Samouczek: blokowanie pobierania poufnych informacji za pomocą kontroli dostępu warunkowego aplikacji

Dzisiejszy administrator IT utknął między skałą a twardym miejscem. Chcesz umożliwić pracownikom wydajną pracę. Oznacza to umożliwienie pracownikom dostępu do aplikacji, aby mogli pracować w dowolnym momencie z dowolnego urządzenia. Chcesz jednak chronić aktywa firmy, w tym informacje zastrzeżone i uprzywilejowane. Jak umożliwić pracownikom dostęp do aplikacji w chmurze przy jednoczesnym ochronie danych? Ten samouczek umożliwia blokowanie pobierania przez użytkowników, którzy mają dostęp do poufnych danych w aplikacjach w chmurze przedsiębiorstwa z niezarządzanych urządzeń lub poza firmowych lokalizacji sieciowych.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Tworzenie zasad pobierania bloku dla urządzeń niezarządzanych
• Weryfikowanie zasad

Zagrożenie

Menedżer kont w twojej organizacji chce sprawdzić coś w salesforce z domu w weekend, na swoim osobistym laptopie. Dane usługi Salesforce mogą obejmować informacje o karcie kredytowej klienta lub dane osobowe. Komputer domowy jest niezarządzany. Jeśli pobierają dokumenty z usługi Salesforce na komputer, może to być zainfekowane złośliwym oprogramowaniem. Jeśli urządzenie zostanie utracone lub skradzione, może nie być chronione hasłem i każdy, kto znajdzie go, ma dostęp do poufnych informacji.

Rozwiązanie

Chroń organizację, monitorując i kontrolując użycie aplikacji w chmurze przy użyciu dowolnego rozwiązania dostawcy tożsamości i kontroli dostępu warunkowego aplikacji Defender dla Chmury Apps.

Wymagania wstępne

• Ważna licencja na licencję microsoft Entra ID P1 lub licencję wymaganą przez dostawcę tożsamości (IdP)

• Skonfiguruj aplikację w chmurze na potrzeby logowania jednokrotnego przy użyciu jednego z następujących protokołów uwierzytelniania:

  Dostawca tożsamości	Protokoły
  Microsoft Entra ID	Połączenie SAML 2.0 lub OpenID
  Inne	SAML 2.0

• Upewnij się, że aplikacja została wdrożona w usłudze Defender dla Chmury Apps

Tworzenie zasad pobierania bloku dla urządzeń niezarządzanych

Defender dla Chmury Zasady sesji aplikacji umożliwiają ograniczenie sesji na podstawie stanu urządzenia. Aby kontrolować sesję przy użyciu urządzenia jako warunku, utwórz zarówno zasady dostępu warunkowego, jak i zasady sesji.

Aby utworzyć zasady dostępu warunkowego, wykonaj kroki opisane w temacie Tworzenie zasad dostępu Defender dla Chmury Apps. W tym samouczku wyjaśniono, jak utworzyć zasady sesji.

Krok 1. Konfigurowanie dostawcy tożsamości do pracy z aplikacjami Defender dla Chmury

Upewnij się, że skonfigurowano rozwiązanie dostawcy tożsamości do pracy z aplikacjami Defender dla Chmury w następujący sposób:

• Aby uzyskać dostęp warunkowy firmy Microsoft Entra, zobacz Konfigurowanie integracji z identyfikatorem Entra firmy Microsoft
• Aby uzyskać informacje o innych rozwiązaniach dostawcy tożsamości, zobacz Konfigurowanie integracji z innymi rozwiązaniami dostawcy tożsamości

Po wykonaniu tego zadania przejdź do portalu Defender dla Chmury Apps i utwórz zasady sesji, aby monitorować i kontrolować pobieranie plików w sesji.

Krok 2. Tworzenie zasad sesji

1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady, a następnie wybierz pozycję Zarządzanie zasadami.

2. Na stronie Zasady wybierz pozycję Utwórz zasady, a następnie pozycję Zasady sesji.

3. Na stronie Tworzenie zasad sesji nadaj zasadom nazwę i opis zasad. Na przykład blokuj pobieranie z usługi Salesforce dla urządzeń niezarządzanych.

4. Przypisz ważność zasad i kategorię.

5. W obszarze Typ kontrolki Sesja wybierz pozycję Kontrola pobierania pliku (z inspekcją).. To ustawienie umożliwia monitorowanie wszystkich czynności, które użytkownicy wykonują w ramach sesji usługi Salesforce, i zapewnia kontrolę nad blokowaniem i ochroną pobierania w czasie rzeczywistym.

6. W obszarze Źródło działania w sekcji Działania zgodne ze wszystkimi poniższymi sekcjami wybierz filtry:

   • Tag urządzenia: wybierz pozycję Nie równa się. a następnie wybierz pozycję Zgodne z usługą Intune, dołączone hybrydowe połączenie firmy Microsoft lub Prawidłowy certyfikat klienta. Wybór zależy od metody używanej w organizacji do identyfikowania urządzeń zarządzanych.

   • Aplikacja: wybierz aplikację, którą chcesz kontrolować.

   • Użytkownicy: wybierz użytkowników, których chcesz monitorować.

7. Alternatywnie możesz zablokować pobieranie dla lokalizacji, które nie są częścią sieci firmowej. W obszarze Źródło działania w sekcji Działania zgodne ze wszystkimi poniższymi sekcjami ustaw następujące filtry:

   • Adres IP lub lokalizacja: możesz użyć jednego z tych dwóch parametrów, aby zidentyfikować lokalizacje inne niż firmowe lub nieznane, z których użytkownik może próbować uzyskać dostęp do poufnych danych.

   Uwaga

   Jeśli chcesz zablokować pobieranie z urządzeń niezarządzanych i lokalizacji innych niż firmowe, musisz utworzyć dwie zasady sesji. Jedna zasada ustawia źródło działania przy użyciu lokalizacji. Inne zasady ustawia źródło działania na urządzenia niezarządzane.

   • Aplikacja: wybierz aplikację, którą chcesz kontrolować.

   • Użytkownicy: wybierz użytkowników, których chcesz monitorować.

8. W obszarze Źródło działania w sekcji Pliki pasujące do wszystkich poniższych sekcji ustaw następujące filtry:

   • Etykiety poufności: jeśli używasz etykiet poufności z usługi Microsoft Purview Information Protection, przefiltruj pliki na podstawie określonej etykiety poufności usługi Microsoft Purview Information Protection.

   • Wybierz pozycję Nazwa pliku lub Typ pliku, aby zastosować ograniczenia na podstawie nazwy pliku lub typu.

9. Włącz inspekcję zawartości, aby umożliwić wewnętrznemu DLP skanowanie plików pod kątem poufnej zawartości.

10. W obszarze Akcje wybierz pozycję Blokuj. Dostosuj komunikat blokujący, który użytkownicy otrzymają, gdy nie będą mogli pobrać plików.

11. Ustaw alerty, które mają być odbierane po dopasowaniu zasad. Możesz ustawić limit, aby nie otrzymywać zbyt wielu alertów. Wybierz, czy alerty mają być otrzymywane jako wiadomość e-mail.

12. Wybierz pozycję Utwórz.

Weryfikowanie zasad

1. Aby zasymulować pobieranie zablokowanego pliku z urządzenia niezarządzanego lub lokalizacji sieciowej innej niż firmowa, zaloguj się do aplikacji. Następnie spróbuj pobrać plik.

2. Plik powinien zostać zablokowany i powinien zostać wyświetlony komunikat ustawiony w obszarze Dostosowywanie komunikatów blokowych.

3. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady, a następnie wybierz pozycję Zarządzanie zasadami. Następnie wybierz utworzone zasady, aby wyświetlić raport zasad. Wkrótce powinno pojawić się dopasowanie zasad sesji.

4. W raporcie zasad można zobaczyć, które identyfikatory logowania zostały przekierowane do Microsoft Defender dla Chmury Aplikacje na potrzeby kontroli sesji oraz które pliki zostały pobrane lub zablokowane z monitorowanych sesji.

Następne kroki

Jak utworzyć zasady dostępu

Jak utworzyć zasady sesji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.