Oktatóanyag: Fokozott hitelesítés (hitelesítési környezet) megkövetelése kockázatos művelet esetén

Rendszergazdaként ma egy szikla és egy kemény hely között ragad. Azt szeretné, hogy az alkalmazottak hatékonyak legyenek. Ez azt jelenti, hogy az alkalmazottak hozzáférhetnek az alkalmazásokhoz, hogy bármikor, bármilyen eszközről dolgozhassanak. Azonban meg szeretné védeni a vállalat eszközeit, beleértve a védett és kiemelt információkat is. Hogyan engedélyezheti az alkalmazottak számára a felhőalkalmazások elérését az adatok védelme során?

Ez az oktatóanyag lehetővé teszi a Microsoft Entra feltételes hozzáférési szabályzatok újraértékelését, amikor a felhasználók bizalmas műveleteket végeznek egy munkamenet során.

A fenyegetés

Egy alkalmazott bejelentkezett a SharePoint Online-ba a vállalati irodából. Ugyanebben a munkamenetben az IP-címük a vállalati hálózaton kívül van regisztrálva. Lehet, hogy elmentek a kávézóba a földszinten, vagy talán a jogkivonatukat feltörték vagy ellopták egy rosszindulatú támadó.

A megoldás

A szervezet védelme azáltal, hogy megköveteli a Microsoft Entra feltételes hozzáférési szabályzatainak újraértékelését az Felhőhöz készült Defender Alkalmazások feltételes hozzáférésű alkalmazásvezérlője által végzett bizalmas munkamenet-műveletek során.

Előfeltételek

• Érvényes licenc a Microsoft Entra ID P1 licenchez

• Felhőalapú alkalmazás konfigurálása egyszeri bejelentkezéshez az alábbi hitelesítési protokollok egyikével:

  IdP	Protokollok
  Microsoft Entra-azonosító	SAML 2.0 vagy OpenID Csatlakozás

• Győződjön meg arról, hogy az alkalmazás telepítve van az Felhőhöz készült Defender-alkalmazásokban

Szabályzat létrehozása a fokozatos hitelesítés kikényszerítéséhez

Felhőhöz készült Defender Alkalmazások munkamenetszabályzatai lehetővé teszik a munkamenetek eszközállapoton alapuló korlátozását. Ha egy munkamenetet feltételes eszközével szeretne vezérelni, hozzon létre feltételes hozzáférési szabályzatot és munkamenet-szabályzatot is.

1. lépés: Az identitásszolgáltató konfigurálása az Felhőhöz készült Defender-alkalmazások használatához

Győződjön meg arról, hogy az IdP-megoldást úgy konfigurálta, hogy az Felhőhöz készült Defender-alkalmazásokkal működjön, az alábbiak szerint:

• A Microsoft Entra feltételes hozzáféréssel kapcsolatban lásd: Integráció konfigurálása a Microsoft Entra-azonosítóval

• Egyéb idP-megoldások esetén lásd : Integráció konfigurálása más identitásszolgáltatói megoldásokkal

A feladat elvégzése után lépjen a Felhőhöz készült Defender Alkalmazások portálra, és hozzon létre egy munkamenet-szabályzatot a munkamenet fájlletöltéseinek figyeléséhez és szabályozásához.

2. lépés: Munkamenet-szabályzat létrehozása

1. A Microsoft Defender portál Cloud Apps területén lépjen a Polices –>Policy management (Szabályzatkezelés) elemre.

2. A Szabályzatok lapon válassza a Házirend létrehozása, majd a Munkamenet-szabályzat lehetőséget.

3. A Munkamenet-házirend létrehozása lapon adjon nevet és leírást a szabályzatnak. Például a SharePoint Online-ból nem felügyelt eszközökről történő letöltésekhez szükség van a lépésenkénti hitelesítésre.

4. Szabályzat súlyosságának és kategóriájának hozzárendelése.

5. A munkamenet-vezérlés típusához válassza a Tevékenységek tiltása,A fájlfeltöltés szabályozása (ellenőrzéssel), A fájlok letöltésének szabályozása (ellenőrzéssel) lehetőséget.

6. Az alábbi szakasznak megfelelő Tevékenységek területen válassza ki a szűrőket:

   • Eszközcímke: Válassza a Nem egyenlő lehetőséget, majd válassza az Intune-kompatibilis, a Hibrid Microsoft Entra-csatlakozás vagy az Érvényes ügyféltanúsítvány lehetőséget. A kiválasztás a szervezet által a felügyelt eszközök azonosítására használt módszertől függ.

   • Alkalmazás: Válassza ki a vezérelni kívánt alkalmazást.

   • Felhasználók: Jelölje ki a figyelni kívánt felhasználókat.

7. A Következő szakasznak megfelelő fájlok tevékenységforrás csoportjában állítsa be a következő szűrőket:

   • Bizalmassági címkék: Ha Microsoft Purview információvédelem bizalmassági címkéket használ, szűrje a fájlokat egy adott Microsoft Purview információvédelem bizalmassági címke alapján.

   • Válassza a Fájlnév vagy a Fájltípus lehetőséget, ha a fájlnév vagy a típus alapján szeretne korlátozásokat alkalmazni.

8. Engedélyezze a tartalomvizsgálatot , hogy lehetővé tegye a belső DLP számára a fájlok bizalmas tartalmak keresését.

9. A Műveletek csoportban válassza a További hitelesítés megkövetelése lehetőséget.

   Feljegyzés

   Ehhez létre kell hozni a hitelesítési környezetet a Microsoft Entra-azonosítóban.

10. Adja meg a szabályzat egyeztetésekor megkapni kívánt riasztásokat. Beállíthat egy korlátot, hogy ne kapjon túl sok riasztást. Válassza ki, hogy e-mailként szeretné-e megkapni a riasztásokat.

11. Válassza a Létrehozás lehetőséget.

Szabályzat érvényesítése

1. A szabályzat szimulálásához jelentkezzen be az alkalmazásba nem felügyelt eszközről vagy nem vállalati hálózati helyről. Ezután próbáljon meg letölteni egy fájlt.

2. A hitelesítési környezeti házirendben konfigurált műveletet végre kell hajtania.

3. A Microsoft Defender portál Cloud Apps területén lépjen a Polices –>Policy management (Szabályzatkezelés) elemre. Ezután válassza ki a létrehozott szabályzatot a szabályzatjelentés megtekintéséhez. Hamarosan megjelenik egy munkamenet-szabályzategyezés.

4. A szabályzatjelentésben láthatja, hogy mely bejelentkezések lettek átirányítva a Felhőhöz készült Microsoft Defender-alkalmazások munkamenet-vezérléshez, és mely fájlok lettek letöltve vagy letiltva a figyelt munkamenetekből.

Következő lépések

Hozzáférési szabályzat létrehozása

Munkamenet-szabályzat létrehozása

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.