or both.

Monitoruj wszystkie działania Monitor all activities

Podczas tworzenia zasady sesji każdej sesji użytkownika, który pasuje do zasad jest przekierowywany do kontroli sesji, a nie do aplikacji bezpośrednio.When you create a session policy, each user session that matches the policy is redirected to session control rather than to the app directly. Użytkownik będzie widział monitorowania powiadomienie z informacją o tym, czy ich sesji są monitorowane.The user will see a monitoring notice to let them know that their sessions are being monitored.

Jeśli nie chcesz powiadomić użytkownika, że są one monitorowane, możesz wyłączyć komunikat powiadomienia.If you don't want to notify the user that they're being monitored, you can disable the notification message.

  1. W obszarze przypominającą koło zębate wybierz ustawienia ogólne.Under the settings cog, select General settings.

  2. Następnie w obszarze kontroli dostępu warunkowego aplikacji wybierz monitorowanie użytkownika i usuń zaznaczenie pozycji powiadamiania użytkowników pola wyboru.Then, under Conditional Access App Control select User monitoring and unselect the Notify users checkbox.

Aby użytkownicy w ramach sesji, kontroli dostępu warunkowego aplikacji zastępuje wszystkie odpowiednie adresy URL, Java, skrypty i pliki cookie sesji aplikacji przy użyciu adresów URL programu Microsoft Cloud App zabezpieczeń.To keep the user within the session, Conditional Access App Control replaces all the relevant URLs, Java scripts, and cookies within the app session with Microsoft Cloud App Security URLs. Na przykład jeśli aplikacja zwróci strony wraz z łączami, w których domeny kończy się myapp.com, kontroli dostępu warunkowego aplikacji zastępuje łącza z domenami kończące się wierszem podobnym myapp.com.us.cas.ms.For example, if the app returns a page with links whose domains ends with myapp.com, Conditional Access App Control replaces the links with domains ending with something like myapp.com.us.cas.ms. W ten sposób podczas całej sesji jest monitorowana przez Microsoft Cloud App Security.This way the entire session is monitored by Microsoft Cloud App Security.

Kontroli dostępu warunkowego aplikacji rejestruje dzienniki ruchu z każdą sesję użytkownika, który jest kierowany przez nią.Conditional Access App Control records the traffic logs of every user session that is routed through it. Dzienniki ruchu obejmują agenta użytkownika w czasie, adres IP, odwiedzane adresy URL i liczbę bajtów przekazane oraz pobrane.The traffic logs include the time, IP, user agent, URLs visited, and the number of bytes uploaded and downloaded. Te dzienniki są analizowane i raportu ciągłego Cloud App Security kontroli dostępu warunkowego aplikacji, zostanie dodany do listy raportów rozwiązania Cloud Discovery w pulpicie nawigacyjnym rozwiązania Cloud Discovery.These logs are analyzed and a continuous report, Cloud App Security Conditional Access App Control, is added to the list of Cloud Discovery reports in the Cloud Discovery dashboard.

Aby wyeksportować te dzienniki:To export these logs:

  1. Przejdź do koło zębate ustawienia i kliknij kontroli dostępu warunkowego aplikacji.Go to the settings cog and click Conditional Access App Control.

  2. W prawej tabeli kliknij przycisk Eksportuj.On the right side of the table, click the export button.

    przycisk Eksportuj

  3. Wybierz zakres raportu, a następnie kliknij przycisk wyeksportować.Select the range of the report and click Export. Ten proces może potrwać pewien czas.This process may take some time.

Aby pobrać wyeksportowane dziennika:To download the exported log:

  1. Gdy raport jest gotowy, przejdź do ustawienia i następnie wyeksportowane raporty.After the report is ready, go to Settings and then Exported reports.

  2. W tabeli, wybierz odpowiedni raport z listy dzienników ruchu kontroli dostępu warunkowego aplikacji i kliknij przycisk Pobierz.In the table, select the relevant report from the list of Conditional Access App Control traffic logs and click download.

    przycisk Pobierz

Blokuj wszystkie pliki do pobrania Block all downloads

Gdy bloku jest ustawiony jako akcji chcesz wykonać w zasadach sesji usługi Cloud App Security, kontroli dostępu warunkowego aplikacji uniemożliwia pobieranie pliku na filtrów plików zasad użytkownika.When Block is set as the Action you want to take in the Cloud App Security session policy, Conditional Access App Control prevents a user from downloading a file per the policy’s file filters. Zdarzenie pobierania jest rozpoznawany przez Microsoft Cloud App Security dla każdej aplikacji, gdy użytkownik uruchamia dostępny do pobrania.A download event is recognized by Microsoft Cloud App Security for each app when a user starts a download. Uczestniczyło kontroli dostępu warunkowego aplikacji w czasie rzeczywistym, aby uniemożliwić jego uruchomienie.Conditional Access App Control intervenes in real time to prevent it from running. Po odebraniu sygnału, że użytkownik zainicjował pobieranie, kontroli dostępu warunkowego aplikacji zwraca pobierania z ograniczeniami komunikat dla użytkownika i zastępuje pobrany plik z pliku tekstowego.When the signal is received that a user has initiated a download, Conditional Access App Control returns a Download restricted message to the user and replaces the downloaded file with a text file. Plik tekstowy komunikat dla użytkownika, można konfigurować i dostosowywać z zasady sesji.The text file's message to the user can be configured and customized from the session policy.

Blok określonych działań. Block specific activities

Gdy blokowanie działania jest ustawiony jako typ działania, możesz wybrać konkretne działania, aby zablokować w określonych aplikacji.When Block activities is set as the Activity type, you can select specific activities to block in specific apps. Wszystkie działania z wybranych aplikacji będą monitorowane oraz zgłaszane w dzienniku aktywności.All activities from selected apps will be monitored and reported in the Activity log. Konkretne działania, możesz wybrać zostanie zablokowane, jeśli wybierzesz bloku akcji.The specific activities you select will be blocked if you select the Block action. Konkretne działania, które wybrano będzie zgłaszać alerty, jeśli zostanie wybrana testu akcji i mieć alertów jest włączona.The specific activities you selected will raise alerts if you select the Test action and have alerts turned on.

Blokuj określonych działań i zastosować je do określonych grup, aby utworzyć kompleksowe tryb tylko do odczytu dla Twojej organizacji.Block specific activities and apply it to specific groups to create a comprehensive read-only mode for your organization.

Ochrona plików podczas pobierania Protect files on download

Wybierz blokowanie działania zablokować konkretne działania, które można znaleźć przy użyciu typ działania filtru.Select Block activities to block specific activities, which you can find using the Activity type filter. Wszystkie działania z wybranych aplikacji będą monitorowane (oraz zgłaszane w dzienniku aktywności).All activities from selected apps will be monitored (and reported in the Activity log). Konkretne działania, możesz wybrać zostanie zablokowane, jeśli wybierzesz bloku akcji.The specific activities you select will be blocked if you select the Block action. Konkretne działania, które wybrano będzie zgłaszać alerty, jeśli zostanie wybrana testu akcji i mieć alertów jest włączona.The specific activities you selected will raise alerts if you select the Test action and have alerts turned on.

Gdy Chroń jest ustawiony jako akcji podejmowanych w zasadach usługi Cloud App Security sesji kontroli dostępu warunkowego aplikacji wymusza etykietowania i kolejne ochrony pliku każdego pliku zasad filtry.When Protect is set as the Action to be taken in the Cloud App Security session policy, Conditional Access App Control enforces the labeling and subsequent protection of a file per the policy’s file filters. Etykiety są konfigurowane w konsoli usługi Azure Information Protection i Chroń , należy wybrać w etykiecie było wyświetlane jako opcja w zasadach usługi Cloud App Security.Labels are configured in the Azure Information Protection console and Protect must be selected within the label for it to appear as an option in the Cloud App Security policy. Jeśli etykieta jest zaznaczona, a plik jest pobierany, który spełnia kryteria zasad Cloud App Security, etykiety, a także odpowiedniej ochrony (przy użyciu uprawnień) są stosowane do pliku podczas pobierania.When a label is selected, and a file is downloaded that meets the criteria of the Cloud App Security policy, the label, and corresponding protection (with permissions) is applied to the file upon download. Oryginalny plik pozostaje jako — znajduje się w aplikacji w chmurze a pobrany plik jest obecnie chroniony.The original file remains as-is in the cloud app while the downloaded file is now protected. Użytkownicy, którzy spróbują dostępu do tego pliku muszą spełniać wymagania dotyczące uprawnień ustalany na podstawie objęte ochroną.Users who try to access the file must meet the permission requirements determined by the protection applied.

«Poprzedni: Wdrażanie kontroli dostępu warunkowego aplikacji« PREVIOUS: Deploy Conditional Access App Control
NASTĘPNIE: Jak utworzyć zasady dostępu "NEXT: How to create an access policy »

Następne krokiNext steps

Blokowanie plików do pobrania na urządzeniach niezarządzanych przy użyciu funkcji kontroli dostępu warunkowego usługi Azure AD w aplikacjiBlocking downloads on unmanaged devices using Azure AD Conditional Access App Control capabilities

Klienci wersji Premium mogą również utworzyć nowe żądanie pomocy technicznej bezpośrednio w portalu Premium.Premier customers can also create a new support request directly in the Premier Portal.