Tutorial: Bloquear o download de informações confidenciais com o Controle de Aplicativos de Acesso Condicional

O administrador de TI atual está entre a cruz e a espada. Você quer permitir que seus funcionários sejam produtivos. Isso significa permitir que os funcionários acessem aplicativos para poderem trabalhar a qualquer momento, em qualquer dispositivo. No entanto, você deseja proteger os ativos da empresa, incluindo informações proprietárias e privilegiadas. Como permitir que os funcionários acessem aplicativos de nuvem e, ao mesmo tempo, proteger seus dados? Este tutorial permite que você bloqueie downloads realizados por usuários com acesso a dados confidenciais em aplicativos de nuvem empresariais usando dispositivos não gerenciados ou locais fora da rede corporativa.

Neste tutorial, você aprenderá como:

• Criar uma política de bloqueio de download para dispositivos não gerenciados
• Validar sua política

A ameaça

Um gerente de conta na sua organização quer verificar algo no Salesforce em casa durante o fim de semana, no laptop pessoal dele. Os dados do Salesforce podem incluir informações pessoais ou de cartão de crédito do cliente. O computador doméstico não é gerenciado. Se eles baixarem documentos do Salesforce no computador, ele poderá ser infectado com malware. Em caso de perda ou roubo do dispositivo, ele poderá não estar protegido por senha e qualquer pessoa que o encontrar terá acesso a informações confidenciais.

A solução

Proteja sua organização monitorando e controlando o uso do aplicativo na nuvem com qualquer solução de IdP e o Controle de Aplicativos de Acesso Condicional do Defender para Aplicativos de Nuvem.

Pré-requisitos

• Uma licença válida para o Microsoft Entra ID P1 ou a licença exigida pela sua solução de provedor de identidade (IdP)

• Configure um aplicativo na nuvem para SSO usando um dos seguintes protocolos de autenticação:

  IdP	Protocolos
  Microsoft Entra ID	SAML 2.0 ou OpenID Connect
  Outro	SAML 2.0

• Verifique se o aplicativo está implantado no Defender para Aplicativos de Nuvem

Criar uma política de bloqueio de download para dispositivos não gerenciados

As políticas de sessão do Defender para Aplicativos de Nuvem permitem que você restrinja uma sessão com base no estado do dispositivo. Para obter o controle de uma sessão usando seu dispositivo como uma condição, crie uma política de acesso condicional E uma política de sessão.

Para criar a política de acesso condicional, siga as etapas em Criar uma política de acesso do Defender para Aplicativos de Nuvem. Este tutorial explica como criar a política de sessão.

Etapa 1: configure o IdP para trabalhar com o Defender para Aplicativos de Nuvem.

Verifique se você configurou sua solução IdP para funcionar com o Defender para Aplicativos de Nuvem, da seguinte maneira:

• Para o acesso condicional do Microsoft Entra, consulte Configurar a integração com o Microsoft Entra ID
• Para outras soluções de IdP, consulte Configurar integração com outras soluções de IdP

Depois de concluir essa tarefa, acesse o portal do Defender para Aplicativos de Nuvem e crie uma política de sessão para monitorar e controlar os downloads de arquivo na sessão.

Etapa 2: criar uma política de sessão

1. No portal do Microsoft Defender, em Aplicativos para nuvem, vá para Políticas e Gerenciamento de políticas.

2. Na página Políticas, clique em Criar política e depois em Política de sessão.

3. Na página Criar política de sessão, dê um nome e uma descrição à sua política. Por exemplo, Bloquear downloads do Salesforce para dispositivos não gerenciados.

4. Atribua uma Severidade da política e Categoria.

5. Para o Tipo de controle de sessão, selecione Controlar download de arquivo (com inspeção). Essa configuração fornece a capacidade de monitorar tudo o que os usuários fazem em uma sessão do Salesforce, fornecendo o controle para bloquear e proteger downloads em tempo real.

6. Em Origem da atividade na seção Atividades que correspondem a todos os seguintes, selecione os filtros:

   • Tag do dispositivo: selecione Diferente de. e, em seguida, selecione Em conformidade com Intune, Ingressado no Microsoft Entra híbrido ou Certificado do cliente válido. A seleção depende do método usado em sua organização para identificar dispositivos gerenciados.

   • Aplicativo: selecione o aplicativo que você deseja controlar.

   • Usuários: selecione os usuários que você deseja monitorar.

7. Como alternativa, você pode bloquear os downloads de locais que não fazem parte da rede corporativa. Em Origem da atividade na seção Atividades que correspondem a todos os seguintes, defina os seguintes filtros:

   • Endereço IP ou Local: é possível usar um desses dois parâmetros para identificar locais não corporativos ou desconhecidos, dos quais um usuário pode estar tentando acessar dados confidenciais.

   Observação

   Caso deseje bloquear downloads de dispositivos não gerenciados e locais não corporativos, você precisará criar duas políticas de sessão. Uma política define a Origem da atividade usando a localização. A outra política define a Origem da atividade para dispositivos não gerenciados.

   • Aplicativo: selecione o aplicativo que você deseja controlar.

   • Usuários: selecione os usuários que você deseja monitorar.

8. Em Origem da atividade na seção Arquivos que correspondem a todos os seguintes, defina os seguintes filtros:

   • Rótulos de confidencialidade: se você usar rótulos de confidencialidade da Proteção de Informações do Microsoft Purview, filtre os arquivos com base em um rótulo de confidencialidade específico da Proteção de Informações do Microsoft Purview.

   • Selecione Nome de arquivo ou Tipo de arquivo para aplicar as restrições com base no nome ou no tipo de arquivo.

9. Habilite Inspeção de conteúdo para permitir que a DLP interna examine se há conteúdo confidencial em seus arquivos.

10. Em Ações, selecione bloquear. Personalize a mensagem de bloqueio que os usuários recebem quando não conseguem baixar arquivos.

11. Defina os alertas que você deseja receber quando a política é correspondida. Você pode definir um limite para não receber um número excessivo de alertas. Selecione se deseja receber os alertas como uma mensagem de email.

12. Selecione Criar.

Validar sua política

1. Para simular o download do arquivo bloqueado, em um dispositivo não gerenciado ou uma localização que não seja a rede corporativa, entre no aplicativo. Em seguida, tente baixar um arquivo.

2. O arquivo deverá ser bloqueado e você deverá receber a mensagem definida em Personalizar mensagens de bloqueio.

3. No portal do Microsoft Defender, em Aplicativos para nuvem, vá para Políticas e Gerenciamento de políticas. Em seguida, selecione a política que você criou para exibir o relatório de política. Uma correspondência de política de sessão deve ser exibida em breve.

4. No relatório de política, é possível ver quais logons foram redirecionados para o Microsoft Defender para Aplicativos de Nuvem para controle de sessão e quais arquivos foram baixados ou bloqueados das sessões monitoradas.

Próximas etapas

Como criar uma política de acesso

Como criar uma política de sessão

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.