Sdílet prostřednictvím

Kurz: Blokování stahování citlivých informací pomocí řízení podmíněného přístupu k aplikacím

  • Článek

Dnešní správce IT je uvízl mezi skálou a těžkým místem. Chcete, aby vaši zaměstnanci mohli být produktivní. To znamená umožnit zaměstnancům přístup k aplikacím, aby mohli kdykoli pracovat z libovolného zařízení. Chcete ale chránit prostředky společnosti, včetně vlastnických a privilegovaných informací. Jak můžete zaměstnancům umožnit přístup ke cloudovým aplikacím a zároveň chránit vaše data? Tento kurz umožňuje blokovat stahování uživatelům, kteří mají přístup k citlivým datům v podnikových cloudových aplikacích z nespravovaných zařízení nebo umístění mimo podnikovou síť.

V tomto kurzu se naučíte:

Hrozba

Správce účtů ve vaší organizaci chce něco zkontrolovat v Salesforce z domova o víkendu na svém osobním přenosném počítači. Data Salesforce můžou zahrnovat informace o platební kartě klienta nebo osobní údaje. Domácí počítač je nespravovaný. Pokud stahují dokumenty ze Salesforce do počítače, může být napadený malwarem. Pokud dojde ke ztrátě nebo odcizení zařízení, nemusí být chráněné heslem a každý, kdo ho najde, bude mít přístup k citlivým informacím.

V takovém případě se vaši uživatelé přihlašují k Salesforce pomocí podnikových přihlašovacích údajů prostřednictvím Microsoft Entra ID.

Řešení

Chraňte svoji organizaci monitorováním a řízením používání cloudových aplikací pomocí Defender for Cloud Apps řízení podmíněného přístupu k aplikacím.

Požadavky

  • Platná licence na licenci Microsoft Entra ID P1 nebo licence vyžadovaná vaším řešením zprostředkovatele identity
  • Zásady podmíněného přístupu Microsoft Entra pro Salesforce
  • Salesforce nakonfigurované jako aplikace Microsoft Entra ID

Vytvoření zásady pro blokování stahování z nespravovaných zařízení

Tento postup popisuje, jak vytvořit pouze zásady relace Defender for Cloud Apps, které umožňují omezit relaci na základě stavu zařízení.

Pokud chcete řídit relaci pomocí zařízení jako podmínky, musíte také vytvořit zásady Defender for Cloud Apps přístupu. Další informace najdete v tématu Vytvoření zásad Microsoft Defender for Cloud Apps přístupu.

Vytvoření zásad relace

  1. Na portálu Microsoft Defender vyberte v části Cloud Apps možnost Zásady>Správa zásad.

  2. Na stránce Zásady vyberte Vytvořit zásadu>Zásadu relace.

  3. Na stránce Vytvořit zásadu relace zadejte název a popis zásady. Například blokovat stahování ze Salesforce pro nespravovaná zařízení.

  4. Přiřaďte závažnost akategorii zásad.

  5. Jako Typ ovládacího prvku relace vyberte Control file download (with inspection) (Řízení stahování souborů s kontrolou). Toto nastavení umožňuje monitorovat vše, co vaši uživatelé dělají v rámci relace Salesforce, a máte kontrolu nad blokováním a ochranou stahování v reálném čase.

  6. V části Zdroj aktivity v části Aktivity odpovídající všem následujícímu oddílu vyberte filtry:

    • Značka zařízení: Vyberte Není rovno. a pak vyberte Intune kompatibilní, Hybridní Azure AD připojený nebo Platný klientský certifikát. Váš výběr závisí na metodě používané ve vaší organizaci k identifikaci spravovaných zařízení.

    • Aplikace: Vyberte Automatizovaná Azure AD onboarding>rovná se>Salesforce.

  7. Případně můžete soubory ke stažení zablokovat pro umístění, která nejsou součástí vaší podnikové sítě. V části Zdroj aktivity v části Aktivity odpovídající všem následujícímu oddílu nastavte následující filtry:

    • IP adresa nebo umístění: Pomocí některého z těchto dvou parametrů identifikujte umístění, která nejsou podniková nebo neznámá, ze kterých se uživatel může pokoušet o přístup k citlivým datům.

    Poznámka

    Pokud chcete blokovat stahování z nespravovaných zařízení i nespravovaných umístění, musíte vytvořit dvě zásady relace. Jedna zásada nastaví zdroj aktivity pomocí umístění. Druhá zásada nastaví zdroj aktivity na nespravovaná zařízení.

    • Aplikace: Vyberte Automatizovaná Azure AD onboarding>rovná se>Salesforce.

  8. V části Zdroj aktivity v části Soubory odpovídající všem následujícímu oddílu nastavte následující filtry:

    • Popisky citlivosti: Pokud používáte popisky citlivosti z Microsoft Purview Information Protection, vyfiltrujte soubory na základě konkrétního Microsoft Purview Information Protection popisku citlivosti.

    • Pokud chcete použít omezení na základě názvu nebo typu souboru, vyberte Název souboru nebo Typ souboru.

  9. Povolte kontrolu obsahu , aby interní ochrana před únikem informací mohla ve vašich souborech vyhledávat citlivý obsah.

  10. V části Akce vyberte blokovat. Přizpůsobte blokující zprávu, která se uživatelům zobrazí, když nemůžou stahovat soubory.

  11. Nakonfigurujte výstrahy, které chcete dostávat, když se zásady shodují, například limit, abyste nedostali příliš mnoho upozornění a jestli chcete upozornění dostávat jako e-mail.

  12. Vyberte Vytvořit.

Ověření zásad

  1. Pokud chcete simulovat zablokované stahování souborů, přihlaste se k aplikaci z nespravovaného zařízení nebo umístění mimo podnikovou síť. Pak zkuste stáhnout soubor.

  2. Soubor by měl být blokovaný a měli byste obdržet zprávu, kterou jste definovali dříve v části Přizpůsobit zprávy bloku.

  3. Na portálu Microsoft Defender přejděte v části Cloudové aplikace na Zásady a pak vyberte Správa zásad. Pak vyberte zásadu, kterou jste vytvořili, a zobrazte sestavu zásad. Za chvíli by se měla zobrazit shoda zásad relace.

  4. V sestavě zásad vidíte, která přihlášení byla přesměrována na Microsoft Defender for Cloud Apps pro řízení relací a které soubory se stáhly nebo zablokovaly z monitorovaných relací.

Další kroky

Jak vytvořit zásadu přístupu

Jak vytvořit zásady relace

Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.