Microsoft Defender for Cloud Apps 會話政策提供對雲端應用的細緻可視化,並透過即時、會話層級監控。 根據你為使用者會話設定的政策,使用會話政策來執行各種操作。
與允許或完全阻擋存取 的存取政策不同,會話政策允許存取並監控會話。 在你的會話政策中加入條件存取應用程式控制,以限制特定的會話活動。
例如,你可能想允許使用者從未受管理的裝置或特定地點存取應用程式。 不過,你可能想限制在這些會議期間下載敏感檔案,或要求特定文件在退出應用程式時受到保護,防止下載、上傳或複製。
為主機應用程式建立的政策不會與任何相關的資源應用程式連結。 例如,你為 Teams、Exchange 或 Gmail 建立的存取政策,並不會連結到 SharePoint、OneDrive 或 Google Drive。 如果你需要資源應用程式的政策,除了主機應用程式外,請建立獨立的政策。
可申請的保單數量沒有限制。
必要條件
在開始之前,請確保你具備以下先決條件:
Defender for Cloud Apps 授權,無論是獨立授權還是其他授權的一部分
Microsoft Entra ID P1 的授權,可作為獨立授權或作為其他授權的一部分使用。
如果你使用的是非Microsoft的 IdP,你的身份提供者要求的授權 (IdP) 解決方案。
相關應用程式已被條件存取應用程式控制。 Microsoft Entra ID 應用程式會自動上線,而非 Microsoft 的 IdP 應用程式則必須手動上線。
如果你使用的是非 Microsoft 的 IdP,務必也將你的 IdP 設定為能搭配 Microsoft Defender for Cloud Apps。 如需詳細資訊,請參閱:
為了讓你的會話政策正常運作,你還必須有 Microsoft Entra ID 條件存取政策,該政策會產生控制流量的權限。
範例:建立 Microsoft Entra ID 條件存取政策,用於 Defender for Cloud Apps
此程序提供了一個高階範例,說明如何為 Defender for Cloud Apps 建立條件存取政策。
- 至少以條件存取管理員身份登入 Microsoft Entra 系統管理中心。
- 請瀏覽至 Entra ID>條件存取>政策。
- 選擇 新保單。
- 給你的保單取個名字。 我們建議組織為其政策名稱制定有意義的標準。
- 在 「指派」中,選擇 使用者或工作負載身份。
- 在 「包含」中,選擇 「所有使用者」
- 在 「排除」中,選擇 「使用者與群組 」,並選擇貴組織的緊急存取或破碎帳戶。
- 在目標資源>資源 (前稱雲端應用程式) 中,選擇以下選項:
- 在 「包含」中,選擇 「選擇資源」。
- 選擇你想納入保單的客戶端應用程式。
- 在 條件中,選擇您想納入保單的任何條件。
- 在存取控制>會話中,選擇使用條件存取應用程式控制,然後選擇選擇。
- 確認你的設定,並將 啟用政策 設為 僅舉報。
- 選擇 建立 以啟用您的保單。
在使用 政策影響模式或僅報告模式確認設定後,將 啟用政策 切換從 僅限報告 模式移為 開啟。
欲了解更多資訊,請參閱 條件存取政策 與 建立條件存取政策。
注意事項
Microsoft Defender for Cloud Apps 利用 Microsoft Defender for Cloud Apps - Session Controls 這個應用程式,作為使用者登入時的條件存取應用程式控制服務的一部分。 此應用程式位於 Entra ID 的「企業應用程式」區塊中。 為了保護您的 SaaS 應用程式使用會話控制,您必須允許存取此應用程式。
如果你有任何條件存取政策,在 Microsoft Entra ID 條件存取政策下的「授予存取」控制中選擇「阻擋存取」,最終使用者將無法存取受保護的應用程式。
確保此應用程式不會被任何條件存取政策無意中限制非常重要。 對於限制所有或特定應用程式的政策,請確保該應用程式在 目標資源 中列為例外,或確認阻擋政策是刻意為之。
為了確保你的基於位置的條件存取政策能正常運作,請在這些政策中加入 Microsoft Defender for Cloud Apps – Session Controls 應用程式。
建立 Defender for Cloud Apps 會話政策
此程序說明如何在 Defender for Cloud Apps 中建立新的會話政策。
在 Microsoft Defender 全面偵測回應中,選擇雲端應用程式>政策>管理>條件存取標籤。
選擇 建立政策>會話政策。 例如:
在 「建立會話政策 」頁面,先從 政策範本 下拉選單選擇範本,或手動輸入所有細節。
請輸入以下基本保單資訊。 如果你使用範本,大部分內容已經自動填補。
名稱 描述 原則名稱 為你的政策命名有意義,例如 「為行銷用戶封鎖敏感文件下載匣」 原則重要性 選擇你想套用在保單上的嚴重程度。 類別 選擇你想應用的類別。 描述 請為你的保單輸入一份可選且有意義的說明,幫助團隊了解其目的。 會話控制類型 選取下列其中一個選項:
- 只用監視器。 只監控使用者活動,並為你選擇的應用程式建立 僅限監控 的政策。
- 方塊活動。 阻擋由 活動類型 過濾器定義的特定活動。 所有來自特定應用程式的活動都會被監控並在活動日誌中報告。
- 控制檔案下載 (檢查) 。 監控器負責檔案下載,並可與其他動作結合,例如阻擋或保護下載。
- 控制檔案上傳 (並帶有檢查) 。 監控器負責檔案上傳,並可與其他動作結合,例如阻擋或保護上傳。
欲了解更多資訊,請參閱 支援活動以了解會場政策。在「 符合以下所有 活動」區域中,選擇額外活動篩選器以套用於政策。 篩選器包含以下選項:
名稱 描述 活動類型 選擇你想應用的活動類型,例如:
- 印刷
- 剪貼板操作,如剪裁、複製、貼上
- 在支援的應用程式中傳送、分享、取消分享或編輯項目。
例如,在你的條件中使用 「發送物品 」活動,抓到使用者試圖在 Teams 聊天或 Slack 頻道中傳送資訊,並封鎖包含敏感資訊如密碼或其他憑證的訊息。應用程式 針對特定應用程式的篩選功能,納入政策中。 選擇應用程式時,首先選擇是否使用自動化 Azure AD 導引(Microsoft Entra ID 應用)或手動導引(非 Microsoft IdP 應用)。 接著,從清單中選擇你想納入篩選的應用程式。
如果你的非 Microsoft IdP 應用程式在清單中缺少,請確保你已經完整導入它。 如需詳細資訊,請參閱:
- 內建非 Microsoft 的 IdP 目錄應用程式,用於條件存取應用程式控制。
- Onboard non-Microsoft IdP 自訂應用程式用於條件存取應用程式控制
如果你選擇不使用 App 篩選器,該政策會適用於所有在設定>中標示為啟用的應用程式,雲端應用程式>已連接>應用程式條件存取應用程式控制應用程式頁面。
注意:你可能會看到已啟動的應用程式與需要手動啟動的應用程式有些重疊。 如果應用程式間的過濾器有衝突,手動上線的應用程式會優先。裝置 篩選裝置標籤,例如特定裝置管理方法,或裝置類型,如 PC、行動裝置或平板。 IP 位址 依 IP 位址篩選或使用先前分配的 IP 標籤。 位置 依地理位置篩選。 缺乏明確的地點可能會發現有風險活動。 註冊ISP 篩選來自特定 ISP 的活動。 使用者 篩選特定使用者或使用者群組。 使用者代理字串 篩選出特定的使用者代理字串。 使用者代理標籤 篩選使用者代理標籤,例如過時的瀏覽器或作業系統。 例如:
選擇 「編輯並預覽結果 」,即可預覽你目前選擇中會回傳的活動類型。
為任何特定會話控制類型設定額外選項。
例如,如果你選擇 了封鎖活動,選擇 使用內容檢查 以檢查活動內容,然後依需要設定。 在這種情況下,你可能需要檢查包含特定表達方式的文字,例如社會安全號碼。
如果你選擇 了帶有檢查) 的控制檔案下載 ( 或 帶有檢查) 的控制檔案上傳 (,請設定 符合以下所有 設定的檔案。
請設定以下其中一個檔案篩選器:
名稱 描述 敏感度標籤 如果您也使用 Microsoft Purview,且您的資料受其敏感度標籤保護,請依 Microsoft Purview 資訊保護敏感度標籤進行篩選。 檔案名稱 篩選特定檔案。 Extension 針對特定檔案類型進行篩選,例如對所有 .xls 檔案封鎖下載。 檔案大小 (MB) 根據特定檔案大小進行篩選,例如大小檔案。 -
- 選擇使用檢查方法,例如資料分類服務或惡意軟體。 欲了解更多資訊,請參閱 Microsoft 資料分類服務整合。
- 為您的政策配置更詳細的選項,例如基於指紋或可訓練分類器等元素的情境。
-
名稱 描述 稽核 監控所有活動。 根據你設定的政策篩選條件,選擇明確允許下載。 封鎖 封鎖、檔案下載並監控所有活動。 選擇根據你設定的政策篩選器明確封鎖下載。
封鎖政策也允許你選擇以電子郵件通知使用者,並自訂封鎖訊息。Protect 對下載設定敏感度標籤並監控所有活動。 只有在你選擇 了帶有檢查 (控制檔案下載 時才可用) 。
如果你使用 Microsoft Purview 資訊保護,也可以選擇對匹配的檔案套用敏感標籤、對下載檔案的使用者套用自訂權限,或阻擋特定檔案的下載。
如果你有Microsoft Entra ID條件存取政策,也可以選擇在預覽) (要求升級認證。可選擇「 即使資料無法掃描,仍依保單需求套用所選動作 」。
在 警報 區,依需要配置以下任一動作:
- 為每個符合政策嚴重程度的事件建立警示
- 以電子郵件形式發送警示
- 每項保單每日警示上限
- 向 Power Automate 發送警示
完成後,請選取 [建立]。
測試你的保單
建立好會話政策後,透過重新認證每個在政策中設定的應用程式,並測試你在政策中設定的情境來測試。
我們建議您:
- 在重新驗證應用程式之前,請先登出所有現有的會話。
- 請從管理與非管理裝置登入行動及桌面應用程式,確保活動記錄完整記錄。
務必用符合你政策的使用者登入。
要在應用程式中測試您的保單:
請檢查鎖頭圖示是否
出現在你的瀏覽器中,或者如果你使用的瀏覽器不是 Microsoft Edge,請確認你的應用程式網址是否包含這個 .mcas後綴。 欲了解更多資訊,請參閱瀏覽器內保護商務用 Microsoft Edge (預覽) 。造訪應用程式內所有屬於使用者工作流程的頁面,並確認頁面是否正確呈現。
確認應用程式的行為與功能不會因執行下載和上傳等常見操作而受到負面影響。
如果你使用的是自訂的非 Microsoft IdP 應用程式,請檢查你 手動新增的每個網域。
若遇到錯誤或問題,請使用管理工具列收集資源 .har ,如檔案與錄製的會話,以便提交支援工單。
要檢查 Microsoft Defender 全面偵測回應的更新:
在 Microsoft Defender 入口網站的雲端應用程式中,點到政策,然後選擇政策管理。
選擇您已建立的保單以查看保單報告。 會期政策匹配應該很快就會出現。
政策報告顯示哪些登入被重新導向 Microsoft Defender for Cloud Apps 以控制會話,以及其他操作,例如哪些檔案被下載或封鎖。
關閉使用者通知設定
預設情況下,使用者會收到其會話被監控的通知。 如果你希望用戶不收到通知,或想自訂通知訊息,請設定通知設定。
在 Microsoft Defender 全面偵測回應中,選擇設定>、雲端應用程式>、條件存取、應用程式控制>、使用者監控。
請做出以下選擇之一:
- 完全關閉 「通知使用者其活動被監控 」選項
- 保留選項,選擇使用預設訊息或自訂訊息。
選擇 預覽 連結,可在新瀏覽器分頁中查看已設定訊息的範例。
匯出雲端發現日誌
條件存取應用程式控制會記錄每個經過它的使用者會話的流量記錄。 流量日誌包括時間、IP、使用者代理、訪問的網址,以及上傳和下載的位元組數。 這些日誌會被分析,並持續報告「Defender for Cloud Apps 條件存取應用程式控制」加入雲端發現儀表板的雲端發現報告清單。
要從雲端發現儀表板匯出雲端發現日誌:
在 Microsoft Defender 入口網站中,選擇設定。 然後選擇 雲端應用程式。 在 「已連接的應用程式」中,選擇 條件存取應用程式控制。
在表格上方,選擇匯出按鈕。 例如:
選擇報告範圍並選擇 匯出。 這個過程可能需要一些時間。
報告準備好後,要下載匯出日誌,請在 Microsoft Defender 入口網站中點選「報告 ->雲端應用程式」,然後選擇「匯出報告」。
在表格中,從 條件存取應用程式控制(Conditional Access App Control)流量記錄 列表中選擇相關報告,並選擇 下載。 例如:
支援會期政策的活動
以下章節將提供 Defender for Cloud Apps 會話政策所支援的每項活動的詳細資訊。
僅監控
僅監控會話控制類型只監控登入活動。
若要監控其他活動,請選擇其他會話控制類型之一並使用 稽核動作。
若要監控除下載和上傳以外的活動,你必須在監控政策中至少有一個活動政策的 封鎖 。
封鎖所有下載
當 Control 檔案下載 (與檢查) 設為會 話控制類型, Block 設為 動作時,條件存取應用程式控制會阻止使用者依政策檔案篩選器下載檔案。
當使用者發起下載時,會出現 下載限制 訊息,並以文字檔取代已下載的檔案。 根據組織需求,將文字檔的訊息設定給使用者。
要求升級認證
當會話控制類型設為封鎖活動、控制檔案下載 (與檢查) ,或控制檔案上傳 (搭配檢查) 時,要求升級認證動作可用。
當選擇此動作時,Defender for Cloud Apps 會將該會話重新導向至 Microsoft Entra 條件存取,以便在所選活動發生時重新評估政策。
使用此選項在會話中根據 Microsoft Entra ID 中設定的認證情境,檢查多重驗證與裝置合規等宣稱。
區塊專屬活動
當 Block 活動 被設定為 會話控制類型時,請選擇特定應用程式中要阻擋的特定活動。
所有設定過的應用程式活動都會被監控並在 雲端應用程式 > 的活動日誌中回報。
若要封鎖特定活動,請進一步選擇 封鎖動作,並 選擇你想要封鎖的活動。
要針對特定活動發出警報,請選擇 稽核動作 並設定警報設定。
例如,你可能想要封鎖以下活動:
已發送 Teams 訊息。 封鎖使用者從 Microsoft Teams 發送訊息,或封鎖包含特定內容的 Teams 訊息。
列印。 封鎖所有列印動作。
收到。 封鎖所有複製到剪貼簿的操作,或只針對特定內容封鎖複製。
Protect 檔案下載時
選擇「 封鎖活動」會話控制類型 來阻擋特定活動,並透過「 活動類型」篩選器來定義。
所有設定過的應用程式活動都會被監控並在 雲端應用程式 > 的活動日誌中回報。
選擇保護(Protect)動作,以保護帶有敏感度標籤及依政策檔案篩選器的其他保護措施的檔案。
敏感度標籤可在 Microsoft Purview 中設定,且必須設定為套用加密,才能在 Defender for Cloud Apps 會話政策中作為選項出現。
當你設定了特定標籤的會話政策,且使用者下載符合該政策條件的檔案時,該標籤以及相應的保護和權限都會套用在該檔案上。
原始檔案在雲端應用程式中保持不變,而下載的檔案則受到保護。 嘗試存取下載檔案的使用者必須符合所適用保護所規定的權限要求。
Defender for Cloud Apps 目前支援對以下檔案類型套用 Microsoft Purview 資訊保護的敏感標籤:
- Word:docm、docx、dotm、dotx
- Excel:xlam、xlsm、xlsx、xltx
- PowerPoint:potm、potx、ppsx、ppsm、pptm、pptx
注意事項
PDF 檔案必須以統一的標籤標示。
Protect 選項不支援在會話政策中覆寫已有標籤的檔案。
保護敏感檔案的上傳
請選擇 控制檔案上傳 (,並檢查) 會話控制類型 ,以防止使用者依照政策的檔案過濾器上傳檔案。
如果上傳的檔案有敏感資料且標籤不正確,檔案上傳就會被封鎖。
例如,建立一項政策,掃描檔案內容以判斷是否包含敏感內容匹配,例如社會安全號碼。 如果檔案包含敏感內容且未標示 Microsoft Purview 資訊保護機密標籤,檔案上傳將被阻擋。
上傳或下載時封鎖惡意軟體
選擇 控制檔案上傳 (搭配檢查) 或 控制檔案下載 (帶有檢查) 作為會 話控制 類型,並以 惡意軟體偵測 作為 檢查方法 ,以防止使用者上傳或下載帶有惡意軟體的檔案。 檔案會使用 Microsoft 威脅情報引擎掃描惡意軟體。
透過篩選「偵測到潛在惡意軟體」項目,查看雲端應用程式>活動日誌中被標記為潛在惡意軟體的檔案。 更多資訊請參閱 活動篩選與查詢。
教育使用者保護敏感檔案
我們建議您在用戶違反政策時進行教育,讓他們學會如何遵守貴組織的要求。
由於每家企業都有獨特的需求與政策,Defender for Cloud Apps 允許你自訂政策的篩選條件,以及當偵測到違規時顯示給使用者的訊息。
給使用者具體指引,例如如何適當標註檔案,或如何註冊未受管理裝置以確保檔案成功上傳。
例如,若使用者上傳未標示敏感標籤的檔案,請設定顯示訊息,說明該檔案包含敏感內容,需適當標籤。 同樣地,若使用者嘗試從未受管理的裝置上傳文件,請設定顯示訊息,說明如何註冊該裝置,或提供為何必須註冊該裝置的進一步說明。
會話政策中的存取控制
許多選擇使用雲端應用程式會話控制來控制會話中活動的組織,也會套用存取控制來封鎖同一組內建的行動與桌面用戶端應用程式,從而為應用程式提供全面的安全性。
透過將 用戶端應用程式 篩選器設為 行動端與桌面,並以存取政策封鎖內建的行動與桌面用戶端應用程式。 部分內建客戶端應用程式可單獨辨識,而其他屬於套件套件的應用程式只能被識別為其頂層應用程式。 例如,像 SharePoint Online 這類應用程式只能透過建立一套套用在 Microsoft 365 應用程式上的存取政策來識別。
注意事項
除非用戶端 應用程式 篩選器特別設為 行動裝置和桌面,否則產生的存取政策只會適用於瀏覽器會話。 此舉旨在防止無意中代理使用者會話。
雖然大多數主流瀏覽器支援執行用戶端憑證檢查,但部分行動與桌面應用程式使用內建瀏覽器,可能不支援此檢查。 因此,使用這個篩選器可能會影響這些應用程式的認證。
政策間的衝突
當兩個會期政策有衝突時,較嚴格的政策會勝出。
例如:
- 如果使用者會話符合同時封鎖下載的政策,
- 以及一項政策,讓檔案在下載時標示,或在下載時進行審核,
- 為了遵守更嚴格的政策,檔案下載選項被封鎖。
相關內容
如需詳細資訊,請參閱:
- 存取與會話控制故障排除
- 教學:使用條件存取應用程式控制(Conditional Access App Control)阻擋敏感資訊下載。
- 使用會話控制來阻擋未受管理裝置的下載
- 條件存取應用程式控制網路研討會
如果你遇到任何問題,我們隨時準備協助。 若要獲得產品問題的協助或支援,請 開啟客服單。