Samouczek: Blokuj pobieranie informacji poufnychTutorial: Block download of sensitive information

Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

«POPRZEDNIEJ: Jak utworzyć zasady dostępu« PREVIOUS: How to create an access policy

Obecnie administrator IT utkwiła między rock i twardych miejsce.Today's IT admin is stuck between a rock and hard place. Chcesz pracownikom wydajną pracę.You want to enable your employees to be productive. Oznacza to, umożliwiając pracownikom dostęp do aplikacji, dzięki czemu mogą pracować w dowolnym momencie i z dowolnego urządzenia.That means allowing employees to access apps so they can work at any time, from any device. Jednak należy chronić zasoby firmy, w tym informacje o własności i uprzywilejowanych.However, you want to protect the company's assets including proprietary and privileged information. Jak można włączyć pracownikom dostępu do aplikacji w chmurze przy jednoczesnej ochronie danych?How can you enable employees to access your cloud apps while protecting your data? Ten samouczek umożliwia do plików do pobrania bloku użytkownicy, którzy mają dostęp do poufnych danych przedsiębiorstwa w aplikacjach w chmurze z urządzeń niezarządzanych lub lokalizacje sieciowe poza firmową.This tutorial allows you to block downloads by users who have access to your sensitive data in enterprise cloud apps from either unmanaged devices or off-corporate network locations.

  • Tworzenie bloku pobierania zasad dla urządzeń niezarządzanychCreate a block download policy for unmanaged devices
  • Sprawdzanie poprawności zasadValidate your policy

ZagrożeniaThe threat

Do Menedżera konta w organizacji chce, aby sprawdzić coś w usłudze Salesforce w domu weekendu na ich osobistych komputera przenośnego.An account manager in your organization wants to check something in Salesforce from home over the weekend, on their personal laptop. Informacje o karcie kredytowej klienta ani informacji osobistych, może zawierać danych usługi Salesforce.The Salesforce data might include client credit card information or personal information. Główny komputer został niezarządzany.The home PC is unmanaged. Jeśli dokumenty będą oni mogli pobrać z usługi Salesforce na komputerze, mogą być zainfekowane złośliwym oprogramowaniem.If they download documents from Salesforce onto the PC, it might be infected with malware. Należy maszyny są zapominane lub wykradane, nie może być chroniony hasłem, a każdy, kto stwierdza, że ma dostęp do poufnych informacji.Should the machine be lost or stolen, it may not be password protected and anyone who finds it has access to sensitive information.

RozwiązanieThe solution

Ochrona organizacji, monitorowanie i kontrolowanie użycia aplikacji w chmurze przy użyciu dostępu warunkowego usługi Azure AD i Microsoft Cloud App Security kontroli dostępu warunkowego aplikacji.Protect your organization by monitoring and controlling cloud app use using Azure AD conditional access and Microsoft Cloud App Security Conditional Access App Control.

Wymagania wstępnePrerequisites

Tworzenie bloku pobierania zasad dla urządzeń niezarządzanychCreate a block download policy for unmanaged devices

Zasady sesji usługi cloud App Security pozwalają ograniczyć sesji bazujące na stanie urządzenia.Cloud App Security session policies allow you to restrict a session based on device state. Do wykonywania kontroli nad sesją przy użyciu urządzeń jako warunek, należy utworzyć zasady dostępu warunkowego i zasad sesji.To accomplish control of a session using its device as a condition, create both a conditional access policy AND a session policy.

Krok 1: Tworzenie zasad dostępu warunkowego usługi Azure ADStep 1: Create an Azure AD conditional access policy

  1. Tworzenie zasad dostępu warunkowego usługi Azure AD przy użyciu przypisanych użytkowników i aplikacji.Create an Azure AD conditional access policy with assigned users and app.
  2. Wybierz Użyj kontroli dostępu warunkowego w aplikacji wymuszonych ograniczeń w ramach sesji kontrolki w ramach zasad dostępu warunkowego.Select Use Conditional Access App Control enforced restrictions under session controls within the conditional access policy.

Po zakończeniu tego zadania, przejdź do portalu Cloud App Security i Utwórz zasady sesji, aby monitorowanie i kontrolowanie pobierania plików w sesji.After completing this task, go to the Cloud App Security portal and create a session policy to monitor and control file downloads in the session.

Krok 2: Utwórz zasady sesjiStep 2: Create a session policy

  1. W portalu usługi Cloud App Security wybierz kontroli następuje zasady.In the Cloud App Security portal, select Control followed by Policies.

  2. W zasady kliknij Tworzenie zasad następuje zasady sesji.In the Policies page, click Create policy followed by Session policy.

  3. W Utwórz zasady sesji strony, określ nazwę i opis dla zasad.In the Create session policy page, give your policy a name and description. Na przykład blokowanie pobierania z usługi Salesforce dla urządzeń niezarządzanych.For example, Block downloads from Salesforce for unmanaged devices.

  4. Przypisz ważność zasad i kategorii.Assign a Policy severity and Category.

  5. Aby uzyskać typ kontroli sesji, wybierz opcję pobieranie pliku sterowania (z DLP).For the Session control type, select Control file download (with DLP). To ustawienie zapewnia możliwość monitorowania wszystko, czego korzystają użytkownicy w ramach sesji usługi Salesforce i udostępnia do bloku kontrolować i chronić pliki do pobrania w czasie rzeczywistym.This setting gives you the ability to monitor everything your users do within a Salesforce session and gives you control to block and protect downloads in real time.

  6. w obszarze źródło działania w działania dopasowane do wszystkich następujących wybierz filtry:Under Activity source in the Activities matching all of the following section, select the filters:

    • Tag urządzenia: Wybierz nie jest równa.Device tag: Select Does not equal. a następnie wybierz zgodne, przyłączonych do domeny, lub prawidłowy certyfikat klienta.and then select Compliant, Domain joined, or Valid client certificate. Wybór zależy od metody w celu zidentyfikowania urządzeń zarządzanych używany w Twojej organizacji.Your selection depends on the method used in your organization for identifying managed devices.

    • Aplikacja: Wybierz aplikację, którą użytkownik chce kontrolować.App: Select the app you want to control.

    • Użytkownicy: Wybierz użytkowników, dla których chcesz monitorować.Users: Select the users you want to monitor.

  7. Alternatywnie można zablokować pliki do pobrania dla lokalizacji, które nie należą do sieci firmowej.Alternatively, you can block the downloads for locations that aren't part of your corporate network. W obszarze źródło działania w działania dopasowane do wszystkich następujących sekcji, ustaw następujące filtry:Under Activity source in the Activities matching all of the following section, set the following filters:

    • Adres IP lub lokalizacji: Do identyfikowania lokalizacji innych niż firmowe lub nieznany, z których użytkownik może próbować uzyskać dostęp do poufnych danych, można użyć jednej z tych parametrów.IP address or Location: You can use either of these two parameters to identify non-corporate or unknown locations, from which a user might be trying to access sensitive data.

      Uwaga

      Jeśli chcesz zablokować pliki do pobrania z obu niezarządzanych, urządzeń i lokalizacji innych niż firmowe, należy utworzyć dwie zasady sesji.If you want to block downloads from BOTH unmanaged devices and non-corporate locations, you have to create two session policies. Ustawia zasady źródło działania przy użyciu lokalizacji.One policy sets the Activity source using the location. Inne zestawy zasad źródło działania na niezarządzanych urządzeniach.The other policy sets the Activity source to unmanaged devices.

    • Aplikacja: Wybierz aplikację, którą użytkownik chce kontrolować.App: Select the app you want to control.

    • Użytkownicy: Wybierz użytkowników, dla których chcesz monitorować.Users: Select the users you want to monitor.

  8. W obszarze źródło działania w pliki dopasowane do wszystkich następujących sekcji, ustaw następujące filtry:Under Activity source in the Files matching all of the following section, set the following filters:

    • Etykiety klasyfikacji: Jeśli używasz etykiet klasyfikacji usługi Azure Information Protection, filtrować pliki na podstawie określonej etykiety klasyfikacji ochrony informacji Azure.Classification labels: If you use Azure Information Protection classification labels, filter the files based on a specific Azure Information Protection Classification label.

    • Wybierz nazwy pliku lub typu pliku zastosować ograniczenia na podstawie nazwy pliku lub typu.Select File name or File type to apply restrictions based on file name or type.

  9. Włącz inspekcja zawartości umożliwiające wewnętrznego DLP w celu skanowania plików pod kątem poufnej zawartości.Enable Content inspection to enable the internal DLP to scan your files for sensitive content.

  10. W obszarze akcje, wybierz opcję bloku.Under Actions, select block. Dostosuj komunikat o blokadzie, które użytkownicy pobierają, gdy są one nie można pobrać plików.Customize the blocking message that your users get when they're unable to download files.

  11. Ustawianie alertów, które chcesz otrzymywać po dopasowaniu zasad.Set the alerts you want to receive when the policy is matched. Możesz ustawić limit, aby nie otrzymywać zbyt wiele alertów.You can set a limit so that you don't receive too many alerts. Wybierz, czy chcesz otrzymywać alerty jako wiadomości e-mail i/lub wiadomości SMS.Select whether to get the alerts as an email message, text message, or both.

  12. Kliknij przycisk Utwórz.Click Create

Sprawdzanie poprawności zasadValidate your policy

  1. Symulowanie pobraniem blokowane z niezarządzanego urządzenia lub lokalizacji sieciowej innych niż firmowe Zaloguj się do aplikacji.To simulate the blocked file download, from an unmanaged device or a non-corporate network location, sign in to the app. Następnie spróbuj pobrać plik.Then, try to download a file.

  2. Plik powinien zostać zablokowany, i powinien zostać wyświetlony komunikat ustawionych w obszarze Dostosuj Blokuj komunikaty.The file should be blocked and you should receive the message you set under Customize block messages.

  3. W portalu Cloud App Security kliknij kontroli następuje zasady, a następnie kliknij polecenie zostały utworzone zasady są do wyświetlenia raportu zasad.In the Cloud App Security portal, click on Control followed by Policies, and then click on the policy you’ve created to view the policy report. Sesja powinny zostać wyświetlone dopasowanie zasad wkrótce.A session policy match should appear shortly.

  4. W raporcie zasad można zobaczyć które z nich w przypadku, gdy przekierowanie do Microsoft Cloud App Security dla sesji kontroli i pliki, które zostały pobrane lub zablokowany monitorowanych sesji.In the policy report, you can see which logins where redirected to Microsoft Cloud App Security for session control, and which files were downloaded or blocked from the monitored sessions.

«POPRZEDNIEJ: Jak utworzyć zasady dostępu« PREVIOUS: How to create an access policy

Następne krokiNext steps

Utwórz zasady sesjiCreate a session policy

Klienci wersji Premium mogą również utworzyć nowe żądanie pomocy technicznej bezpośrednio w portalu Premium.Premier customers can also create a new support request directly in the Premier Portal.