Blokuje pliki do pobrania informacji poufnych przy użyciu serwera proxy Microsoft Cloud App SecurityBlocking downloads of sensitive information using the Microsoft Cloud App Security proxy

Obecnie administrator IT zablokował jest między skale i twardych miejsce: Aby umożliwić pracownikom produktywności.Today's IT admin is stuck between a rock and hard place: You want to enable your employees to be productive. Oznacza to, dzięki czemu pracownicy mają dostęp do aplikacji, więc mogą one działać w dowolnym momencie z każdego urządzenia.That means allowing employees to access apps so they can work at any time, from any device. Z drugiej strony chcesz chronić zasoby firmowe, które zawiera informacje zastrzeżone i uprzywilejowane.On the other hand, you want to protect the company's assets, and that includes proprietary and privileged information. Jak można włączyć pracownikom dostęp do aplikacji w chmurze, podczas ochrony danych?How can you enable your employees to access your cloud apps, while protecting your data? Ten przypadek użycia służy do pobrania bloku przez użytkowników, którzy mają dostęp do poufnych danych w aplikacji w chmurze enterprise z niezarządzanych urządzeń lub lokalizacji poza firmową siecią.This use case allows you to block downloads by users who have access to your sensitive data in enterprise cloud apps from either unmanaged devices or off-corporate network locations.

To zagrożenieThe threat

Menedżerem w organizacji chce Sprawdź coś w usłudze Salesforce z domu na ich osobistych przenośnym weekendu.An account manager in your organization wants to check something in Salesforce from home over the weekend, on their personal laptop. Dane usług Salesforce mogą obejmować informacje o karcie kredytowej klienta lub informacji osobistych.The Salesforce data may include client credit card information or personal information. Komputer został niezarządzane, co oznacza, że jeśli dokumenty będą oni mogli pobrać z witryny Salesforce na niego, może być zainfekowany złośliwym oprogramowaniem lub jeśli jego zgubienia lub kradzieży, nie może być chroniony hasłem, a każdy, kto uzna rodzimego ma dostęp do poufnych informacji.The home PC is unmanaged, meaning that if they download documents from Salesforce onto it, it may be infected with malware or if it is lost or stolen, it may not be password protected and anyone who finds it has access to sensitive information.

RozwiązaniaThe solution

Chronić swoją organizację, monitorowania i sterowania użyciem aplikacji w chmurze przy użyciu dostępu warunkowego dla usługi Azure AD i proxy Cloud App Security.Protect your organization by monitoring and controlling cloud app use using Azure AD conditional access and the Cloud App Security proxy.

Wymagania wstępnePrerequisites

Utwórz zasady pobierania bloku, w przypadku niezarządzanych urządzeńCreate a block download policy for unmanaged devices

Cloud App Security sesji zasady umożliwiają bardziej ograniczyć sesji, w oparciu o stan urządzenia.Cloud App Security session policies allow you to further restrict a session based on device state. Jeśli chcesz kontrolować sesję przy użyciu urządzenia jako warunek, należy utworzyć zasady dostępu warunkowego i jako zasady sesji, w tym celu.When you want to control a session using its device as a condition, you must create both a conditional access policy AND as session policy to accomplish this.

Krok 1: Tworzenie zasad dostępu warunkowego usługi Azure ADStep 1: Create an Azure AD conditional access policy

  1. Tworzenie zasad dostępu warunkowego usługi Azure AD przy użyciu przypisanych użytkowników i aplikacji.Create an Azure AD conditional access policy with assigned users and app.
  2. Wybierz Użyj serwera proxy, wymuszane ograniczeń w obszarze Formanty sesji w ramach zasad dostępu warunkowego.Select Use proxy enforced restrictions under session controls within the conditional access policy.

    Dostęp warunkowy usługi Azure AD

Po zakończeniu tego zadania, przejdź do portalu Cloud App Security i utworzyć zasady sesji monitorowania i kontroli pobierania plików w sesji.After completing this task, proceed to the Cloud App Security portal and create a session policy to monitor and control file downloads in the session.

Krok 2: Tworzenie zasad sesjiStep 2: Create a session policy

  1. W portalu Cloud App Security wybierz kontroli następuje zasad.In the Cloud App Security portal, select Control followed by Policies.

  2. W zasady kliknij przycisk Tworzenie zasad następuje zasady sesji.In the Policies page, click Create policy followed by Session policy.

    Tworzenie zasad sesji

  3. W Utwórz zasady sesji strony, nadaj zgodnie z zasadami, nazwę i opis.In the Create session policy page, give your policy a name and description. Na przykład bloku pliki do pobrania z witryny Salesforce w przypadku niezarządzanych urządzeń.For example, Block downloads from Salesforce for unmanaged devices.

  4. Przypisz ważności zasady i kategorii.Assign a Policy severity and Category.

    Zasady nowej sesji

  5. W obszarze — typ formantu sesji, wybierz pozycję wszystkich działań monitorowania i kontroli pobierania pliku.Under Session control type, select Monitor all activities and control file download. Zapewnia możliwość monitorowania wszystkich użytkowników, czy w ramach sesji usługi Salesforce i zapewnia kontroli do bloku i chronić pliki do pobrania w czasie rzeczywistym.This gives you the ability to monitor everything your users do within a Salesforce session, and gives you control to block and protect downloads in real time.

    zasady sesji — typ formantu

  6. w obszarze źródło działania w działania dopasowane do wszystkich następujących wybierz filtry:under Activity source in the Activities matching all of the following section, select the filters:

    • Tag urządzenia: Wybierz nie jest równa , a następnie wybierz zgodnych, przyłączony do domeny, lub prawidłowy certyfikat klienta, w zależności od metody w celu zidentyfikowania zarządzanych urządzeń używany w organizacji.Device tag: Select Does not equal and then select Compliant, Domain joined, or Valid client certificate, depending on the method used in your organization for identifying managed devices.

    • Aplikacja: Wybierz aplikację, aby formant.App: Select the app you want to control.

    • Użytkownicy: Wybierz użytkowników, który chcesz monitorować.Users: Select the users you want to monitor.

  7. Alternatywnie Jeśli chcesz zablokować pliki do pobrania dla lokalizacji, które nie są częścią sieci firmowej, w obszarze źródło działania w działania dopasowane do wszystkich następujących sekcji, ustaw następujące filtry:Alternatively, if you want to block the downloads for locations that are not part of your corporate network, under Activity source in the Activities matching all of the following section, set the following filters:

    • Adres IP lub lokalizacji: można użyć jednej z tych parametrów do identyfikowania firmę lub nieznany lokalizacji, z których użytkownik próbuje uzyskać dostęp do poufnych danych.IP address or Location: You can use either of these two parameters to identify non-corporate, or unknown locations, from which a user might be trying to access sensitive data.

      Uwaga

      Jeśli chcesz zablokować pliki do pobrania z obu niezarządzanych urządzeń i lokalizacji nie należy do firmy, należy utworzyć dwie zasady sesji, który ustawia źródło działania przy użyciu lokalizacji i jednego ustawia działania źródło na urządzeniach niezarządzanych.If you want to block downloads from BOTH unmanaged devices and non-corporate locations, you have to create two session policies, one that sets the Activity source using the location and one that sets the Activity source to unmanaged devices.

    • Aplikacja: Wybierz aplikację, aby formant.App: Select the app you want to control.

    • Użytkownicy: Wybierz użytkowników, który chcesz monitorować.Users: Select the users you want to monitor.

  8. W obszarze źródło działania w spełniającego wszystkie następujące pliki sekcji, ustaw następujące filtry:Under Activity source in the Files matching all of the following section, set the following filters:

    • Etykiety klasyfikacji: Jeśli używasz usługi Azure Information Protection etykiet klasyfikacji i chcesz filtrować pliki na podstawie określonej etykiety klasyfikacji ochrony informacji Azure.Classification labels: If you use Azure Information Protection classification labels and want to filter the files based on a specific Azure Information Protection Classification label.

    • Wybierz nazwę pliku lub typu pliku Aby zastosować ograniczenia w oparciu o te.Select File name or File type to apply restrictions based on these.

      filtry plików zasad sesji

  9. Włącz inspekcja zawartości umożliwiające wewnętrzny DLP skanowania plików dla poufnej zawartości.Enable Content inspection to enable the internal DLP to scan your files for sensitive content.

    inspekcja zawartości zasad sesji

  10. W obszarze akcje, wybierz pozycję bloku.Under Actions, select block. Dostosowanie komunikatu dotyczącego blokujące, które użytkownicy pobierają, jeśli nie mogą pobrać pliki.Customize the blocking message that your users get when they are unable to download files.

    Akcje zasady sesji

  11. Ustawianie alertów, które chcesz otrzymywać po dopasowaniu zasad.Set the alerts you want to receive when the policy is matched. Można ustawić limit tak, aby nie otrzymywać zbyt wiele alertów, a można wybrać, czy można pobrać alertów jako wiadomości e-mail i wiadomości SMS.You can set a limit so that you don't receive too many alerts, and you can select whether to get the alerts as an email message, text message, or both.

    alerty zasad sesji

  12. Kliknij przycisk Utwórz.Click Create

Sprawdź poprawność zasadValidate your policy

  1. Symulowanie pobieranie pliku zablokowanych, z niezarządzanego urządzenia lub lokalizacji sieciowej nie należy do firmy, zaloguj się do aplikacji i próba pobrania pliku.To simulate the blocked file download, from an unmanaged device or a non-corporate network location, log in to the app and attempt to download a file.

  2. Plik powinien zostać zablokowany i powinien zostać wyświetlony komunikat, ustaw w obszarze Dostosowywanie bloku komunikatów.The file should be blocked and you should receive the message you set under Customize block messages.

    Blok pobierania wiadomości

  3. W portalu Cloud App Security kliknij kontroli następuje zasady, a następnie kliknij polecenie zasad po utworzeniu Aby wyświetlić raport z zasad.In the Cloud App Security portal, click on Control followed by Policies, and then click on the policy you’ve created to view the policy report. Dopasowanie zasad sesji powinien pojawić się wkrótce.A session policy match should appear shortly.

    Raport zasad sesji

  4. W raporcie zasad widać logowania, które w przypadku, gdy przekierowanie do serwera proxy dla sesji kontroli i pliki, które zostały pobrane lub zablokowane z monitorowanych sesji.In the policy report, you can see which logins where redirected to the proxy for session control, and which files were downloaded or blocked from the monitored sessions.

Zobacz teżSee Also

Tworzenie zasad sesjiCreate a session policy

Klienci wersji Premium mogą również wybrać usługę Cloud App Security bezpośrednio z Portalu Premium.Premier customers can also choose Cloud App Security directly from the Premier Portal.