مشاركة عبر

إنشاء نهج جلسة عمل Microsoft Defender for Cloud Apps

  • مقالة

توفر نهج جلسة Microsoft Defender for Cloud Apps رؤية دقيقة لتطبيقات السحابة من خلال المراقبة على مستوى الجلسة في الوقت الحقيقي. استخدم نهج الجلسة لاتخاذ إجراءات مختلفة، اعتمادا على النهج الذي قمت بتعيينه لجلسة عمل المستخدم.

على النقيض من نهج الوصول، التي تسمح بالوصول أو تحظره تماما، تسمح نهج الجلسة بالوصول أثناء مراقبة الجلسة. أضف عنصر تحكم تطبيق الوصول المشروط إلى نهج جلسة العمل للحد من أنشطة جلسة عمل محددة.

على سبيل المثال، قد ترغب في السماح للمستخدمين بالوصول إلى تطبيق من أجهزة غير مدارة، أو من مواقع معينة. ومع ذلك، قد ترغب في الحد من تنزيل الملفات الحساسة أثناء جلسات العمل هذه أو المطالبة بحماية مستندات معينة من التنزيل أو التحميل أو النسخ عند الخروج من التطبيق.

النهج التي تم إنشاؤها لتطبيق مضيف غير متصلة بأي تطبيقات موارد ذات صلة. على سبيل المثال، نهج الوصول التي تقوم بإنشائها ل Teams أو Exchange أو Gmail غير متصلة ب SharePoint أو OneDrive أو Google Drive. إذا كنت بحاجة إلى نهج لتطبيق الموارد بالإضافة إلى تطبيق المضيف، فقم بإنشاء نهج منفصل.

لا يوجد حد لعدد النهج التي يمكن تطبيقها.

المتطلبات الأساسية

قبل البدء، تأكد من أن لديك المتطلبات الأساسية التالية:

لكي يعمل نهج جلسة العمل، يجب أن يكون لديك أيضا نهج وصول مشروط Microsoft Entra ID، والذي ينشئ أذونات للتحكم في نسبة استخدام الشبكة.

نموذج: إنشاء نهج الوصول المشروط Microsoft Entra ID للاستخدام مع Defender for Cloud Apps

يوفر هذا الإجراء مثالا عالي المستوى لكيفية إنشاء نهج وصول مشروط للاستخدام مع Defender for Cloud Apps.

  1. في Microsoft Entra ID الوصول المشروط، حدد إنشاء نهج جديد.

  2. أدخل اسما ذا معنى لنهجك، ثم حدد الارتباط ضمن جلسة العمل لإضافة عناصر تحكم إلى النهج الخاص بك.

  3. في منطقة الجلسة ، حدد استخدام التحكم في تطبيق الوصول المشروط.

  4. في منطقة المستخدمين ، حدد لتضمين جميع المستخدمين أو مستخدمين ومجموعات محددة فقط.

  5. في منطقتي الشروطوتطبيقات العميل ، حدد الشروط وتطبيقات العميل التي تريد تضمينها في نهجك.

  6. احفظ النهج عن طريق تبديل Report-only إلى On، ثم حدد Create.

يدعم Microsoft Entra ID كلا من النهج المستندة إلى المستعرض وغير المستندة إلى المستعرض. نوصي بإنشاء كلا النوعين لزيادة التغطية الأمنية.

كرر هذا الإجراء لإنشاء نهج وصول مشروط يستند إلى غير الكائنات. في منطقة تطبيقات العميل ، قم بتبديل خيار Configure إلى Yes. بعد ذلك، ضمن عملاء المصادقة الحديثة، قم بإلغاء تحديد خيار المستعرض . اترك جميع التحديدات الافتراضية الأخرى محددة.

لمزيد من المعلومات، راجع نهج الوصول المشروطوبناء نهج الوصول المشروط.

ملاحظة

يستخدم Microsoft Defender for Cloud Apps Microsoft Defender for Cloud Apps التطبيق - عناصر تحكم الجلسة كجزء من خدمة التحكم في تطبيق الوصول المشروط لتسجيل دخول المستخدم. يقع هذا التطبيق داخل قسم "تطبيقات المؤسسة" في معرف Entra. لحماية تطبيقات SaaS الخاصة بك باستخدام عناصر تحكم الجلسة، يجب السماح بالوصول إلى هذا التطبيق.

إذا كان لديك أي نهج وصول مشروط تم تحديد "حظر الوصول" في عنصر التحكم "منح الوصول" ضمن نهج الوصول المشروط Microsoft Entra ID المحدد لهذا التطبيق، فلن يتمكن المستخدمون النهائيون من الوصول إلى التطبيقات المحمية ضمن عناصر التحكم في الجلسة.

من المهم التأكد من أن هذا التطبيق غير مقيد عن غير قصد بأي نهج وصول مشروط. بالنسبة للنهج التي تقيد جميع التطبيقات أو بعضها، يرجى التأكد من إدراج هذا التطبيق كاستثناء في الموارد الهدف أو تأكيد أن نهج الحظر متعمد.

لضمان عمل نهج الوصول المشروط المستندة إلى الموقع بشكل صحيح، قم بتضمين تطبيق Microsoft Defender for Cloud Apps – عناصر تحكم الجلسة في هذه النهج.

إنشاء نهج جلسة عمل Defender for Cloud Apps

يصف هذا الإجراء كيفية إنشاء نهج جلسة عمل جديدة في Defender for Cloud Apps.

  1. في Microsoft Defender XDR، حدد علامة التبويب الوصول المشروط لإدارة > نهج نهج تطبيقات >> السحابة.

  2. حدد Create policy>Session policy. على سبيل المثال:

    لقطة شاشة لصفحة إنشاء نهج الوصول المشروط.

  3. في صفحة إنشاء نهج جلسة العمل ، ابدأ إما بتحديد قالب من القائمة المنسدلة قالب النهج ، أو بإدخال جميع التفاصيل يدويا.

  4. أدخل المعلومات الأساسية التالية لنهجك. إذا كنت تستخدم قالب، فإن الكثير من المحتوى يتم ملؤه بالفعل نيابة عنك.

    الاسم الوصف
    اسم النهج اسم ذو معنى لنهجك، مثل حظر تنزيل المستندات الحساسة في مربع لمستخدمي التسويق
    خطورة النهج حدد الخطورة التي تريد تطبيقها على النهج الخاص بك.
    الفئة حدد الفئة التي تريد تطبيقها.
    الوصف أدخل وصفا اختياريا ذا معنى لنهجك لمساعدة فريقك على فهم الغرض منه.
    نوع التحكم في الجلسة حدد أحد الخيارات التالية:

    - المراقبة فقط. يراقب نشاط المستخدم فقط وينشئ نهج Monitor فقط للتطبيقات التي تحددها.
    - حظر الأنشطة. حظر الأنشطة المحددة بواسطة عامل تصفية نوع النشاط . تتم مراقبة جميع الأنشطة من التطبيقات المحددة وإعداد تقارير عنها في سجل النشاط.
    - تنزيل ملف التحكم (مع الفحص). مراقبة تنزيلات الملفات، ويمكن دمجها مع إجراءات أخرى، مثل حظر التنزيلات أو حمايتها.
    - التحكم في تحميل الملفات (مع الفحص). مراقبة تحميلات الملفات، ويمكن دمجها مع إجراءات أخرى، مثل حظر التحميلات أو حمايتها.

    لمزيد من المعلومات، راجع الأنشطة المدعومة لنهج الجلسة.

  5. في الأنشطة المطابقة لجميع المجالات التالية، حدد عوامل تصفية نشاط إضافية لتطبيقها على النهج. تتضمن عوامل التصفية الخيارات التالية:

    الاسم الوصف
    نوع النشاط حدد نوع النشاط الذي تريد تطبيقه، مثل:

    -طبع
    - إجراءات الحافظة مثل القص والنسخ واللصق
    - إرسال العناصر أو مشاركتها أو إلغاء مشاركتها أو تحريرها في التطبيقات المدعومة.

    على سبيل المثال، استخدم نشاط إرسال العناصر في ظروفك للقبض على مستخدم يحاول إرسال معلومات في دردشة Teams أو قناة Slack، وحظر الرسالة إذا كانت تحتوي على معلومات حساسة مثل كلمة مرور أو بيانات اعتماد أخرى.
    App عوامل تصفية لتطبيق معين لتضمينه في النهج. حدد التطبيقات عن طريق تحديد ما إذا كانت تستخدم الإعداد التلقائي Azure AD، أو لتطبيقات Microsoft Entra ID، أو الإعداد اليدوي، لتطبيقات IdP غير التابعة ل Microsoft. ثم حدد التطبيق الذي تريد تضمينه في عامل التصفية من القائمة.

    إذا كان تطبيق IdP غير التابع ل Microsoft مفقودا من القائمة، فتأكد من إعداده بالكامل. لمزيد من المعلومات، اطلع على:
    - إلحاق تطبيقات كتالوج غير Microsoft IdP للتحكم في تطبيق الوصول المشروط.
    - إلحاق تطبيقات مخصصة غير Microsoft IdP للتحكم في تطبيق الوصول المشروط

    إذا اخترت عدم استخدام عامل تصفية التطبيق ، فإن النهج ينطبق على جميع التطبيقات التي تم وضع علامة عليها على أنها ممكنة في صفحة إعدادات التطبيقات المتصلة بالتطبيقات >>> المتصلة بالوصول المشروط لتطبيقات التحكم في التطبيقات .

    ملاحظة: قد ترى بعض التداخل بين التطبيقات التي تم إلحاقها والتطبيقات التي تحتاج إلى إلحاق يدوي. في حالة وجود تعارض في عامل التصفية بين التطبيقات، ستكون للتطبيقات المإلحاقة يدويا الأسبقية.
    Device تصفية لعلامات الجهاز، مثل طريقة إدارة أجهزة معينة، أو أنواع الأجهزة، مثل الكمبيوتر الشخصي أو المحمول أو الكمبيوتر اللوحي.
    عنوان IP تصفية لكل عنوان IP أو استخدام علامات عنوان IP المعينة مسبقا.
    مكان التصفية حسب الموقع الجغرافي. قد يؤدي عدم وجود موقع محدد بوضوح إلى تحديد الأنشطة الخطرة.
    موفر ISP المسجل تصفية للأنشطة القادمة من موفر ISP معين.
    User تصفية لمستخدم معين أو مجموعة من المستخدمين.
    سلسلة عامل المستخدم تصفية لسلسلة عامل مستخدم معينة.
    علامة عامل المستخدم تصفية لعلامات عامل المستخدم، مثل المستعرضات القديمة أو أنظمة التشغيل.

    على سبيل المثال:

    لقطة شاشة لعامل تصفية نموذجي عند إنشاء نهج وصول.

    حدد Edit and preview results للحصول على معاينة أنواع الأنشطة التي سيتم إرجاعها مع التحديد الحالي.

  6. تكوين خيارات إضافية متوفرة لأي أنواع محددة من عناصر التحكم في جلسة العمل.

    على سبيل المثال، إذا حددت حظر الأنشطة، فحدد استخدام فحص المحتوى لفحص محتوى النشاط، ثم قم بتكوين الإعدادات حسب الحاجة. في هذه الحالة، قد تحتاج إلى فحص النص الذي يتضمن تعبيرات معينة، مثل رقم الضمان الاجتماعي.

  7. إذا حددت تنزيل ملف التحكم (مع الفحص) أو تحميل ملف التحكم (مع الفحص)، فبادر بتكوين الملفات المطابقة لجميع الإعدادات التالية.

    1. تكوين أحد عوامل تصفية الملفات التالية:

      الاسم الوصف
      وصف الحساسية قم بالتصفية حسب حماية البيانات في Microsoft Purview أوصاف الحساسية، إذا كنت تستخدم أيضا Microsoft Purview، وكان بياناتك محمية بتسميات الحساسية الخاصة بها.
      اسم الملف تصفية ملفات معينة.
      امتداد تصفية أنواع ملفات معينة، على سبيل المثال، حظر التنزيل لجميع ملفات .xls.
      حجم الملف (ميغابايت) تصفية لأحجام ملفات معينة، مثل الملفات الكبيرة أو الصغيرة.

    2. في المنطقة تطبيق على (معاينة):

      • حدد ما إذا كنت تريد تطبيق النهج على جميع الملفات أو الملفات الموجودة في مجلدات محددة فقط
      • حدد طريقة فحص لاستخدامها، مثل خدمات تصنيف البيانات أو البرامج الضارة. لمزيد من المعلومات، راجع تكامل خدمات تصنيف بيانات Microsoft.
      • تكوين خيارات أكثر تفصيلا لنهجك، مثل السيناريوهات استنادا إلى عناصر مثل بصمات الأصابع أو المصنفات القابلة للتدريب.

  8. في منطقة الإجراءات ، حدد أحد الخيارات التالية:

    الاسم الوصف
    تدقيق مراقبة جميع الأنشطة. حدد للسماح صراحة بالتنزيل وفقا لعوامل تصفية النهج التي قمت بتعيينها.
    حظر حظر تنزيلات الملفات ومراقبة جميع الأنشطة. حدد لحظر التنزيلات بشكل صريح وفقا لعوامل تصفية النهج التي قمت بتعيينها.

    تسمح لك نهج الحظر أيضا بتحديد لإعلام المستخدمين عن طريق البريد الإلكتروني، وتخصيص رسالة الحظر.
    حماية تطبيق وصف الحساسية على التنزيل ومراقبة جميع الأنشطة. متوفر فقط إذا قمت بتحديد تنزيل ملف التحكم (مع الفحص).

    إذا كنت تستخدم حماية البيانات في Microsoft Purview، يمكنك أيضا تحديد لتطبيق وصف حساسية على الملفات المطابقة، أو تطبيق أذونات مخصصة على المستخدم الذي يقوم بتنزيل الملفات، أو حظر تنزيل ملفات معينة.

    إذا كان لديك نهج وصول مشروط Microsoft Entra ID، يمكنك أيضا تحديد لطلب مصادقة متابعة (معاينة).

    اختياريا، حدد الخيار تطبيق الإجراء المحدد دائما حتى إذا تعذر مسح البيانات ضوئيا حسب الحاجة لنهجك.

  9. في منطقة التنبيهات ، قم بتكوين أي من الإجراءات التالية حسب الحاجة:

    • إنشاء تنبيه لكل حدث مطابق مع خطورة النهج
    • إرسال تنبيه كرسالة بريد إلكتروني
    • حد التنبيه اليومي لكل نهج
    • إرسال تنبيهات إلى Power Automate

  10. عند الانتهاء، حدد إنشاء.

اختبار النهج الخاص بك

بعد إنشاء نهج جلسة العمل، اختبره عن طريق إعادة المصادقة على كل تطبيق تم تكوينه في النهج واختبار السيناريو الذي قمت بتكوينه في النهج الخاص بك.

نوصيك بما يلي:

  • سجل الخروج من جميع الجلسات الموجودة قبل إعادة المصادقة على تطبيقاتك.
  • سجل الدخول إلى تطبيقات الأجهزة المحمولة وسطح المكتب من كل من الأجهزة المدارة وغير المدارة لضمان تسجيل الأنشطة بالكامل في سجل النشاط.

تأكد من تسجيل الدخول باستخدام مستخدم يطابق النهج الخاص بك.

لاختبار نهجك في تطبيقك:

  • تحقق لمعرفة ما إذا كانت أيقونة التأمين تظهر في المستعرض، أو إذا كنت تعمل في مستعرض آخر غير Microsoft Edge، فتحقق من أن عنوان URL للتطبيق يحتوي على اللاحقة .mcas . لمزيد من المعلومات، راجع الحماية داخل المستعرض باستخدام Microsoft Edge for Business (معاينة).

  • قم بزيارة جميع الصفحات داخل التطبيق التي تعد جزءا من عملية عمل المستخدم وتحقق من عرض الصفحات بشكل صحيح.

  • تحقق من أن سلوك التطبيق ووظائفه لا يتأثران سلبا بتنفيذ إجراءات شائعة مثل تنزيل الملفات وتحميلها.

  • إذا كنت تعمل مع تطبيقات مخصصة وغير خاصة ب Microsoft IdP، فتحقق من كل مجال من المجالات التي أضفتها يدويا لتطبيقك.

إذا واجهت أخطاء أو مشكلات، فاستخدم شريط أدوات المسؤول لجمع الموارد مثل .har الملفات والجلسات المسجلة لتقديم تذكرة دعم.

للتحقق من وجود تحديثات في Microsoft Defender XDR:

  1. في Microsoft Defender Portal، ضمن Cloud Apps، انتقل إلى Policies، ثم حدد Policy management.

  2. حدد النهج الذي أنشأته لعرض تقرير النهج. يجب أن تظهر مطابقة نهج جلسة العمل قريبا.

يوضح تقرير النهج عمليات تسجيل الدخول التي تمت إعادة توجيهها إلى Microsoft Defender for Cloud Apps للتحكم في جلسة العمل، بالإضافة إلى أي إجراءات أخرى، مثل الملفات التي تم تنزيلها أو حظرها من جلسات العمل المراقبة.

إيقاف تشغيل إعدادات إعلام المستخدم

بشكل افتراضي، يتم إعلام المستخدمين عند مراقبة جلسات العمل الخاصة بهم. إذا كنت تفضل عدم إعلام المستخدمين، أو تخصيص رسالة الإعلام، فكون إعدادات الإعلام.

في Microsoft Defender XDR، حدد Settings > Cloud apps > Conditional Access App Control > User monitoring.

قم بإجراء أحد التحديدات التالية:

  • مسح الخيار إعلام المستخدمين بأن نشاطهم تتم مراقبته تماما
  • احتفظ بالتحديد وحدد لاستخدام الرسالة الافتراضية أو لتخصيص رسالتك.

حدد الارتباط Preview لعرض مثال على الرسالة المكونة في علامة تبويب مستعرض جديدة.

تصدير سجلات اكتشاف السحابة

يسجل Conditional Access App Control سجلات نسبة استخدام الشبكة لكل جلسة مستخدم يتم توجيهها عبرها. تتضمن سجلات نسبة استخدام الشبكة الوقت وعنوان IP ووكيل المستخدم وعناوين URL التي تمت زيارتها وعدد وحدات البايت التي تم تحميلها وتنزيلها. يتم تحليل هذه السجلات وإضافة تقرير مستمر، Defender for Cloud Apps التحكم في تطبيق الوصول المشروط، إلى قائمة تقارير اكتشاف السحابة في لوحة معلومات اكتشاف السحابة.

لتصدير سجلات اكتشاف السحابة من لوحة معلومات اكتشاف السحابة:

  1. في مدخل Microsoft Defender، حدد الإعدادات. ثم اختر تطبيقات السحابة. ضمن التطبيقات المتصلة، حدد التحكم في تطبيق الوصول المشروط.

  2. أعلى الجدول، حدد زر التصدير. على سبيل المثال:

    لقطة شاشة لزر التصدير.

  3. حدد نطاق التقرير وحدد تصدير. قد تستغرق هذه العملية بعض الوقت.

  4. لتنزيل السجل الذي تم تصديره بعد أن يكون التقرير جاهزا، في Microsoft Defender Portal، انتقل إلى Reports ->Cloud Apps ثم تم تصدير التقارير.

  5. في الجدول، حدد التقرير ذي الصلة من قائمة سجلات حركة مرور التحكم في تطبيق الوصول المشروط وحدد تنزيل. على سبيل المثال:

    لقطة شاشة لزر التنزيل.

الأنشطة المدعومة لنهج الجلسة

توفر الأقسام التالية المزيد من التفاصيل حول كل نشاط تدعمه نهج جلسة Defender for Cloud Apps.

المراقبة فقط

يراقب نوع التحكم في جلسةالمراقبة فقط نشاط تسجيل الدخول فقط.

لمراقبة الأنشطة الأخرى، حدد أحد أنواع التحكم في جلسة العمل الأخرى واستخدم إجراءالتدقيق.

لمراقبة أنشطة أخرى غير التنزيلات والتحميلات، يجب أن يكون لديك كتلة واحدة على الأقل لكل نهج نشاط في نهج المراقبة.

حظر جميع التنزيلات

عند تعيين تنزيل ملف التحكم (مع الفحص)كنوع التحكم في جلسة العمل، ويتم تعيين الحظركإجراء، يمنع التحكم في تطبيق الوصول المشروط المستخدمين من تنزيل ملف وفقا لعوامل تصفية ملفات النهج.

عندما يبدأ المستخدم عملية تنزيل، تظهر رسالة التنزيل المقيدة للمستخدم، ويتم استبدال الملف الذي تم تنزيله بملف نصي. قم بتكوين رسالة الملف النصي للمستخدم حسب الحاجة لمؤسستك.

طلب مصادقة متابعة

يتوفر إجراءطلب مصادقة خطوة متابعة عند تعيين نوع التحكم في الجلسة إلى حظر الأنشطة أو تنزيل ملف التحكم (مع الفحص) أو تحميل ملف التحكم (مع الفحص).

عند تحديد هذا الإجراء، يعيد Defender for Cloud Apps توجيه جلسة العمل إلى Microsoft Entra الوصول المشروط لإعادة تقييم النهج، كلما حدث النشاط المحدد.

استخدم هذا الخيار للتحقق من المطالبات مثل المصادقة متعددة العوامل وتوافق الجهاز أثناء جلسة العمل، استنادا إلى سياق المصادقة المكون في Microsoft Entra ID.

حظر أنشطة محددة

عند تعيين أنشطة الحظركنوع التحكم في جلسة العمل، حدد أنشطة محددة لحظرها في تطبيقات معينة.

  • تتم مراقبة جميع الأنشطة من التطبيقات المكونة وإعداد تقارير عنها في سجل نشاط تطبيقات > السحابة.

  • لحظر أنشطة معينة، حدد إجراءالحظر وحدد الأنشطة التي تريد حظرها.

  • لرفع التنبيهات لأنشطة معينة، حدد إجراءالتدقيق وقم بتكوين إعدادات التنبيه.

على سبيل المثال، قد ترغب في حظر الأنشطة التالية:

  • رسالة Teams المرسلة. حظر المستخدمين من إرسال رسائل من Microsoft Teams، أو حظر رسائل Teams التي تحتوي على محتوى معين.

  • الطباعة. حظر جميع إجراءات الطباعة.

  • نسخ. حظر كافة النسخ إلى إجراءات الحافظة، أو حظر النسخ فقط لمحتوى معين فقط.

حماية الملفات عند التنزيل

حدد نوع التحكم في جلسة عملحظر الأنشطة لحظر أنشطة معينة، والتي تحددها باستخدام عامل تصفيةنوع النشاط.

تتم مراقبة جميع الأنشطة من التطبيقات المكونة وإعداد تقارير عنها في سجل نشاط تطبيقات > السحابة.

  • حدد إجراءالحظر لحظر أنشطة معينة، أو حدد إجراءالتدقيق وحدد إعدادات التنبيه لرفع التنبيهات لأنشطة معينة.

  • حدد إجراءحماية لحماية الملفات ذات وصف الحساسية والحماية الأخرى وفقا لعوامل تصفية ملفات النهج.

    يتم تكوين أوصاف الحساسية في Microsoft Purview ويجب تكوينها لتطبيق التشفير لتظهر كخيار في نهج جلسة Defender for Cloud Apps.

    عندما تقوم بتكوين نهج الجلسة باستخدام تسمية معينة وينزل المستخدم ملفا يلبي معايير النهج، يتم تطبيق التسمية وأي حماية وأذونات مقابلة على الملف.

    يظل الملف الأصلي كما كان في تطبيق السحابة أثناء حماية الملف الذي تم تنزيله. يجب على المستخدمين الذين يحاولون الوصول إلى الملف الذي تم تنزيله تلبية متطلبات الإذن التي تحددها الحماية المطبقة.

يدعم Defender for Cloud Apps حاليا تطبيق أوصاف الحساسية من حماية البيانات في Microsoft Purview أنواع الملفات التالية:

  • Word: docm، docx، dotm، dotx
  • Excel: xlam، xlsm، xlsx، xltx
  • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • PDF

ملاحظة

يجب تسمية ملفات PDF بتسميات موحدة.

لا يدعم خيار الحماية الكتابة فوق الملفات باستخدام تسمية موجودة في نهج جلسة العمل.

حماية تحميلات الملفات الحساسة

حدد نوع التحكم في جلسةتحميل ملف التحكم (مع الفحص) لمنع المستخدم من تحميل ملف وفقا لعوامل تصفية ملفات النهج.

إذا كان الملف الذي يتم تحميله يحتوي على بيانات حساسة ولم يكن لديه التسمية الصحيحة، يتم حظر تحميل الملف.

على سبيل المثال، قم بإنشاء نهج يفحص محتوى ملف لتحديد ما إذا كان يحتوي على تطابق محتوى حساس مثل رقم الضمان الاجتماعي. إذا كان يحتوي على محتوى حساس ولم يتم تسميته بتسمية سرية حماية البيانات في Microsoft Purview، يتم حظر تحميل الملف.

تلميح

قم بتكوين رسالة مخصصة للمستخدم عند حظر ملف، مع إرشاده إلى كيفية تسمية الملف من أجل تحميله، مما يساعد على التأكد من أن الملفات المخزنة في تطبيقات السحابة الخاصة بك تتوافق مع النهج الخاصة بك.

لمزيد من المعلومات، راجع تثقيف المستخدمين لحماية الملفات الحساسة.

حظر البرامج الضارة عند التحميل أو التنزيل

حدد تحميل ملف التحكم (مع الفحص) أو تنزيل ملف التحكم (مع الفحص)كنوع التحكم في الجلسةوالكشف عن البرامج الضارةكطريقة فحص لمنع المستخدم من تحميل ملف أو تنزيله باستخدام البرامج الضارة. يتم فحص الملفات بحثا عن البرامج الضارة باستخدام محرك التحليل الذكي للمخاطر من Microsoft.

اعرض أي ملفات تم وضع علامة عليها على أنها برامج ضارة محتملة في سجل نشاط تطبيقات > السحابة عن طريق تصفية العناصر المحتملة التي تم اكتشافها للبرامج الضارة . لمزيد من المعلومات، راجع عوامل تصفية النشاط والاستعلامات.

تثقيف المستخدمين لحماية الملفات الحساسة

نوصي بتثقيف المستخدمين عندما ينتهكون نهجك حتى يتعلموا كيفية الامتثال لمتطلبات مؤسستك.

نظرا لأن كل مؤسسة لديها احتياجات وسياسات فريدة، Defender for Cloud Apps يسمح لك بتخصيص عوامل تصفية النهج والرسالة المعروضة للمستخدم عند اكتشاف انتهاك.

قدم إرشادات محددة للمستخدمين، مثل توفير إرشادات حول كيفية تسمية ملف بشكل مناسب، أو كيفية تسجيل جهاز غير مدار لضمان تحميل الملفات بنجاح.

على سبيل المثال، إذا حمل مستخدم ملفا بدون تسمية حساسية، فبادر بتكوين رسالة ليتم عرضها، موضحا أن الملف يحتوي على محتوى حساس ويتطلب تسمية مناسبة. وبالمثل، إذا حاول مستخدم تحميل مستند من جهاز غير مدار، فبادر بتكوين رسالة ليتم عرضها مع إرشادات حول كيفية تسجيل هذا الجهاز أو رسالة توفر شرحا إضافيا لسبب ضرورة تسجيل الجهاز.

عناصر التحكم بالوصول في نهج الجلسة

العديد من المؤسسات التي تختار استخدام عناصر تحكم الجلسة لتطبيقات السحابة للتحكم في الأنشطة داخل الجلسة، تطبق أيضا عناصر التحكم في الوصول لحظر نفس مجموعة تطبيقات عميل الأجهزة المحمولة وسطح المكتب المضمنة، وبالتالي توفير أمان شامل للتطبيقات.

حظر الوصول إلى تطبيقات عميل الأجهزة المحمولة وسطح المكتب المضمنة مع نهج الوصول عن طريق تعيين عامل تصفية تطبيق العميل إلى الأجهزة المحمولة وسطح المكتب. يمكن التعرف على بعض تطبيقات العميل المضمنة بشكل فردي، بينما يمكن تعريف تطبيقات أخرى تشكل جزءا من مجموعة من التطبيقات فقط على أنها تطبيق من المستوى الأعلى. على سبيل المثال، لا يمكن التعرف على تطبيقات مثل SharePoint Online إلا من خلال إنشاء نهج وصول مطبق على تطبيقات Microsoft 365.

ملاحظة

ما لم يتم تعيين عامل تصفية تطبيق العميل على الأجهزة المحمولة وسطح المكتب على وجه التحديد، سيتم تطبيق نهج الوصول الناتج فقط على جلسات عمل المستعرض. يهدف هذا إلى منع جلسات عمل المستخدم بالوكالة عن غير قصد.

بينما تدعم معظم المستعرضات الرئيسية إجراء فحص شهادة العميل، تستخدم بعض تطبيقات الأجهزة المحمولة وسطح المكتب المستعرضات المضمنة التي قد لا تدعم هذا الفحص. لذلك، يمكن أن يؤثر استخدام عامل التصفية هذا على المصادقة لهذه التطبيقات.

التعارضات بين النهج

عندما يكون هناك تعارض بين نهجي جلسة عمل، يفوز النهج الأكثر تقييدا.

على سبيل المثال:

  • إذا تطابقت جلسة عمل المستخدم مع كلا النهجين حيث يتم حظر التنزيلات
  • ونهج حيث يتم تسمية الملفات عند التنزيل، أو حيث يتم تدقيق التنزيلات،
  • تم حظر خيار تنزيل الملف، للامتثال للنهج الأكثر تقييدا.

المحتويات ذات الصلة

لمزيد من المعلومات، اطلع على:

إذا واجهت أي مشاكل، فنحن هنا للمساعدة. للحصول على المساعدة أو الدعم لقضية المنتج، يرجى فتح تذكرة دعم.