Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Blokowanie pobierania informacji poufnych, za pomocą programu Microsoft Cloud App Security kontroli dostępu warunkowego aplikacjiBlocking downloads of sensitive information using Microsoft Cloud App Security Conditional Access App Control

«POPRZEDNICH: Jak utworzyć zasady dostępu« PREVIOUS: How to create an access policy

Obecnie administrator IT utkwiła między rock i twardych miejsce: Aby umożliwić pracownikom utrzymanie produktywności.Today's IT admin is stuck between a rock and hard place: You want to enable your employees to be productive. Oznacza to, umożliwiając pracownikom dostęp do aplikacji, dzięki czemu mogą pracować w dowolnym momencie i z dowolnego urządzenia.That means allowing employees to access apps so they can work at any time, from any device. Z drugiej strony który chcesz chronić zasoby firmy, a zawierającej informacje o własności i uprzywilejowanych.On the other hand, you want to protect the company's assets, and that includes proprietary and privileged information. Jak można włączyć pracownikom dostępu do Twoich aplikacji w chmurze przy jednoczesnej ochronie danych?How can you enable your employees to access your cloud apps, while protecting your data? Ten przypadek użycia służy do plików do pobrania bloku użytkownicy, którzy mają dostęp do poufnych danych przedsiębiorstwa w aplikacjach w chmurze z urządzeń niezarządzanych lub lokalizacje sieciowe poza firmową.This use case allows you to block downloads by users who have access to your sensitive data in enterprise cloud apps from either unmanaged devices or off-corporate network locations.

ZagrożeniaThe threat

Do Menedżera konta w organizacji chce, aby sprawdzić coś w usłudze Salesforce w domu weekendu na ich osobistych komputera przenośnego.An account manager in your organization wants to check something in Salesforce from home over the weekend, on their personal laptop. Dane usługi Salesforce mogą obejmować informacje o karcie kredytowej klienta ani informacji osobistych.The Salesforce data may include client credit card information or personal information. Miejsce, w którym komputer jest niezarządzany, co oznacza, że jeśli dokumenty będą oni mogli pobrać z usługi Salesforce na niego, mogą być zainfekowane złośliwym oprogramowaniem lub w przypadku jego utraty lub kradzieży, może nie być chroniony hasłem, a każda osoba, która je znajdzie ma dostęp do poufnych informacji.The home PC is unmanaged, meaning that if they download documents from Salesforce onto it, it may be infected with malware or if it is lost or stolen, it may not be password protected and anyone who finds it has access to sensitive information.

RozwiązanieThe solution

Ochrona organizacji, monitorowanie i kontrolowanie użycia aplikacji w chmurze przy użyciu dostępu warunkowego usługi Azure AD i Microsoft Cloud App Security kontroli dostępu warunkowego aplikacji.Protect your organization by monitoring and controlling cloud app use using Azure AD conditional access and Microsoft Cloud App Security Conditional Access App Control.

Wymagania wstępnePrerequisites

Tworzenie bloku pobierania zasad dla urządzeń niezarządzanychCreate a block download policy for unmanaged devices

Zasady sesji usługi cloud App Security umożliwiają bardziej ograniczyć sesji bazujące na stanie urządzenia.Cloud App Security session policies allow you to further restrict a session based on device state. Gdy użytkownik chce kontrolować sesję przy użyciu urządzeń jako warunek, należy utworzyć zasady dostępu warunkowego oraz zasady sesji, w tym celu.When you want to control a session using its device as a condition, you must create both a conditional access policy AND as session policy to accomplish this.

Krok 1: Tworzenie zasad dostępu warunkowego usługi Azure ADStep 1: Create an Azure AD conditional access policy

  1. Tworzenie zasad dostępu warunkowego usługi Azure AD przy użyciu przypisanych użytkowników i aplikacji.Create an Azure AD conditional access policy with assigned users and app.
  2. Wybierz Użyj kontroli dostępu warunkowego w aplikacji wymuszonych ograniczeń w ramach sesji kontrolki w ramach zasad dostępu warunkowego.Select Use Conditional Access App Control enforced restrictions under session controls within the conditional access policy.

Po zakończeniu tego zadania, należy przejść do portalu Cloud App Security i Utwórz zasady sesji, aby monitorowanie i kontrolowanie pobierania plików w sesji.After completing this task, proceed to the Cloud App Security portal and create a session policy to monitor and control file downloads in the session.

Krok 2: Utwórz zasady sesjiStep 2: Create a session policy

  1. W portalu usługi Cloud App Security wybierz kontroli następuje zasady.In the Cloud App Security portal, select Control followed by Policies.

  2. W zasady kliknij Tworzenie zasad następuje zasady sesji.In the Policies page, click Create policy followed by Session policy.

  3. W Utwórz zasady sesji strony, określ nazwę i opis dla zasad.In the Create session policy page, give your policy a name and description. Na przykład blokowanie pobierania z usługi Salesforce dla urządzeń niezarządzanych.For example, Block downloads from Salesforce for unmanaged devices.

  4. Przypisz ważność zasad i kategorii.Assign a Policy severity and Category.

  5. W obszarze typ kontroli sesji, wybierz opcję pobieranie pliku sterowania (z DLP).Under Session control type, select Control file download (with DLP). Zapewnia możliwość monitorowania wszystko, czego korzystają użytkownicy w ramach sesji usługi Salesforce i udostępnia do bloku kontrolować i chronić pliki do pobrania w czasie rzeczywistym.This gives you the ability to monitor everything your users do within a Salesforce session, and gives you control to block and protect downloads in real time.

  6. w obszarze źródło działania w działania dopasowane do wszystkich następujących wybierz filtry:under Activity source in the Activities matching all of the following section, select the filters:

    • Tag urządzenia: Wybierz nie jest równa , a następnie wybierz zgodne, przyłączonych do domeny, lub prawidłowy certyfikat klienta, w zależności od metody w celu zidentyfikowania urządzeń zarządzanych używany w Twojej organizacji.Device tag: Select Does not equal and then select Compliant, Domain joined, or Valid client certificate, depending on the method used in your organization for identifying managed devices.

    • Aplikacja: Wybierz aplikację, użytkownik chce kontrolować.App: Select the app you want to control.

    • Użytkownicy: Wybierz użytkowników, którą chcesz monitorować.Users: Select the users you want to monitor.

  7. Alternatywnie Jeśli chcesz zablokować pliki do pobrania dla lokalizacji, które nie są częścią sieci firmowej, w obszarze źródło działania w działania dopasowane do wszystkich następujących sekcji, ustaw następujące filtry:Alternatively, if you want to block the downloads for locations that are not part of your corporate network, under Activity source in the Activities matching all of the following section, set the following filters:

    • Adres IP lub lokalizacji: używasz jednej z tych parametrów do identyfikowania lokalizacji innych niż firmowe lub nieznany, z których użytkownik może próbować uzyskać dostęp do poufnych danych.IP address or Location: You can use either of these two parameters to identify non-corporate, or unknown locations, from which a user might be trying to access sensitive data.

      Uwaga

      Jeśli chcesz zablokować pliki do pobrania z obu niezarządzanych, urządzeń i lokalizacji innych niż firmowe, należy utworzyć dwie zasady sesji, który ustawia źródło działania przy użyciu lokalizacji i jedną, która ustawia działania źródło na niezarządzanych urządzeniach.If you want to block downloads from BOTH unmanaged devices and non-corporate locations, you have to create two session policies, one that sets the Activity source using the location and one that sets the Activity source to unmanaged devices.

    • Aplikacja: Wybierz aplikację, użytkownik chce kontrolować.App: Select the app you want to control.

    • Użytkownicy: Wybierz użytkowników, którą chcesz monitorować.Users: Select the users you want to monitor.

  8. W obszarze źródło działania w pliki dopasowane do wszystkich następujących sekcji, ustaw następujące filtry:Under Activity source in the Files matching all of the following section, set the following filters:

    • Etykiety klasyfikacji: Jeśli używasz etykiet klasyfikacji usługi Azure Information Protection i chcesz filtrować pliki na podstawie określonej etykiety klasyfikacji ochrony informacji Azure.Classification labels: If you use Azure Information Protection classification labels and want to filter the files based on a specific Azure Information Protection Classification label.

    • Wybierz nazwy pliku lub typu pliku zastosować ograniczenia oparte na ten temat.Select File name or File type to apply restrictions based on these.

  9. Włącz inspekcja zawartości umożliwiające wewnętrznego DLP w celu skanowania plików pod kątem poufnej zawartości.Enable Content inspection to enable the internal DLP to scan your files for sensitive content.

  10. W obszarze akcje, wybierz opcję bloku.Under Actions, select block. Dostosuj komunikat o blokadzie, które użytkownicy pobierają, gdy nie można pobrać plików.Customize the blocking message that your users get when they are unable to download files.

  11. Ustawianie alertów, które chcesz otrzymywać po dopasowaniu zasad.Set the alerts you want to receive when the policy is matched. Można ustawić limit, tak aby nie wystąpi zbyt wiele alertów, a następnie można wybrać, czy można pobrać alertów jako wiadomości e-mail i/lub wiadomości SMS.You can set a limit so that you don't receive too many alerts, and you can select whether to get the alerts as an email message, text message, or both.

  12. Kliknij przycisk Utwórz.Click Create

Sprawdzanie poprawności zasadValidate your policy

  1. Symulowanie pobraniem blokowane z niezarządzanego urządzenia lub lokalizacji sieciowej innych niż firmowe Zaloguj się do aplikacji i próbuje pobrać plik.To simulate the blocked file download, from an unmanaged device or a non-corporate network location, log in to the app and attempt to download a file.

  2. Plik powinien zostać zablokowany, i powinien zostać wyświetlony komunikat ustawionych w obszarze Dostosuj Blokuj komunikaty.The file should be blocked and you should receive the message you set under Customize block messages.

  3. W portalu Cloud App Security kliknij kontroli następuje zasady, a następnie kliknij polecenie zostały utworzone zasady są do wyświetlenia raportu zasad.In the Cloud App Security portal, click on Control followed by Policies, and then click on the policy you’ve created to view the policy report. Sesja powinny zostać wyświetlone dopasowanie zasad wkrótce.A session policy match should appear shortly.

  4. W raporcie zasad można zobaczyć które z nich w przypadku, gdy przekierowanie do Microsoft Cloud App Security dla sesji kontroli i pliki, które zostały pobrane lub zablokowany monitorowanych sesji.In the policy report, you can see which logins where redirected to Microsoft Cloud App Security for session control, and which files were downloaded or blocked from the monitored sessions.

«POPRZEDNICH: Jak utworzyć zasady dostępu« PREVIOUS: How to create an access policy

Zobacz teżSee Also

Utwórz zasady sesjiCreate a session policy

Klienci wersji Premium mogą również wybrać usługę Cloud App Security bezpośrednio z Portalu Premium.Premier customers can also choose Cloud App Security directly from the Premier Portal.