会话策略

注意

我们已将 Microsoft Cloud App Security 重命名。 它现在称为 " Microsoft Defender For Cloud Apps"。 在接下来的几周,我们将在此处和相关页面中更新屏幕截图和说明。 有关更改的详细信息,请参阅 此公告。 若要了解有关最近重命名的 Microsoft 安全服务的详细信息,请参阅 Microsoft Ignite security 博客

Microsoft Defender for Cloud Apps 会话策略支持实时会话级别监视,使你可以详细了解云应用,并根据为用户会话设置的策略采取不同操作的能力。 使用会话控制不能完全允许或阻止访问,但可在监视会话时允许访问和/或使用条件访问应用控制的反向代理功能限制特定会话活动。

例如,可以决定允许非管理的设备上的用户或来自特定位置的会话的用户访问应用,但同时限制下载敏感文件或要求在下载时保护某些文件。 通过会话策略可以设置这些用户会话控制和允许访问,并且还可以:

使用会话策略的先决条件

为云应用会话策略创建 Defender

若要新建会话策略,请遵循以下步骤:

  1. 中转到 "控制策略" " 条件访问"。

  2. 选择 " 创建策略 ",然后选择 " 会话策略"。

    创建条件性访问策略。

  3. 在“会话策略”窗口中,为策略分配名称,如“阻止市场营销用户在 Box 中下载敏感文档”

  4. 在“会话控制类型”字段中

    1. 如果只想监视用户活动,请选择“仅监视”。 此选择将为所选择的应用创建仅监视策略,其中将下载所有登录名、启发式下载内容和活动类型。

    2. 如果要监视用户活动,请选择 " (带有检测) 的" 控制文件下载 "。 可以执行其他操作,例如阻止或保护用户下载的内容。

    3. 选择“阻止活动”以阻止可以使用“活动类型”筛选器进行选择的特定活动。 将监视所选应用的所有活动(并在活动日志中进行报告)。 如果选择“阻止”操作,则会阻止所选择的特定活动。 如果选择“测试”操作并启用了警报,则所选择的特定活动将发出警报

  5. 在“与以下所有内容匹配的活动”部分的“活动源”下,选择要应用于策略其他活动筛选器。 这些筛选器可包括以下选项:

    • 设备标记:使用此筛选器标识非管理的设备。

    • 位置:使用此筛选器标识未知(因此有危险的)位置。

    • IP 地址:使用此筛选器按每个 IP 地址筛选或使用以前分配的 IP 地址标记。

    • 用户代理标记:使用此筛选器启用启发模式来标识移动和桌面应用。 此筛选器可以设置为等于或不等于“本机客户端”。 应在每个云应用的移动和桌面应用上测试此筛选器。

    注意

    会话策略不支持移动应用和桌面应用。 通过创建访问策略,也可阻止或允许移动应用和桌面应用。

  6. 如果选择了 " 通过检查) 控制文件下载 (" 选项:

    1. 在“与以下所有项匹配的文件”部分的“活动源”下,选择要应用于策略的其他文件筛选器。 这些筛选器可包括以下选项:

      • 分类标签 -如果你的组织使用 Azure 信息保护,并且你的数据受其分类标签保护,则使用此筛选器。 可以根据所应用的分类标签来筛选文件。 有关 Azure 信息保护集成的详细信息,请参阅 Azure 信息保护集成

      • 文件名 - 使用此筛选器将策略应用于特定文件。

      • 文件类型 - 使用此筛选器将策略应用于特定文件类型,例如,阻止下载所有 .xls 文件。

    2. 在“内容检查”部分,设置是否要启用 DLP 引擎来扫描文档和文件内容

    3. 在“操作”下,选择以下项之一

      • 测试(监视所有活动):根据设置的策略筛选器,将此操作设置为显式允许下载。

      • 阻止(阻止文件下载并监视所有活动):根据设置的策略筛选器,将此操作设置为显式阻止下载。 有关详细信息,请参阅阻止下载工作原理

      • 保护 (应用分类标签以下载和监视所有活动) :只有在 "会话策略" 下选择了 "使用检查) 控制文件下载 (时,此选项才可用。 如果组织使用 Azure 信息保护,则可设置“操作”将 Azure 信息保护中设置的分类标签集应用于文件。 有关详细信息,请参阅保护下载工作原理

  7. 可以“使用策略的严重性为每个匹配的事件创建警报”,并设置警报限制。 选择警报的发送方式:电子邮件和/或短信。

监控所有活动

创建会话策略时,与策略匹配的每个用户会话都会重定向到会话控制,而不是直接转到应用。 用户将看到监视通知,了解到他们的会话正在被监视。

如果不想通知用户系统正在监视他们,则可禁用通知消息。

  1. 在设置齿轮图标下,选择“常规设置”

  2. 然后,在“条件访问应用控制”下,选择“用户监视”,并取消选中“通知用户”复选框。

为了使用户保持在会话中,条件访问应用控制将应用会话中的所有相关 Url、Java 脚本和 cookie 替换为适用于云应用的 Microsoft Defender Url。 例如,如果应用返回一个页面,其中包含其域以 myapp.com 结尾的链接,则条件访问应用控制会将链接替换为域以类似于结尾的域 myapp.com.mcas.ms 。 这样,Microsoft Defender 就会监视整个会话的云应用。

条件访问应用控制记录通过其路由的每个用户会话的流量日志。 流量日志包括时间、IP、用户代理、已访问 URL 以及上传和下载的字节数。 将对这些日志进行分析,并将 条件访问应用控制的应用程序的 Defender添加到 Cloud Discovery 仪表板中的 Cloud Discovery 报表列表中。

若要导出这些日志:

  1. 中转到 "设置" 齿轮并选择 " 条件访问应用控制"。

  2. 在表的右侧,选择 "导出" 按钮。

    导出按钮。

  3. 选择报表的范围,然后选择 " 导出"。 此过程可能需要一段时间才能完成。

若要下载导出的日志:

  1. 报表准备就绪后,请转到“设置”,然后“导出报表”

  2. 在表中,从 " 条件访问应用控制流量日志 " 列表中选择相关报表,并选择 " 下载"。

    下载按钮。

阻止所有下载

Block 设置为要在 "用于云应用的 Defender" 会话策略中执行的 操作 时,条件访问应用控制会阻止用户根据策略的文件筛选器下载文件。 当用户开始下载时,适用于每个应用的 Microsoft Defender 针对云应用识别下载事件。 条件访问应用控制会实时干预以防止其运行。 当接收到用户已发起下载的信号时,条件访问应用控制向用户返回“下载受限制”的消息,并将下载的文件替换为文本文件。 可以根据会话策略配置和自定义向用户显示文本文件的消息。

需要 (身份验证上下文的单步身份验证)

"会话控制类型"设置为"阻止活动、控制文件下载 (并检查) ,使用检查 (控制文件上传) "时,可以选择"需要逐步执行身份验证的操作"。 选择此操作后,每当所选活动发生时,Defender for Cloud Apps Azure AD会话重定向到条件访问进行策略重新评估。 根据会话中配置的身份验证上下文Azure AD,可以在会话期间检查多重身份验证和设备符合性等声明。

阻止特定活动

“阻止活动”设置为“活动类型”时,可以选择要在特定应用中阻止的特定活动。 将监视所选应用的所有活动并在活动日志中进行报告。 如果选择“阻止”操作,则会阻止所选择的特定活动。 如果选择“测试”操作并启用了警报,则所选择的特定活动将发出警报

“阻止特定活动”并将其应用到特定组,以为组织创建全面的只读模式

下载时保护文件

选择“阻止活动”以阻止可以使用“活动类型”筛选器进行查找的特定活动。 将监视所选应用的所有活动(并在活动日志中进行报告)。 如果选择“阻止”操作,则会阻止所选择的特定活动。 如果选择“测试”操作并启用了警报,则所选择的特定活动将发出警报

"保护"设置为Defender for Cloud Apps 会话策略中要采取的操作时,条件访问应用控制策略的文件筛选器强制实施文件的标签和后续保护。 标签在 Azure 信息保护 控制台中配置,并且必须在标签内选择"保护",这样它作为 Defender for Cloud Apps 策略中的选项显示。 选择标签并下载符合 Defender for Cloud Apps 策略条件的文件时,具有 (权限的标签和相应的) 将在下载时应用于该文件。 原始文件在云应用中保持原样,而下载的文件现在受到保护。 尝试访问该文件的用户必须满足由应用的保护所确定的权限要求。

Defender for Cloud Apps 当前支持Azure 信息保护 以下 文件类型的应用分类标签:

  • Word:docm、docx、dotm、dotx
  • Excel:xlam、xlsm、xlsx、xltx
  • PowerPoint:potm、potx、ppsx、ppsm、pptm、pptx
  • PDF

    注意

    对于 PDF,必须使用统一标签。

保护敏感文件的上传

"控制 (检查) 设置为 Defender for Cloud Apps 会话策略中的会话控制类型时,条件访问应用控制会阻止用户根据策略的文件筛选器上传文件。 识别上传事件后,条件访问应用控制实时干预以确定文件是否敏感并需要保护。 如果文件具有敏感数据,并且没有正确的标签,则阻止文件上传。

例如,可以创建一个策略来扫描文件的内容,以确定该文件是否包含敏感内容匹配(如社会安全号码)。 如果它包含敏感内容,并且没有使用机密Azure 信息保护标签进行标记,则阻止文件上传。 当文件被阻止时,你可以向用户显示一条自定义消息,指示他们如何标记文件以便上传该文件。 这样做可确保存储在云应用中的文件符合策略。

上传时阻止恶意软件

"控制文件上传 (检查) 设置为会话控制类型,并且恶意软件检测设置为 Defender for Cloud Apps 会话策略中的检查方法时,条件访问应用控制 会阻止用户在检测到恶意软件时实时上传文件。 使用 Microsoft 威胁情报引擎扫描文件。

可以使用活动日志中的"检测到的潜在恶意软件"筛选器查看标记为潜在恶意软件的文件。

还可以配置会话策略以阻止下载时恶意软件。

培训用户保护敏感文件

在用户违反策略时培训用户非常重要,以便他们了解如何遵守组织策略。 由于每个企业都有独特的需求和策略,因此 Defender for Cloud Apps 允许你自定义策略的筛选器,以及检测到冲突时向用户显示的消息。 你可以为用户提供特定指导,例如说明如何正确标记文件或如何注册非托管设备,以确保文件成功上传。

例如,如果用户上传的文件没有标签Azure 信息保护,可以显示一条消息,说明该文件包含需要适当标签的敏感内容。 同样,如果用户尝试从非托管设备上传文档,则会显示一条消息,其中显示了有关如何注册该设备的说明,或者显示进一步说明设备必须注册的原因的消息。

后续步骤

另请参阅

若遇到任何问题,可随时向我们寻求帮助。 若要获取帮助或支持以解决产品问题,请打开支持票证