Tutorial: Exigir autenticação de intensificação (contexto de autenticação) em ação de risco

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

Como administrador de TI hoje, estás preso entre uma rocha e um lugar duro. Quer permitir que os seus empregados sejam produtivos. Isto significa permitir que os colaboradores acedam a apps para que possam trabalhar a qualquer momento, a partir de qualquer dispositivo. No entanto, pretende proteger os bens da empresa, incluindo informações próprias e privilegiadas. Como pode permitir que os colaboradores acedam às suas aplicações na nuvem enquanto protegem os seus dados?

Este tutorial permite-lhe reavaliar as políticas de acesso condicional Azure AD quando os utilizadores tomam ações sensíveis durante uma sessão.

A ameaça

Um funcionário entrou no SharePoint Online do escritório da empresa. Durante a mesma sessão, o seu endereço IP registou-se fora da rede corporativa. Talvez tenham ido ao café lá em baixo, ou talvez o seu símbolo tenha sido comprometido ou roubado por um agressor malicioso.

A solução

Proteja a sua organização exigindo que as políticas de acesso condicional AZure AD sejam reavaliadas durante as ações de sessão sensíveis Cloud App Security's Conditional Access App Control.

Pré-requisitos

  • Uma licença válida para Azure AD Premium P1 licença

  • Configure uma aplicação em nuvem para SSO utilizando um dos seguintes protocolos de autenticação:

    URL de Protocolos
    Azure AD SAML 2.0 ou Ligação OpenID
  • Certifique-se de que a aplicação está implantada para Cloud App Security

Criar uma política para impor a autenticação de step-up

Cloud App Security políticas de sessão permitem restringir uma sessão com base no estado do dispositivo. Para realizar o controlo de uma sessão usando o seu dispositivo como condição, crie uma política de acesso condicional e uma política de sessão.

Passo 1: Configurar o seu IdP para trabalhar com Cloud App Security

Certifique-se de que configura a sua solução IdP para trabalhar com Cloud App Security, da seguinte forma:

Depois de completar esta tarefa, vá ao portal Cloud App Security e crie uma política de sessão para monitorizar e controlar os downloads de ficheiros na sessão.

Passo 2: Criar uma política de sessão

  1. No portal Cloud App Security, selecione Controlo seguido de Políticas.

  2. Na página Políticas, selecione Criar a política seguida pela política de Sessão.

  3. Na página política de sessão Criar, dê à sua política um nome e descrição. Por exemplo, exija uma autenticação mais-up em downloads do SharePoint Online a partir de dispositivos não geridos.

  4. Atribuir uma gravidade e categoria de política.

  5. Para o tipo de controlo de sessão, selecione atividades do Bloco, Teste de carregamento (com inspeção), Descarregamento de ficheiros de controlo (com inspeção).

  6. Sob a origem da Atividade nas Atividades que correspondem a todas as seguintes secções, selecione os filtros:

    • Etiqueta do dispositivo: Selecione Não é igual, e, em seguida, selecione Intune compliant, Hybrid Azure AD ad , ou Certificado de cliente Válido. A sua seleção depende do método utilizado na sua organização para identificar dispositivos geridos.

    • App: Selecione a aplicação que pretende controlar.

    • Utilizadores: Selecione os utilizadores que pretende monitorizar.

  7. Sob a origem da atividade nos Ficheiros que correspondem a todas as seguintes secções, desacione os seguintes filtros:

    • Etiquetas de classificação: Se utilizar etiquetas de classificação da Proteção de Informação Azure, filtre os ficheiros com base numa etiqueta específica de classificação de proteção da informação Azure.

    • Selecione nome de ficheiro ou tipo de ficheiro para aplicar restrições com base no nome ou tipo de ficheiro.

  8. Ativar a inspeção de conteúdo para permitir que o DLP interno digitalize os seus ficheiros para obter conteúdo sensível.

  9. Em Ações, selecione Requera a autenticação de step-up.

  10. Desa estade os alertas que pretende receber quando a apólice estiver compatível. Pode definir um limite para não receber muitos alertas. Selecione se deve receber os alertas como uma mensagem de correio eletrónico, mensagem de texto ou ambos.

  11. Selecione Criar.

Validar a sua política

  1. Para simular esta política, inscreva-se na aplicação a partir de um dispositivo não gerido ou de uma localização de rede não corporativa. Então, tente descarregar um ficheiro.

  2. Deve ser-lhe exigido que realize a ação configurada na política de contexto de autenticação.

  3. No portal Cloud App Security, selecione Controlo seguido de Políticas e, em seguida, selecione a política que criou para ver o relatório de política. Um jogo de política de sessão deve aparecer em breve.

  4. No relatório de política, pode ver quais os logins onde redirecionados para Microsoft Cloud App Security para controlo de sessão, e quais os ficheiros descarregados ou bloqueados a partir das sessões monitorizadas.

Passos seguintes

Como criar uma política de acesso

Como criar uma política de sessão

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.