Руководство. Требовать поэтапной проверки подлинности (контекст проверки подлинности) при рискованном действии

Как ИТ-администратор сегодня, вы застряли между роком и жестким местом. Им нужно позволить своим сотрудникам работать эффективно, Для этого сотрудникам требуется доступ к соответствующим рабочим приложениям в любое время и с любого устройства. а также обеспечить защиту активов организации, в число которых входит собственническая и конфиденциальная информация. Как предоставить сотрудникам доступ к облачным приложениям и при этом обеспечить защиту данных?

В этом руководстве вы можете повторно оценить политики условного доступа Microsoft Entra, когда пользователи принимают конфиденциальные действия во время сеанса.

Угроза

Сотрудник вошел в SharePoint Online из корпоративного офиса. Во время того же сеанса ip-адрес, зарегистрированный за пределами корпоративной сети. Может быть, они пошли в кафе внизу, или, возможно, их токен был скомпрометирован или украден злоумышленником.

Решение

Защитите организацию, требуя повторного анализа политик условного доступа Microsoft Entra во время действий с конфиденциальными сеансами Defender для облака Приложения условного доступа.

Необходимые компоненты

• Допустимая лицензия для лицензии Microsoft Entra ID P1

• Настройте облачное приложение для единого входа с помощью одного из следующих протоколов проверки подлинности:

  IdP	Протоколы
  Microsoft Entra ID	SAML 2.0 или OpenID Подключение

• Убедитесь, что приложение развернуто в приложениях Defender для облака

Создание политики для принудительной проверки подлинности на этапе

Defender для облака политики сеансов приложений позволяют ограничить сеанс на основе состояния устройства. Чтобы обеспечить управление сеансом с помощью своего устройства в качестве условия, создайте политику условного доступа и политику сеанса.

Шаг 1. Настройка поставщика удостоверений для работы с приложениями Defender для облака

Убедитесь, что вы настроили решение поставщика удостоверений для работы с Defender для облака приложениями, как показано ниже.

• Условный доступ Microsoft Entra см. в разделе "Настройка интеграции с идентификатором Microsoft Entra ID"

• Другие решения idP см. в разделе "Настройка интеграции с другими решениями поставщика удостоверений"

После выполнения этой задачи перейдите на портал приложений Defender для облака и создайте политику сеанса для мониторинга загрузки файлов и управления ими в сеансе.

Шаг 2. Создание политики сеанса

1. На портале Microsoft Defender в разделе "Облачные приложения" перейдите в раздел "Полиция -> Управление политиками".

2. На странице "Политики" выберите "Создать политику", за которой следует политика сеанса.

3. На странице Создать политику сеанса присвойте политике имя и введите ее описание. Например, требуется шаг проверки подлинности при скачивании из SharePoint Online с неуправляемых устройств.

4. Задайте значения Серьезность политики и Категория.

5. Для типа элемента управления сеансом выберите "Блокировать действия", "Отправить файл" (с проверкой), скачать файл управления (с проверкой).

6. В разделе "Источник действий" в разделе "Действия", соответствующий всему следующему разделу, выберите фильтры:

   • Тег устройства: выберите "Не равно", а затем выберите "Совместимый с Intune", "Microsoft Entra hybrid joined" или "Допустимый сертификат клиента". Выбор зависит от метода, используемого в организации для идентификации управляемых устройств.

   • Приложение. Выберите приложение, которым вы хотите управлять.

   • Пользователи. Выберите пользователей, действия которых вы хотите отслеживать.

7. В области Источник действия в разделе Файлы, соответствующие всем следующим условиям выберите фильтры:

   • Метки конфиденциальности: если вы используете метки конфиденциальности из Защита информации Microsoft Purview, отфильтруйте файлы на основе определенной метки конфиденциальности Защита информации Microsoft Purview.

   • Выберите Имя файла или Тип файла, чтобы применить ограничения на основе имени файла или типа.

8. Включите параметр Проверка содержимого, чтобы разрешить сканирование файлов на наличие конфиденциального содержимого с помощью встроенной функции защиты от потери данных.

9. В разделе "Действия" выберите "Требовать проверку подлинности на шаге".

   Примечание.

   Для этого требуется создать контекст проверки подлинности в идентификаторе Microsoft Entra.

10. Задайте оповещения, которые нужно получить при сопоставлении политики. Ограничение можно задать таким образом, чтобы не получать слишком много оповещений. Выберите, следует ли получать оповещения в виде сообщения электронной почты.

11. Нажмите кнопку создания.

Проверка политики

1. Чтобы имитировать эту политику, войдите в приложение с неуправляемого устройства или не корпоративного сетевого расположения. Затем попробуйте скачать файл.

2. Необходимо выполнить действие, настроенное в политике контекста проверки подлинности.

3. На портале Microsoft Defender в разделе "Облачные приложения" перейдите в раздел "Полиция -> Управление политиками". Затем выберите созданную политику для просмотра отчета о политике. Вскоре появится совпадение политики сеанса.

4. В отчете политики вы увидите, какие имена входа перенаправляются в Microsoft Defender для облака Apps для управления сеансами и какие файлы были скачаны или заблокированы из отслеживаемых сеансов.

Следующие шаги

Создание политики доступа

Создание политики сеанса

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.