常用的 適用於雲端的 Microsoft Defender 應用程式資訊保護原則

適用於雲端的 Defender Apps 檔案原則可讓您強制執行各種不同的自動化程式。 原則可以設定為提供信息保護，包括持續合規性掃描、法律電子檔探索工作，以及公開共用敏感性內容的 DLP。

適用於雲端的 Defender Apps 可以根據 20 個以上的元數據篩選來監視任何文件類型，例如存取層級和文件類型。 如需詳細資訊，請參閱 檔案原則。

偵測並防止外部共用敏感數據

偵測具有個人識別資訊或其他敏感數據的檔案儲存在雲端服務中，並與貴組織外部違反公司安全策略的用戶共用，並建立潛在的合規性缺口。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式。

步驟

1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 下，移至 [原則 -> 原則管理]。 建立新的 檔案原則。

2. 設定篩選 存取層級 等於 公用（因特網）/公用/外部。

3. 在 [檢查方法] 底下，選取 [數據分類服務][DCS]，然後在 [選取類型] 底下選取您想要 DCS 檢查的敏感性信息類型。

4. 設定 觸發警示時要採取的治理 動作。 例如，您可以建立治理動作，以在 Google Workspace 中偵測到的檔案違規上執行，您可以在其中選取 [移除外部使用者] 和 [移除公用存取] 選項。

5. 建立檔案原則。

偵測外部共用的機密數據

偵測標籤為 機密 且儲存在雲端服務中的檔案是否與外部使用者共用，違反公司原則。

必要條件

• 您必須至少有一個使用 應用程式連接器連線的應用程式。

• 啟用 Microsoft Purview 資訊保護整合。

步驟

1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 下，移至 [原則 -> 原則管理]。 建立新的 檔案原則。

2. 將 [敏感度] 標籤設定為 Microsoft Purview 資訊保護 等於 [機密] 標籤或貴公司的對等專案。

3. 設定篩選 存取層級 等於 公用（因特網）/公用/外部。

4. 選擇性：設定 偵測到違規時要對檔案採取的治理 動作。 可用的治理動作會因服務而異。

5. 建立檔案原則。

偵測和加密待用敏感數據

偵測包含個人識別資訊和其他敏感數據的檔案，這些機密數據會共用在雲端應用程式中，並套用敏感度標籤，以限制只存取貴公司的員工。

必要條件

• 您必須至少有一個使用 應用程式連接器連線的應用程式。

• 啟用 Microsoft Purview 資訊保護整合。

步驟

1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 下，移至 [原則 -> 原則管理]。 建立新的 檔案原則。

2. 在 [檢查方法] 底下，選取 [數據分類服務][DCS]，然後在 [選取類型] 底下選取您想要 DCS 檢查的敏感性信息類型。

3. 在 [治理動作] 底下，核取 [套用敏感度卷標]，然後選取貴公司用來限制公司員工的存取權的敏感度標籤。

4. 建立檔案原則。

注意

目前只有 Box、Google Workspace、SharePoint online 和 商務用 OneDrive 支援直接在 適用於雲端的 Defender Apps 中套用敏感度標籤的能力。

從未經授權的位置偵測數據存取

根據貴組織的常見位置，偵測何時從未經授權的位置存取檔案，以識別潛在的數據外泄或惡意存取。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式。

步驟

1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 下，移至 [原則 -> 原則管理]。 建立新的 活動原則。

2. 將 [活動類型] 設定為您感興趣的檔案和資料夾活動，例如 [檢視]、[下載]、[存取] 和 [修改]。

3. 設定篩選 位置 不相等，然後輸入貴組織預期活動的國家/地區。

   • 選擇性：如果您的組織封鎖來自特定國家/地區的存取，您可以使用相反的方法，並將篩選條件設定為 [位置 ] 相等。

4. 選擇性：建立 要套用至偵測到違規的治理 動作（可用性因服務而異），例如 暫止使用者。

5. 建立活動原則。

偵測並保護不相容 SP 網站中的機密數據存放區

偵測標示為機密且儲存在不符合規範的 SharePoint 網站中的檔案。

必要條件

敏感度標籤是在組織內設定及使用。

步驟

1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 下，移至 [原則 -> 原則管理]。 建立新的 檔案原則。

2. 將 [敏感度] 標籤設定為 Microsoft Purview 資訊保護 等於 [機密] 標籤或貴公司的對等專案。

3. 設定篩選 [父資料夾] 不相等，然後在 [選取資料夾] 底下，選擇您組織中的所有相容資料夾。

4. 在 [警示] 底下，選取 [為每個相符檔案建立警示]。

5. 選擇性：設定 偵測到違規時要對檔案採取的治理 動作。 可用的治理動作會因服務而異。 例如，將 Box 設定為 [將原則比對摘要傳送至檔案擁有者] 和 [放入系統管理隔離]。

6. 建立檔案原則。

偵測外部共用的原始程式碼

偵測包含可能為原始碼之內容的檔案是否公開共用，或與組織外部的用戶共用。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式。

步驟

1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 下，移至 [原則 -> 原則管理]。 建立新的 檔案原則。

2. 選取並套用原則範本 外部共享原始程式碼

3. 選擇性：自定義擴展名清單，以符合組織的原始程式碼擴展名。

4. 選擇性：設定 偵測到違規時要對檔案採取的治理 動作。 可用的治理動作會因服務而異。 例如，在 Box 中， 將原則比對摘要傳送至檔案擁有者 ，並 放入系統管理隔離區中。

5. 選取並套用原則範本。

偵測未經授權存取群組數據

偵測屬於特定使用者群組的特定檔案是否被不屬於群組一部分的使用者過度存取，這可能是潛在的內部威脅。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式。

步驟

1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 下，移至 [原則 -> 原則管理]。 建立新的 活動原則。

2. 在 [動作] 底下，選取 [重複活動] 並自定義 [最小重複活動]，並設定 [時間範圍] 以符合貴組織的原則。

3. 將 [活動類型] 設定為您感興趣的檔案和資料夾活動，例如 [檢視]、[下載]、[存取] 和 [修改]。

4. 將 [使用者] 篩選設定為 [從群組] 等於 ，然後選取相關的使用者群組。

   注意

   您可以從支援的應用程式手動 匯入使用者群組。

5. 將 [檔案和資料夾] 篩選設定為 [特定檔案或資料夾] 等於 ，然後選擇屬於稽核使用者群組的檔案和資料夾。

6. 設定偵測到違規時，要對檔案採取的治理動作。 可用的治理動作會因服務而異。 例如，您可以選擇 [ 暫停使用者]。

7. 建立檔案原則。

偵測可公開存取的 S3 貯體

偵測並防範來自 AWS S3 貯體的潛在數據外洩。

必要條件

您必須使用 應用程式連接器來連線 AWS 實例。

步驟

1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 下，移至 [原則 -> 原則管理]。 建立新的 檔案原則。

2. 選取並套用原則範本 公開存取的 S3 貯體 （AWS） 。

3. 設定偵測到違規時，要對檔案採取的治理動作。 可用的治理動作會因服務而異。 例如，將 AWS 設定為 [設為私人 ]，讓 S3 貯體成為私人。

4. 建立檔案原則。

跨檔案記憶體應用程式偵測及保護GDPR相關數據

偵測雲端記憶體應用程式中共用的檔案，並包含個人識別資訊和其他受到GDPR合規性政策約束的敏感數據。 然後，自動套用敏感度標籤，只限制對授權人員的存取。

必要條件

• 您必須至少有一個使用 應用程式連接器連線的應用程式。

• 啟用 Microsoft Purview 資訊保護 整合，並在 purview Microsoft 中設定 GDPR 標籤

步驟

1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 下，移至 [原則 -> 原則管理]。 建立新的 檔案原則。

2. 在 [檢查方法] 底下，選取 [數據分類服務][DCS]，然後在 [選取類型] 下選取一或多個符合 GDPR 合規性的資訊類型，例如：歐盟轉帳卡號碼、歐盟駕駛執照號碼、歐盟國家/地區標識符、歐盟護照號碼、EU SSN、SU 稅務標識符。

3. 選取每個支援之應用程式的 [套用敏感度標籤]，以設定偵測到違規時要對檔案採取的治理動作。

4. 建立檔案原則。

注意

目前，僅支援 Box、Google Workspace、SharePoint Online 和商務用 OneDrive 的套用敏感度卷標。

實時封鎖外部用戶的下載

使用 適用於雲端的 Defender Apps 會話控件，防止外部使用者即時封鎖檔案下載，防止公司數據遭到外洩。

必要條件

請確定您的應用程式是 SAML 型應用程式，其使用 Microsoft Entra ID 進行單一登錄，或已上線至適用於條件式存取應用程控的 適用於雲端的 Defender Apps。

如需支援之應用程式的詳細資訊，請參閱 支援的應用程式和用戶端。

步驟

1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 下，移至 [原則 -> 原則管理]。 建立新的 會話原則。

2. 在 [工作階段控件類型] 底下，選取 [控制檔案下載]（檢查時）。

3. 在 [活動篩選] 底下，選取 [使用者]，並將其設定為 [從] 群組等於 [外部使用者]。

   注意

   您不需要設定任何應用程式篩選條件，即可將此原則套用至所有應用程式。

4. 您可以使用 [ 檔案] 篩選 來自定義檔案類型。 這可讓您更細微地控制會話原則控制的檔案類型。

5. 在 [動作] 底下，選取 [封鎖]。 您可以選取 [自定義封鎖訊息 ] 來設定要傳送給使用者的自定義訊息，讓他們瞭解封鎖內容的原因，以及他們如何套用正確的敏感度標籤來啟用它。

6. 選取 建立。

即時為外部使用者強制執行唯讀模式

使用 適用於雲端的 Defender Apps 會話控件，防止外部使用者即時封鎖列印和複製/貼上活動，防止公司數據遭到外洩。

必要條件

請確定您的應用程式是 SAML 型應用程式，其使用 Microsoft Entra ID 進行單一登錄，或已上線至適用於條件式存取應用程控的 適用於雲端的 Defender Apps。

如需支援之應用程式的詳細資訊，請參閱 支援的應用程式和用戶端。

步驟

1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 下，移至 [原則 -> 原則管理]。 建立新的 會話原則。

2. 在 [工作階段控件類型] 底下，選取 [封鎖活動]。

3. 在 [ 活動來源 ] 篩選中：

   1. 選取 [使用者]，並將 [從] 群組設定為 [外部使用者]。

   2. 選取 [活動類型 ] 等於 [列印 ] 和 [剪下/複製專案]。

   注意

   您不需要設定任何應用程式篩選條件，即可將此原則套用至所有應用程式。

4. 選擇性：在 [檢查方法] 下，選取要套用的檢查類型，並設定 DLP 掃描的必要條件。

5. 在 [動作] 底下，選取 [封鎖]。 您可以選取 [自定義封鎖訊息 ] 來設定要傳送給使用者的自定義訊息，讓他們瞭解封鎖內容的原因，以及他們如何套用正確的敏感度標籤來啟用它。

6. 選取 建立。

封鎖即時上傳未分類的檔

使用 適用於雲端的 Defender Apps 會話控件，防止使用者將未受保護的數據上傳至雲端。

必要條件

• 請確定您的應用程式是 SAML 型應用程式，其會使用 Microsoft Entra ID 進行單一登錄，或已上線至適用於條件式存取應用程控的 適用於雲端的 Defender Apps。

如需支援之應用程式的詳細資訊，請參閱 支援的應用程式和用戶端。

• 您必須在組織內設定及使用來自 Microsoft Purview 資訊保護 的敏感度標籤。

步驟

1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 下，移至 [原則 -> 原則管理]。 建立新的 會話原則。

2. 在 [工作階段控件類型] 底下，選取 [控制檔案上傳] 或 [使用檢查] 或 [控制檔案下載] （使用檢查）。

   注意

   您不需要設定任何篩選條件，即可將此原則套用至所有用戶和應用程式。

3. 選取檔案篩選 敏感度標籤 ，然後選取貴公司用來標記分類檔案的標籤分類檔案的標籤。

4. 選擇性：在 [檢查方法] 下，選取要套用的檢查類型，並設定 DLP 掃描的必要條件。

5. 在 [動作] 底下，選取 [封鎖]。 您可以選取 [自定義封鎖訊息 ] 來設定要傳送給使用者的自定義訊息，讓他們瞭解封鎖內容的原因，以及他們如何套用正確的敏感度標籤來啟用它。

6. 選取 建立。

注意

如需 適用於雲端的 Defender 應用程式目前支援 Microsoft Purview 資訊保護 敏感度標籤的檔案類型清單，請參閱 Microsoft Purview 資訊保護整合必要條件。

下一步

保護貴組織的最佳做法

如果您遇到任何問題，我們會在這裡提供説明。 若要取得產品問題的協助或支援，請 開啟支援票證。