通过

创建文件策略以筛选网络文件内容(预览版)

全局安全访问支持通过文件策略筛选网络内容。 此功能可帮助你防范意外的数据泄露,并防止内联数据泄漏到生成式 AI 应用程序和 Internet 目标。 通过将数据保护功能通过全局安全访问扩展到网络层,网络内容筛选使组织能够实时在网络流量上强制实施数据策略。 可以通过浏览器、应用程序、加载项、API 等从托管终结点发现和保护与未批准的目标(例如生成 AI 和非托管云应用)共享的文件。

网络内容筛选解决方案汇集 Microsoft了 Purview 的数据分类服务和全局安全访问中以标识为中心的网络安全策略。 此组合创建一个以标识为中心且策略驱动的高级网络层数据安全解决方案,即数据丢失防护(DLP)。 通过将内容检查与实时用户风险评估相结合,可以强制实施对网络上敏感数据移动的精细控制,而不会损害用户工作效率或安全状况。

高级体系结构

此图展示了使用全局安全访问和 Microsoft Purview 的网络内容过滤体系结构。

本文介绍如何创建文件策略来筛选流经全局安全访问的 Internet 流量。

重要

使用文件策略功能进行网络内容筛选功能目前为预览版。
此信息与可能在发布前进行实质性修改的预发行版产品相关。 Microsoft 不对此处提供的信息作任何明示或默示的担保。

此预览版中包含的方案

此预览版支持 HTTP/1.1 流量的以下关键方案和结果:

  • 使用 基本文件策略,可以根据受支持的文件 MIME 类型阻止文件。
  • 在文件策略中使用 使用 Purview 扫描 操作,可以根据以下条件审核和阻止文件:
    • Microsoft Purview 敏感度标签
    • 文件中的敏感内容
    • 用户的风险级别
  • 可以为规则匹配生成数据丢失防护(DLP)管理员警报。

重要

此预览版仅支持对 HTTP/1.1 的文件进行网络内容筛选。 它不支持文本的网络内容筛选。

先决条件

若要使用文件策略功能,需要满足以下先决条件:

  • 有效的 Microsoft Entra 租户。
  • 产品需要经过许可。 有关详细信息,请参阅什么是全球安全访问的许可部分。 如果需要,可以购买许可证或获取试用许可证
    • 有效的Microsoft Entra Internet Access 许可证。
    • 使用 Purview 检查扫描时所需的有效 Microsoft Purview 许可证。 您可以使用没有 Purview 许可证的基本文件策略。
  • 在 Microsoft Entra ID 中具有 全局安全访问管理员 角色的用户负责配置全局安全访问设置。
  • 用于配置条件 访问策略的条件访问管理员 角色。
  • Global Secure Access 客户端需要一个加入 Microsoft Entra ID 或者 Entra ID 混合加入的设备(或虚拟机)。

初始配置

若要配置文件策略,请完成以下初始安装步骤:

  1. 启用互联网访问流量转发配置文件并确保用户分配正确。  
  2. 配置传输层安全性(TLS)检查 策略。
  3. 安装和配置全局安全访问客户端:
    1. 在 Windows 或 macOS 上安装全局安全访问客户端。

      重要

      在继续之前,请测试并确保客户端的 Internet 流量通过全局安全访问进行路由。 若要验证客户端配置,请参阅以下部分中的步骤。

    2. 选择 “全局安全访问 ”图标,然后选择“故障排除”选项卡。
    3. 高级诊断下,选择运行工具
    4. 在“全局安全访问高级诊断”窗口中,选择“ 转发配置文件 ”选项卡。
    5. 验证“规则”部分中是否存在 Internet 访问规则。 在 Microsoft Entra 管理中心中启用 Internet 访问流量配置文件后,此配置最多可能需要 15 分钟才能应用于客户端。 “转发配置文件”选项卡上的“全局安全访问高级诊断”窗口的屏幕截图,其中显示了“规则”部分中的“Internet 访问规则”。
  4. 确认对计划文件策略的 Web 应用程序的访问权限。

配置文件策略

若要在全局安全访问中配置文件策略,请完成以下步骤:

  1. 创建文件策略
  2. 将文件策略链接到安全配置文件
  3. 配置条件访问策略

创建文件策略

  1. 全局安全访问管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到 全局安全访问>安全>文件策略
  3. 选择“ + 创建策略”。 选择适当的选项。
  4. “基本信息 ”选项卡上:
    1. 输入策略 名称
    2. 输入策略 说明
    3. 选择“下一步”。
  5. 在“ 规则 ”选项卡上:
    1. 添加新规则。
    2. 根据需要输入 名称说明优先级状态
    3. 选择“Action”菜单的适当选项:
      • 若要配置基本数据策略,请选择“ 允许 ”或“ 阻止”。
      • 若要使用 Microsoft Purview 中配置的数据策略,请选择“ 使用 Purview 进行扫描”。 “文件扫描规则”屏幕的屏幕截图,其中展开了“操作”菜单,并选择了“扫描选项:使用 Purview”。
    4. 对于匹配条件,请选择相应的活动和文件类型
    5. 选择 “+ 添加目标 ”,然后为目标选择一个选项。
  6. 选择“下一步”。
  7. 在“ 审阅 ”选项卡上,查看设置。
  8. 选择“创建”以创建策略。

注释

如果选择“使用 Purview 扫描”作,请确保已通过 Microsoft Purview 配置了相应的数据策略。

  1. 浏览到“全球安全访问”“安全”>“安全配置文件”>
  2. 选择要修改的安全配置文件。
  3. 切换到 “链接策略 ”视图。
  4. 配置链接文件策略:
    1. 选择 + 链接一个策略>现有文件策略
    2. “策略名称 ”菜单中,选择创建的文件策略。
    3. PositionState 设置为默认值。
    4. 选择 并添加
  5. 关闭安全配置文件。

配置条件访问策略

若要强制实施全局安全访问安全配置文件,请使用以下配置创建条件访问策略:

  1. 登录到 Microsoft Entra 管理中心
  2. 浏览到 标识>保护>条件访问
  3. 选择“+ 创建新策略”。
  4. 为策略命名。
  5. 选择要向其应用策略的用户和组。
  6. 目标资源 设置为 具有全局安全访问的所有 Internet 资源
  7. 根据需要配置 “网络”、“ 条件”和 “授予 ”部分。
  8. “会话”下,选择“ 使用全局安全访问安全配置文件 ”,然后选择所创建的安全配置文件。
  9. 若要创建策略,请选择“ 创建”。

有关详细信息,请参阅 “创建和链接条件访问策略”。

已成功配置文件策略。

测试文件策略

通过尝试上传或下载与文件策略条件匹配的文件来测试配置。 验证策略设置是否阻止或允许这些行为。

  1. 打开包含个人数据的测试文件,例如 dlptest.com/sample-data.pdf。
  2. 尝试与在文件策略中配置的目标共享测试文件。 如果策略配置正确,则会阻止该操作。

已知的限制

  • 网络内容筛选不支持文本。 它仅支持文件。
  • 不支持多部分编码,因此文件策略不适用于此类应用程序(例如,Google Drive 对文件上传使用多部分编码)。
  • 压缩内容以 zip 格式检测到(内容未解压缩)。
  • 真正的文件类型检测的准确性可能不是 100%。
  • 不支持使用 WebSocket(如 Copilot)的目标应用程序。
  • 顶级和第二级域在配置 FQDN 时不支持通配符(如 *、*.com、*contoso.com)。

注释

当你与它们交互时,应用程序可能会在底层使用多个 URL 和 FQDN。 请确保为文件策略配置正确的目标才能生效。

监视和日志记录

若要查看流量日志,请执行以下操作:

  1. 至少以报表读取者身份登录到 Microsoft Entra 管理中心
  2. 选择 “全局安全访问>监视器>流量日志”。

显示需 Netskope 检查的所有流量:

  1. 转到“事务”选项卡。
  2. 选择“添加筛选器”。
  3. 搜索或滚动以查找适当的筛选器(例如 Action、policyName)。 
  4. 选择“应用”。
  5. 检查 filteringProfileName 和 policyName,以确定负责应用操作的策略。

相关内容

  • Last updated on