Tutorial: Bloquear o download de informações confidenciais com o Controle de Aplicativo de Acesso Condicional

O administrador de TI de hoje está preso entre uma pedra e outra. Você quer permitir que seus funcionários sejam produtivos. Isso significa permitir que os funcionários acessem aplicativos para que possam trabalhar a qualquer momento, de qualquer dispositivo. No entanto, você deseja proteger os ativos da empresa, incluindo informações proprietárias e privilegiadas. Como você pode permitir que os funcionários acessem seus aplicativos na nuvem enquanto protegem seus dados? Este tutorial permite que você bloqueie downloads de usuários que têm acesso aos seus dados confidenciais em aplicativos corporativos na nuvem de dispositivos não gerenciados ou locais de rede fora da empresa.

Neste tutorial, irá aprender a:

• Criar uma política de download de bloqueio para dispositivos não gerenciados
• Valide a sua política

A ameaça

Um gerente de conta em sua organização deseja verificar algo no Salesforce em casa no fim de semana, em seu laptop pessoal. Os dados do Salesforce podem incluir informações de cartão de crédito do cliente ou informações pessoais. O PC doméstico não é gerido. Se eles baixarem documentos do Salesforce para o PC, ele pode estar infetado com malware. Se o dispositivo for perdido ou roubado, ele pode não ser protegido por senha e qualquer pessoa que o encontre tem acesso a informações confidenciais.

A solução

Proteja sua organização monitorando e controlando o uso de aplicativos na nuvem com qualquer solução IdP e o Controle de Aplicativo de Acesso Condicional do Defender for Cloud Apps.

Pré-requisitos

• Uma licença válida para a licença do Microsoft Entra ID P1 ou a licença exigida pela sua solução de provedor de identidade (IdP)

• Configure um aplicativo na nuvem para SSO usando um dos seguintes protocolos de autenticação:

  Metadados	Protocolos
  Microsoft Entra ID	SAML 2.0 ou OpenID Connect
  Outro	SAML 2.0

• Verifique se o aplicativo está implantado no Defender for Cloud Apps

Criar uma política de download de bloqueio para dispositivos não gerenciados

As políticas de sessão do Defender for Cloud Apps permitem restringir uma sessão com base no estado do dispositivo. Para realizar o controle de uma sessão usando seu dispositivo como condição, crie uma política de acesso condicional E uma política de sessão.

Para criar a política de acesso condicional, siga as etapas em Criar uma política de acesso do Defender for Cloud Apps. Este tutorial explicará como criar a política de sessão.

Etapa 1: configurar seu IdP para trabalhar com o Defender for Cloud Apps

Certifique-se de que configurou a sua solução IdP para funcionar com o Defender for Cloud Apps, da seguinte forma:

• Para o Acesso Condicional do Microsoft Entra, consulte Configurar a integração com o ID do Microsoft Entra
• Para outras soluções de IdP, consulte Configurar a integração com outras soluções de IdP

Depois de concluir essa tarefa, vá para o portal do Defender for Cloud Apps e crie uma política de sessão para monitorar e controlar os downloads de arquivos na sessão.

Etapa 2: Criar uma política de sessão

1. No Portal do Microsoft Defender, em Aplicativos na Nuvem, vá para Políticas e selecione Gerenciamento de políticas.

2. Na página Políticas, selecione Criar política seguida de Política de sessão.

3. Na página Criar política de sessão, dê um nome e uma descrição à sua política. Por exemplo, bloqueie downloads do Salesforce para dispositivos não gerenciados.

4. Atribua uma severidade e uma categoria de política.

5. Para o tipo de controle de sessão, selecione Download de arquivo de controle (com inspeção). Essa configuração oferece a capacidade de monitorar tudo o que seus usuários fazem em uma sessão do Salesforce e oferece controle para bloquear e proteger downloads em tempo real.

6. Em Origem da atividade na seção Atividades correspondentes a todas as seguintes opções, selecione os filtros:

   • Tag do dispositivo: Selecione Não é igual. e, em seguida, selecione Compatível com o Intune, Microsoft Entra híbrido associado ou Certificado de cliente válido. Sua seleção depende do método usado em sua organização para identificar dispositivos gerenciados.

   • Aplicativo: selecione o aplicativo que você deseja controlar.

   • Usuários: selecione os usuários que você deseja monitorar.

7. Como alternativa, você pode bloquear os downloads para locais que não fazem parte da sua rede corporativa. Em Origem da atividade na seção Atividades que correspondem a todas as opções a seguir, defina os seguintes filtros:

   • Endereço IP ou localização: você pode usar qualquer um desses dois parâmetros para identificar locais não corporativos ou desconhecidos, a partir dos quais um usuário pode estar tentando acessar dados confidenciais.

   Nota

   Se você quiser bloquear downloads de dispositivos não gerenciados e locais não corporativos, será necessário criar duas políticas de sessão. Uma política define a fonte de atividade usando o local. A outra política define a origem da atividade como dispositivos não gerenciados.

   • Aplicativo: selecione o aplicativo que você deseja controlar.

   • Usuários: selecione os usuários que você deseja monitorar.

8. Em Origem da atividade na seção Arquivos correspondentes a todas as opções a seguir, defina os seguintes filtros:

   • Rótulos de sensibilidade: Se você usar rótulos de sensibilidade do Microsoft Purview Information Protection, filtre os arquivos com base em um rótulo de sensibilidade específico do Microsoft Purview Information Protection.

   • Selecione Nome do arquivo ou Tipo de arquivo para aplicar restrições com base no nome ou tipo de arquivo.

9. Habilite a inspeção de conteúdo para permitir que a DLP interna analise seus arquivos em busca de conteúdo confidencial.

10. Em Ações, selecione bloquear. Personalize a mensagem de bloqueio que os utilizadores recebem quando não conseguem transferir ficheiros.

11. Defina os alertas que deseja receber quando a política for correspondida. Pode definir um limite para não receber demasiados alertas. Selecione se deseja receber os alertas como uma mensagem de e-mail.

12. Selecione Criar.

Valide a sua política

1. Para simular o download do arquivo bloqueado, de um dispositivo não gerenciado ou de um local de rede não corporativo, entre no aplicativo. Em seguida, tente baixar um arquivo.

2. O arquivo deve ser bloqueado e você deve receber a mensagem definida em Personalizar mensagens de bloqueio.

3. No Portal do Microsoft Defender, em Aplicativos na Nuvem, vá para Políticas e selecione Gerenciamento de políticas. Em seguida, selecione a política que você criou para exibir o relatório de política. Uma correspondência de política de sessão deve aparecer em breve.

4. No relatório de política, você pode ver quais logons foram redirecionados para o Microsoft Defender for Cloud Apps para controle de sessão e quais arquivos foram baixados ou bloqueados das sessões monitoradas.

Próximos passos

Como criar uma política de acesso

Como criar uma política de sessão

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.