Esercitazione: Bloccare il download di informazioni riservate con controllo app per l'accesso condizionale

Gli amministratori IT di oggi si trovano tra l'incudine e il martello. Si vuole che i dipendenti siano produttivi. Ciò significa consentire loro l'accesso alle app in modo che possano lavorare in qualsiasi momento e da qualunque dispositivo. Si vogliono però proteggere le risorse aziendali, tra cui le informazioni proprietarie e riservate. Come è possibile consentire ai dipendenti di accedere alle app cloud, proteggendo al contempo i dati? Questa esercitazione consente di bloccare i download da parte di utenti che hanno accesso ai dati sensibili nelle app cloud aziendali da dispositivi non gestiti o da percorsi di rete esterni all'azienda.

Questa esercitazione illustra come:

• Creare un criterio di download di blocchi per i dispositivi non gestiti
• Convalidare i criteri

La minaccia

Un account manager all'interno dell'organizzazione vuole controllare un elemento in Salesforce da casa durante il fine settimana, dal suo laptop. I dati di Salesforce potrebbero includere informazioni personali o sulle carte di credito dei clienti. Il computer di casa non è gestito. Il computer su cui si scaricano i documenti di Salesforce potrebbe essere attaccato da malware. Se il dispositivo viene smarrito o rubato, potrebbe non essere protetto da password e chiunque abbia accesso alle informazioni riservate.

La soluzione

Proteggere l'organizzazione monitorando e controllando l'uso delle app cloud con qualsiasi soluzione IdP e il controllo app per l'accesso condizionale delle app Defender per il cloud.

Prerequisiti

• Una licenza valida per la licenza P1 di Microsoft Entra ID o la licenza richiesta dalla soluzione provider di identità (IdP)

• Configurare un'app cloud per l'accesso SSO usando uno dei protocolli di autenticazione seguenti:

  Metadati	Protocolli
  Microsoft Entra ID	SAML 2.0 o OpenID Connessione
  Altro	SAML 2.0

• Assicurarsi che l'app sia distribuita in app Defender per il cloud

Creare criteri di blocco del download per i dispositivi non gestiti

Defender per il cloud i criteri di sessione delle app consentono di limitare una sessione in base allo stato del dispositivo. Per controllare una sessione usando il relativo dispositivo come condizione, creare sia criteri di accesso condizionale SIA criteri di sessione.

Per creare i criteri di accesso condizionale, seguire la procedura descritta in Creare un criterio di accesso alle app Defender per il cloud. Questa esercitazione illustra come creare i criteri di sessione.

Passaggio 1: Configurare il provider di identità per l'uso con le app Defender per il cloud

Assicurarsi di aver configurato la soluzione IdP in modo che funzioni con Defender per il cloud Apps, come indicato di seguito:

• Per l'accesso condizionale di Microsoft Entra, vedere Configurare l'integrazione con Microsoft Entra ID
• Per altre soluzioni IdP, vedere Configurare l'integrazione con altre soluzioni IdP

Dopo aver completato questa attività, passare al portale delle app di Defender per il cloud e creare criteri di sessione per monitorare e controllare i download dei file nella sessione.

Passaggio 2: Creare criteri di sessione

1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri e quindi selezionare Gestione dei criteri.

2. Nella pagina Criteri selezionare Crea criterio seguito da Criteri di sessione.

3. Dalla pagina Crea un criterio della sessione assegnare ai criteri un nome e una descrizione. Ad esempio, Block downloads from Salesforce for unmanaged devices (Bloccare i download da Salesforce per dispositivi non gestiti).

4. Assegnare una Gravità del criterio e una Categoria.

5. Per Tipo di controllo sessione selezionare Controlla download file (con ispezione). Questa impostazione consente di monitorare qualsiasi operazione eseguita dagli utenti all'interno di una sessione di Salesforce e di bloccare e proteggere i download in tempo reale.

6. Da Origine attività nella sezione Attività corrispondenti a tutti gli elementi seguenti selezionare i filtri:

   • Tag dispositivo: selezionare Non è uguale. e quindi selezionare Conforme a Intune, Aggiunto a Microsoft Entra ibrido o Certificato client valido. La selezione dipende dal metodo usato dall'organizzazione per identificare i dispositivi gestiti.

   • App: selezionare l'app che si vuole controllare.

   • Utenti: selezionare gli utenti che si vuole monitorare.

7. In alternativa, è possibile bloccare i download da percorsi che non fanno parte della rete aziendale. In Origine attività nella sezione Attività corrispondenti a tutti gli elementi seguenti impostare i filtri seguenti:

   • Indirizzo IP o posizione: è possibile usare uno di questi due parametri per identificare posizioni non aziendali o sconosciute, da cui un utente potrebbe tentare di accedere ai dati sensibili.

   Nota

   Se si vuole bloccare i download SIA da dispositivi non gestiti sia da percorsi non aziendali, è necessario creare due criteri di sessione. Un criterio imposta l'Origine attività usando il percorso. L'altro criterio imposta l'Origine attività sui dispositivi non gestiti.

   • App: selezionare l'app che si vuole controllare.

   • Utenti: selezionare gli utenti che si vuole monitorare.

8. In Origine attività nella sezione File corrispondenti a tutti gli elementi seguenti impostare i filtri seguenti:

   • Etichette di riservatezza: se si usano etichette di riservatezza di Microsoft Purview Information Protection, filtrare i file in base a un'etichetta di riservatezza specifica di Microsoft Purview Information Protection.

   • Selezionare Nome file o Tipo File per applicare restrizioni in base al nome o al tipo di file.

9. Per abilitare la scansione dei file con i criteri DLP interni in modo da individuare contenuti sensibili, abilitare Ispezione del contenuto.

10. In Azioni selezionare Blocca. Personalizzare il messaggio di blocco che visualizzeranno gli utenti che non possono scaricare i file.

11. Impostare gli avvisi che si desidera ricevere quando esiste una corrispondenza con il criterio. È possibile impostare un limite in modo da non ricevere troppi avvisi. Selezionare se ottenere gli avvisi come messaggio di posta elettronica.

12. Seleziona Crea.

Convalidare il criterio

1. Per simulare il download di file bloccato da un dispositivo non gestito o da un percorso di rete non aziendale, accedere all'app e tentare di scaricare un file.

2. Il file deve risultare bloccato e deve essere visualizzato il messaggio impostato in Personalizza messaggio di blocco.

3. Nel portale di Microsoft Defender, in App cloud, passare a Criteri e quindi selezionare Gestione dei criteri. Selezionare quindi il criterio creato per visualizzare il report dei criteri. Dovrebbe essere visualizzata entro breve una corrispondenza per i criteri di sessione.

4. Nel report dei criteri è possibile vedere quali account di accesso sono stati reindirizzati a Microsoft Defender per il cloud App per il controllo sessione e quali file sono stati scaricati o bloccati dalle sessioni monitorate.

Passaggi successivi

Come creare criteri di accesso

Come creare criteri di sessione

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.