Sdílet prostřednictvím

Kurz: Vyžadování stupňovacího ověřování (kontextu ověřování) při rizikové akci

  • Článek

Jako správce IT jste dnes uvízli mezi skálou a tvrdým místem. Chcete, aby vaši zaměstnanci mohli být produktivní. To znamená umožnit zaměstnancům přístup k aplikacím, aby mohli kdykoli pracovat z libovolného zařízení. Chcete ale chránit prostředky společnosti, včetně vlastnických a privilegovaných informací. Jak můžete zaměstnancům umožnit přístup ke cloudovým aplikacím a zároveň chránit vaše data?

Tento kurz vám umožní znovu vyhodnocet zásady Microsoft Entra podmíněného přístupu, když uživatelé během relace proberou citlivé akce.

Hrozba

Zaměstnanec přihlášený k SharePointu Online z firemní kanceláře. Během stejné relace se jejich IP adresa zaregistrovala mimo podnikovou síť. Možná šli do kavárny v přízemí, nebo jim někdo zlý útočník zneuzil nebo ukradl jejich token.

Řešení

Chraňte svou organizaci tím, že při citlivých akcích relace budete muset znovu posoudit zásady podmíněného přístupu Microsoft Entra Defender for Cloud Apps řízení podmíněného přístupu k aplikacím.

Požadavky

  • Platná licence pro licenci Microsoft Entra ID P1

  • Vaše cloudová aplikace, v tomto případě SharePoint Online, nakonfigurovaná jako aplikace Microsoft Entra ID a využívající jednotné přihlašování přes SAML 2.0 nebo OpenID Connect

  • Ujistěte se, že je aplikace nasazená na Defender for Cloud Apps

Vytvoření zásady pro vynucování ověřování pro posílení

Defender for Cloud Apps zásady relací umožňují omezit relaci na základě stavu zařízení. Pokud chcete zajistit řízení relace pomocí jejího zařízení jako podmínky, vytvořte zásady podmíněného přístupu i zásady relace.

Vytvoření zásady:

  1. Na portálu Microsoft Defender přejděte v části Cloud Apps na Zásady –>Správa zásad.

  2. Na stránce Zásady vyberte Vytvořit zásadu a pak zásady relace.

  3. Na stránce Vytvořit zásadu relace zadejte název a popis zásady. Například Vyžadovat při stahování z SharePointu Online z nespravovaných zařízení vyžadovat ověřování zstupňovaným způsobem.

  4. Přiřaďte závažnost akategorii zásad.

  5. Jako typ řízení relace vyberte Blokovat aktivity,Nahránířídicího souboru (s kontrolou),Stahování kontrolního souboru (s kontrolou).

  6. V části Zdroj aktivity v části Aktivity odpovídající všem následujícímu oddílu vyberte filtry:

    • Značka zařízení: Vyberte Nerovná se a pak vyberte Intune kompatibilní, Microsoft Entra hybridní připojení nebo Platný klientský certifikát. Váš výběr závisí na metodě používané ve vaší organizaci k identifikaci spravovaných zařízení.

    • Aplikace: Vyberte Automatizovaná Azure AD onboarding a pak v seznamu vyberte SharePoint Online.

    • Uživatelé: Vyberte uživatele, které chcete monitorovat.

  7. V části Zdroj aktivity v části Soubory odpovídající všem následujícímu oddílu nastavte následující filtry:

    • Popisky citlivosti: Pokud používáte popisky citlivosti z Microsoft Purview Information Protection, vyfiltrujte soubory na základě konkrétního Microsoft Purview Information Protection popisku citlivosti.

    • Pokud chcete použít omezení na základě názvu nebo typu souboru, vyberte Název souboru nebo Typ souboru.

  8. Povolte kontrolu obsahu , aby interní ochrana před únikem informací mohla ve vašich souborech vyhledávat citlivý obsah.

  9. V části Akce vyberte Vyžadovat ověřování pomocí krokového kroku.

    Poznámka

    To vyžaduje vytvoření kontextu ověřování v Microsoft Entra ID.

  10. Nastavte upozornění, která chcete dostávat, když se zásady shodují. Můžete nastavit limit tak, aby vám nepřišla příliš mnoho upozornění. Vyberte, jestli chcete upozornění zobrazit jako e-mailovou zprávu.

  11. Vyberte Vytvořit.

Ověření zásad

  1. Pokud chcete simulovat tuto zásadu, přihlaste se k aplikaci z nespravovaného zařízení nebo umístění v jiné než podnikové síti. Pak zkuste stáhnout soubor.

  2. Měli byste být vyzváni k provedení akce nakonfigurované v zásadách kontextu ověřování.

  3. Na portálu Microsoft Defender přejděte v části Cloud Apps na Zásady –>Správa zásad. Pak vyberte zásadu, kterou jste vytvořili, a zobrazte sestavu zásad. Za chvíli by se měla zobrazit shoda zásad relace.

  4. V sestavě zásad uvidíte, která přihlášení přesměrovaná na Microsoft Defender for Cloud Apps pro řízení relací a které soubory se stáhly nebo zablokovaly z monitorovaných relací.

Další kroky

Jak vytvořit zásadu přístupu

Jak vytvořit zásady relace

Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.