Selvstudium: Bloker download af følsomme oplysninger med appkontrol med betinget adgang
Dagens it-administrator sidder fast mellem en sten og hårdt sted. Du vil gøre det muligt for dine medarbejdere at være produktive. Det betyder, at medarbejderne skal have adgang til apps, så de kan arbejde når som helst fra enhver enhed. Du vil dog gerne beskytte virksomhedens aktiver, herunder beskyttede og privilegerede oplysninger. Hvordan kan du give medarbejderne adgang til dine cloudapps og samtidig beskytte dine data? Dette selvstudium giver dig mulighed for at blokere downloads af brugere, der har adgang til dine følsomme data i virksomhedscloudapps fra enten ikke-administrerede enheder eller placeringer uden for virksomhedens netværk.
I dette selvstudium lærer du, hvordan du:
Truslen
En kontochef i din organisation vil gerne tjekke noget i Salesforce hjemmefra i løbet af weekenden på deres personlige bærbare computer. Salesforce-dataene kan omfatte klientkreditkortoplysninger eller personlige oplysninger. Hjemme-pc'en er ikke administreret. Hvis de downloader dokumenter fra Salesforce på pc'en, kan den være inficeret med malware. Hvis enheden mistes eller bliver stjålet, er den muligvis ikke beskyttet med adgangskode, og alle, der finder den, har adgang til følsomme oplysninger.
I dette tilfælde logger dine brugere på Salesforce ved hjælp af deres legitimationsoplysninger til virksomheden via Microsoft Entra ID.
Løsningen
Beskyt din organisation ved at overvåge og styre brugen af cloudapps sammen med Defender for Cloud Apps appen Betinget adgang.
Forudsætninger
- En gyldig licens til Microsoft Entra ID P1-licens eller den licens, der kræves af din idP-løsning (Identitetsudbyder)
- En Microsoft Entra politik for betinget adgang til Salesforce
- Salesforce konfigureret som en Microsoft Entra ID app
Opret en politik for blokering af download for ikke-administrerede enheder
I denne procedure beskrives det, hvordan du kun opretter en Defender for Cloud Apps sessionspolitik, som giver dig mulighed for at begrænse en session baseret på en enheds tilstand.
Hvis du vil styre en session ved hjælp af en enhed som en betingelse, skal du også oprette en Defender for Cloud Apps adgangspolitik. Du kan få flere oplysninger under Opret Microsoft Defender for Cloud Apps adgangspolitikker.
Sådan opretter du din sessionspolitik
På Microsoft Defender-portalen under Cloud Apps skal du vælge Politikadministration af politikker>.
På siden Politikker skal du vælge Opret politik>Sessionspolitik.
På siden Opret sessionspolitik skal du give politikken et navn og en beskrivelse. Bloker f.eks. downloads fra Salesforce for ikke-administrerede enheder.
Tildel en politik alvorsgrad og kategori.
For kontrolelementtypen Session skal du vælge Download af kontrolfil (med inspektion). Denne indstilling giver dig mulighed for at overvåge alt, hvad dine brugere foretager sig i en Salesforce-session, og giver dig kontrol over at blokere og beskytte downloads i realtid.
Under Aktivitetskilde i afsnittet Aktiviteter, der stemmer overens med alle følgende , skal du vælge filtrene:
Enhedsmærke: Vælg Er ikke lig med. og vælg derefter Intune kompatibel, Hybrid Azure AD tilmeldt eller Gyldigt klientcertifikat. Dit valg afhænger af den metode, der bruges i din organisation til at identificere administrerede enheder.
App: Vælg Automatiseret Azure AD onboarding>er lig med>Salesforce.
Alternativt kan du blokere downloads for placeringer, der ikke er en del af virksomhedens netværk. Under Aktivitetskilde i afsnittet Aktiviteter, der stemmer overens med alle følgende , skal du angive følgende filtre:
- IP-adresse eller placering: Brug en af disse to parametre til at identificere ikke-virksomhedsrelaterede eller ukendte placeringer, hvorfra en bruger forsøger at få adgang til følsomme data.
Bemærk!
Hvis du vil blokere downloads fra BÅDE ikke-administrerede enheder og ikke-virksomhedsplaceringer, skal du oprette to sessionspolitikker. En politik angiver aktivitetskilden ved hjælp af placeringen. Den anden politik angiver aktivitetskilden til ikke-administrerede enheder.
- App: Vælg Automatiseret Azure AD onboarding>er lig med>Salesforce.
Under Aktivitetskilde i afsnittet Filer, der stemmer overens med alle følgende skal du angive følgende filtre:
Følsomhedsmærkater: Hvis du bruger følsomhedsmærkater fra Microsoft Purview Information Protection, skal du filtrere filerne ud fra en bestemt Microsoft Purview Information Protection følsomhedsmærkat.
Vælg Filnavn eller Filtype for at anvende begrænsninger baseret på filnavn eller type.
Aktivér indholdskontrol for at aktivere den interne DLP for at scanne dine filer for følsomt indhold.
Under Handlinger skal du vælge blok. Tilpas den blokeringsmeddelelse, som brugerne får, når de ikke kan downloade filer.
Konfigurer de beskeder, du vil modtage, når politikken matches, f.eks. en grænse, så du ikke modtager for mange beskeder, og om du vil hente beskederne som en mail.
Vælg Opret.
Valider din politik
Log på appen for at simulere den blokerede fildownload fra en ikke-administreret enhed eller en netværksplacering, der ikke er virksomhedens. Prøv derefter at downloade en fil.
Filen skal blokeres, og du bør modtage den meddelelse, du definerede tidligere, under Tilpas blokmeddelelser.
I Microsoft Defender-portalen under Cloud Apps skal du gå til Politikker og derefter vælge Politikadministration. Vælg derefter den politik, du har oprettet, for at få vist politikrapporten. Der vises snart et sessionspolitikmatch.
I politikrapporten kan du se, hvilke logons der blev omdirigeret til Microsoft Defender for Cloud Apps til sessionskontrol, og hvilke filer der blev downloadet eller blokeret fra de overvågede sessioner.
Næste trin
Hvis du støder på problemer, er vi her for at hjælpe. Hvis du vil have hjælp eller support til dit produktproblem, skal du åbne en supportanmodning.