常用的 Microsoft Defender for Cloud Apps 資訊保護原則

Defender for Cloud Apps 檔案原則可讓您強制執行各種自動化程式。 您可以設定原則來提供資訊保護，包括持續合規性掃描、法律電子檔探索工作，以及公開共用敏感性內容的 DLP。

Defender for Cloud Apps 可以根據 20 多個中繼資料篩選來監視任何檔案類型，例如存取層級和檔案類型。 如需詳細資訊，請參閱 檔案原則。

偵測並防止敏感資料的外部共用

偵測包含個人識別資訊或其他敏感資料的檔案何時儲存在雲端服務中，並與組織外部的使用者共用，這違反了貴公司的安全性原則，並造成潛在的合規性違規。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 底下，移至 [原則 ->原則管理]。 建立新的 檔案原則。

2. 將篩選器 存取層級 設定為 公用 (網際網路) /公用/外部。

3. 在 [檢查方法] 底下，選取 [資料分類服務] ([DCS) ] ，然後在 [選取類型 ] 底下，選取您要 DCS 檢查的敏感性資訊類型。

4. 設定觸發警示時要採取的 控管 動作。 舉例來說，您可以建立控管動作，在 Google Workspace 中偵測到檔案違規時執行，並選取「 移除外部使用者」 和 「移除公開存取權」選項。

5. 建立檔案原則。

偵測外部共用的機密資料

偵測標記為 機密 並儲存在雲端服務中的檔案何時與外部使用者共用，違反公司原則。

必要條件

• 您必須至少有一個使用 應用程式連接器連線的應用程式。

• 啟用 Microsoft Purview 資訊保護 整合。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 底下，移至 [原則 ->原則管理]。 建立新的 檔案原則。

2. 將篩選 [敏感度] 標籤設定為 [Microsoft Purview 資訊保護] 等於 [機密] 標籤，或您公司的對等標籤。

3. 將篩選器 存取層級 設定為 公用 (網際網路) /公用/外部。

4. 選用項目： 設定偵測到違規時要對檔案採取的 「控管」 動作。 可用的治理動作因服務而異。

5. 建立檔案原則。

偵測並加密靜態敏感資料

偵測包含雲端應用程式中共用的個人識別資訊和其他敏感性資料的檔案，並套用敏感度標籤，以限制僅限公司員工的存取權。

必要條件

• 您必須至少有一個使用 應用程式連接器連線的應用程式。

• 啟用 Microsoft Purview 資訊保護 整合。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 底下，移至 [原則 ->原則管理]。 建立新的 檔案原則。

2. 在 [檢查方法] 底下，選取 [資料分類服務] ([DCS) ]，然後在 [ 選取類型 ] 底下，選取您要 DCS 檢查的敏感性資訊類型。

3. 在 [ 控管動作 ] 底下，核取 [ 套用敏感度標籤 ] ，然後選取貴公司用來限制公司員工存取權的敏感度標籤。

4. 建立檔案原則。

偵測來自未經授權位置的資料存取

根據組織的通用位置，偵測何時從未經授權的位置存取檔案，以識別潛在的資料外洩或惡意存取。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 底下，移至 [原則 ->原則管理]。 建立新的 活動原則。

2. 將篩選器 [活動類型] 設定為您感興趣的檔案和資料夾活動，例如 [檢視]、[ 下載]、[ 存取] 和 [修改]。

3. 設定篩選條件 [位置 不等於]，然後輸入貴組織預期活動的國家/地區。

   • 選擇性：您可以使用相反的方法，並將篩選設定為 位置等於 如果您的 組織封鎖來自特定國家/地區的存取。

4. 選用項目： 建立要套用至偵測到的違規的 「控管」 動作， (可用性因服務) 而異，例如暫停 使用者。

5. 建立活動原則。

偵測及保護不合規 SP 站台中的機密資料存放區

偵測標示為機密且儲存在不符合規範的 SharePoint 網站中的檔案。

必要條件

敏感度標籤會在組織內部設定和使用。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 底下，移至 [原則 ->原則管理]。 建立新的 檔案原則。

2. 將篩選 [敏感度] 標籤設定為 [Microsoft Purview 資訊保護] 等於 [機密] 標籤，或您公司的對等標籤。

3. 設定篩選條件 [父資料夾 不等於]，然後在 [ 選取資料夾 ] 底下，選擇組織中的所有相容資料夾。

4. 在 [警示] 底下，選取 [ 為每個相符的檔案建立警示]。

5. 選用項目： 設定偵測到違規時要對檔案採取的 「控管」 動作。 可用的治理動作因服務而異。 例如，將 Box 設定為 [將原則比對摘要傳送給檔案擁有者]，並將 [置於管理員隔離區]。

6. 建立檔案原則。

偵測外部共用原始碼

偵測包含可能是原始程式碼內容的檔案何時公開共用，或與組織外部的使用者共用。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 底下，移至 [原則 ->原則管理]。 建立新的 檔案原則。

2. 選取並套用原則範本外部 共用原始程式碼

3. 選擇性：自訂副 檔名 清單，以符合您組織的原始碼副檔名。

4. 選用項目： 設定偵測到違規時要對檔案採取的 「控管」 動作。 可用的治理動作因服務而異。 例如，在 Box 中，將原則比對摘要傳送給檔案擁有者，並置於管理員隔離區。

5. 選取並套用原則範本。

偵測對群組資料的未經授權的存取

偵測屬於特定使用者群組的某些檔案何時被不屬於該群組的使用者過度存取，這可能是潛在的內部威脅。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 底下，移至 [原則 ->原則管理]。 建立新的 活動原則。

2. 在 [ 採取行動 ] 底下，選取 [ 重複活動 ] 並自訂 [ 重複活動下限 ] ，並設定 [ 時間範圍 ] 以符合您組織的原則。

3. 將篩選器 [活動類型] 設定為您感興趣的檔案和資料夾活動，例如 [檢視]、[ 下載]、[ 存取] 和 [修改]。

4. 將篩選 器 使用者設定為 從群組 等於，然後選取相關的使用者群組。

   注意事項

   使用者群組可以從支援的應用程式手動匯入 。

5. 將篩選器 [檔案和資料夾] 設定為 [特定檔案或資料夾等於] ，然後選擇屬於稽核使用者群組的檔案和資料夾。

6. 設定偵測到違規時要對檔案採取的 治理 動作。 可用的治理動作因服務而異。 例如，您可以選擇暫停 使用者。

7. 建立檔案原則。

偵測可公開存取的 S3 儲存貯體

偵測並防止 AWS S3 儲存貯體的潛在資料外洩。

必要條件

您必須使用 應用程式連接器連線 AWS 執行個體。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 底下，移至 [原則 ->原則管理]。 建立新的 檔案原則。

2. 選取並套用政策範本 Publicly accessible S3 buckets (AWS) 。

3. 設定偵測到違規時要對檔案採取的 治理 動作。 可用的治理動作因服務而異。 例如，將 AWS 設定為 私有 ，這會使 S3 儲存貯體成為私有。

4. 建立檔案原則。

跨檔案儲存應用程式偵測和保護 GDPR 相關資料

偵測在雲端儲存應用程式中共用的檔案，並包含受 GDPR 合規性原則約束的個人識別資訊和其他敏感資料。 然後，自動套用敏感度標籤，以限制僅授權人員的存取權。

必要條件

• 您必須至少有一個使用 應用程式連接器連線的應用程式。

• 已啟用 Microsoft Purview 資訊保護 整合，並在 Microsoft Purview 中設定 GDPR 標籤

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 底下，移至 [原則 ->原則管理]。 建立新的 檔案原則。

2. 在 [檢查方法] 底下，選取 [ 資料分類服務] ([DCS) ] ，然後在 [選取類型 ] 底下，選取一或多個符合 GDPR 合規性的資訊類型，例如：歐盟簽帳金融卡號碼、歐盟駕駛執照號碼、歐盟國家/地區識別號碼、歐盟護照號碼、歐盟 SSN、SU 稅務識別號碼。

3. 選取 [針對每個支援的應用程式套用敏感度標籤]，設定偵測到違規時要對檔案採取的 [控管動作]。

4. 建立檔案原則。

即時封鎖外部使用者的下載

使用 Defender for Cloud Apps 會話控制項，即時封鎖檔案下載，防止外部使用者外洩公司資料。

必要條件

請確定您的應用程式是 SAML 型應用程式，會使用 Microsoft Entra ID 進行單一登入，或已上線至 Defender for Cloud Apps 以進行條件式存取應用程式控制。

如需支援應用程式的詳細資訊，請參閱 支援的應用程式和用戶端。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 底下，移至 [原則 ->原則管理]。 建立新的 工作階段原則。

2. 在 [工作階段控制類型] 下，選取 [控制檔案下載 (，並) 檢查。

3. 在 [活動篩選器] 底下，選取 [使用者]，並將其設定為 [從群組等於外部使用者]。

   注意事項

   您不需要設定任何應用程式篩選，即可將此原則套用至所有應用程式。

4. 您可以使用 「檔案」篩選器 來自訂檔案類型。 這可讓您更精細地控制工作階段原則控制的檔案類型。

5. 在 [動作] 底下，選取 [封鎖]。 您可以選取 [自定義封鎖訊息] 來設定要傳送給使用者的自定義訊息，讓他們瞭解內容遭到封鎖的原因，以及如何套用正確的敏感度標籤來啟用它。

6. 選取 [建立]。

即時為外部使用者強制執行唯讀模式

使用 Defender for Cloud Apps 會話控制項，即時封鎖列印和複製/貼上活動，防止外部使用者外洩公司資料。

必要條件

請確定您的應用程式是 SAML 型應用程式，會使用 Microsoft Entra ID 進行單一登入，或已上線至 Defender for Cloud Apps 以進行條件式存取應用程式控制。

如需支援應用程式的詳細資訊，請參閱 支援的應用程式和用戶端。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 底下，移至 [原則 ->原則管理]。 建立新的 工作階段原則。

2. 在 [工作階段控制類型] 底下，選取 [封鎖活動]。

3. 在 活動來源 篩選器中：

   1. 選取 [使用者]，然後將 [從群組] 設定為 [外部使用者]。

   2. 選取 [活動類型] 等於 [列印] 和 [剪下/影印項目]。

   注意事項

   您不需要設定任何應用程式篩選，即可將此原則套用至所有應用程式。

4. 選擇性：在 檢查方法下，選取要套用的檢查類型，並設定 DLP 掃描的必要條件。

5. 在 [動作] 底下，選取 [封鎖]。 您可以選取 [自定義封鎖訊息] 來設定要傳送給使用者的自定義訊息，讓他們瞭解內容遭到封鎖的原因，以及如何套用正確的敏感度標籤來啟用它。

6. 選取 [建立]。

即時封鎖上傳非機密文件

使用 Defender for Cloud Apps 工作階段控制項，防止使用者將未受保護的資料上傳至雲端。

必要條件

• 請確定您的應用程式是 SAML 型應用程式，會使用 Microsoft Entra ID 進行單一登入，或已上線至 Defender for Cloud Apps 以進行條件式存取應用程式控制。

如需支援應用程式的詳細資訊，請參閱 支援的應用程式和用戶端。

• 必須在組織內設定和使用來自 Microsoft Purview 資訊保護的敏感度標籤。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 底下，移至 [原則 ->原則管理]。 建立新的 工作階段原則。

2. 在 工作階段控制類型下，選取具有 檢查) 的控制檔案上傳 ( 或具有 檢查) 的控制檔案下載 (。

   注意事項

   您不需要設定任何篩選條件，即可將此原則套用至所有使用者和應用程式。

3. 選取檔案篩選 [敏感度標籤 不等於]，然後選取貴公司用來標記分類檔案的標籤。

4. 選擇性：在 檢查方法下，選取要套用的檢查類型，並設定 DLP 掃描的必要條件。

5. 在 [動作] 底下，選取 [封鎖]。 您可以選取 [自定義封鎖訊息] 來設定要傳送給使用者的自定義訊息，讓他們瞭解內容遭到封鎖的原因，以及如何套用正確的敏感度標籤來啟用它。

6. 選取 [建立]。

後續步驟

如果您遇到任何問題，我們隨時為您提供協助。 若要取得產品問題的協助或支援，請 開啟支援票證。