Freigeben über

Tutorial: Blockieren des Downloads vertraulicher Informationen mit der App-Steuerung für bedingten Zugriff

  • Artikel

Heutzutage befinden sich IT-Administratoren in einer Zwickmühle. Sie möchten, dass Ihre Mitarbeiter produktiv sein können. Dies bedeutet, dass Sie Ihren Mitarbeitern den Zugriff auf Apps ermöglichen, damit Sie jederzeit und auf jedem Gerät arbeiten können. Dennoch möchten Sie die Ressourcen des Unternehmens schützen, einschließlich urheberrechtlich geschützter und vertraulicher Daten und Informationen. Wie können Sie den Mitarbeitern den Zugriff auf Ihre Cloud-Apps ermöglichen, während Ihre Daten gleichzeitig geschützt bleiben? Dieses Lernprogramm ermöglicht es Ihnen, Downloads von Benutzern, die Zugriff auf Ihre vertraulichen Daten in unternehmensweiten Cloud-Apps haben, von nicht verwalteten Geräten oder nicht zum Unternehmensnetzwerk zählenden Standorten zu blockieren.

In diesem Lernprogramm lernen Sie:

Die Bedrohung

Ein Account Manager in Ihrem organization möchte etwas in Salesforce am Wochenende von zu Hause aus auf ihrem persönlichen Laptop überprüfen. Die Salesforce-Daten können Kundenguthaben Karte Informationen oder persönliche Informationen enthalten. Der Heim-PC ist nicht verwaltet. Wenn sie Dokumente aus Salesforce auf den PC herunterladen, ist es möglicherweise mit Schadsoftware infiziert. Sollte das Gerät verloren gehen oder gestohlen werden, ist es möglicherweise nicht kennwortsicher, und jeder, der es findet, hat Zugriff auf vertrauliche Informationen.

In diesem Fall melden sich Ihre Benutzer mit ihren Unternehmensanmeldeinformationen über Microsoft Entra ID bei Salesforce an.

Die Lösung

Schützen Sie Ihre organization, indem Sie die Verwendung von Cloud-Apps mit Defender for Cloud Apps App-Steuerung für bedingten Zugriff überwachen und steuern.

Voraussetzungen

  • Eine gültige Lizenz für Microsoft Entra ID P1-Lizenz oder die Lizenz, die für Ihre Identitätsanbieterlösung (IdP) erforderlich ist
  • Eine Microsoft Entra Richtlinie für bedingten Zugriff für Salesforce
  • Salesforce als Microsoft Entra ID-App konfiguriert

Richtlinie erstellen, die das Herunterladen für nicht verwaltete Geräte blockiert

In diesem Verfahren wird beschrieben, wie Sie nur eine Defender for Cloud Apps Sitzungsrichtlinie erstellen, mit der Sie eine Sitzung basierend auf dem Zustand eines Geräts einschränken können.

Um eine Sitzung mit einem Gerät als Bedingung zu steuern, müssen Sie auch eine Defender for Cloud Apps Zugriffsrichtlinie erstellen. Weitere Informationen finden Sie unter Erstellen Microsoft Defender for Cloud Apps Zugriffsrichtlinien.

So erstellen Sie Ihre Sitzungsrichtlinie

  1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die OptionRichtlinienrichtlinienverwaltung> aus.

  2. Wählen Sie auf der Seite Richtlinien die Option Richtlinie> erstellenSitzungsrichtlinie aus.

  3. Geben Sie auf der Seite Sitzungsrichtlinie erstellen einen Namen und eine Beschreibung für Ihre Richtlinie ein. Beispiel: Blockieren von Downloads aus Salesforce für nicht verwaltete Geräte.

  4. Weisen Sie einen Richtlinienschweregrad und eine Kategorie zu.

  5. Wählen Sie unter Sitzungssteuerungstypdie Option Dateidownload steuern (mit Überprüfung) aus. Diese Einstellung bietet Ihnen die Möglichkeit, alles zu überwachen, was Ihre Benutzer innerhalb einer Salesforce-Sitzung tun, und sie haben die Möglichkeit, Downloads in Echtzeit zu blockieren und zu schützen.

  6. Wählen Sie unter Aktivitätsquelle im Abschnitt Aktivitäten, die allen der folgenden Elemente entsprechen , die Filter aus:

    • Gerätetag: Wählen Sie Nicht gleich aus. und wählen Sie dann Intune konform, hybrid in Azure AD eingebunden oder Gültiges Clientzertifikat aus. Ihre Auswahl hängt von der Methode ab, die in Ihrem organization zum Identifizieren verwalteter Geräte verwendet wird.

    • App: Wählen Sie Automatisiertes Azure AD-Onboarding>entspricht>Salesforce aus.

  7. Alternativ können Sie die Downloads für Standorte blockieren, die nicht Teil Ihres Unternehmensnetzwerks sind. Legen Sie unter Aktivitätsquelle im Abschnitt Aktivitäten, die allen der folgenden Elemente entsprechen , die folgenden Filter fest:

    • IP-Adresse oder Standort: Verwenden Sie einen dieser beiden Parameter, um nicht unternehmenseigene oder unbekannte Standorte zu identifizieren, von denen ein Benutzer möglicherweise auf vertrauliche Daten zugreifen möchte.

    Hinweis

    Wenn Sie Downloads sowohl von nicht verwalteten Geräten als auch von Nicht-Unternehmensstandorten blockieren möchten, müssen Sie zwei Sitzungsrichtlinien erstellen. Eine Richtlinie legt die Aktivitätsquelle mithilfe des Speicherorts fest. Die andere Richtlinie legt die Aktivitätsquelle auf nicht verwaltete Geräte fest.

    • App: Wählen Sie Automatisiertes Azure AD-Onboarding>entspricht>Salesforce aus.

  8. Legen Sie unter Aktivitätsquelle im Abschnitt Dateien, die allen der folgenden Elemente entsprechen , die folgenden Filter fest:

    • Vertraulichkeitsbezeichnungen: Wenn Sie Vertraulichkeitsbezeichnungen aus Microsoft Purview Information Protection verwenden, filtern Sie die Dateien basierend auf einer bestimmten Microsoft Purview Information Protection Vertraulichkeitsbezeichnung.

    • Wählen Sie Dateiname oder Dateityp aus, um Einschränkungen basierend auf dem Dateinamen oder Typ anzuwenden.

  9. Aktivieren Sie die Inhaltsüberprüfung , damit die interne DLP Ihre Dateien auf vertrauliche Inhalte überprüfen kann.

  10. Wählen Sie unter Aktionen die Option Blockieren aus. Passen Sie die Blockierungsmeldung an, die Ihre Benutzer erhalten, wenn sie keine Dateien herunterladen können.

  11. Konfigurieren Sie die Warnungen, die Sie erhalten möchten, wenn die Richtlinie abgeglichen wird, z. B. einen Grenzwert, damit Sie nicht zu viele Warnungen erhalten, und ob Sie die Warnungen als E-Mail erhalten möchten.

  12. Wählen Sie Erstellen aus.

Überprüfen Ihrer Richtlinie

  1. Um den blockierten Dateidownload von einem nicht verwalteten Gerät oder einem nicht unternehmenseigenen Netzwerkspeicherort zu simulieren, melden Sie sich bei der App an. Versuchen Sie dann, eine Datei herunterzuladen.

  2. Die Datei sollte blockiert werden, und Sie sollten die zuvor definierte Nachricht unter Blocknachrichten anpassen erhalten.

  3. Navigieren Sie im Microsoft Defender Portal unter Cloud-Apps zu Richtlinien, und wählen Sie dann Richtlinienverwaltung aus. Wählen Sie dann die Richtlinie aus, die Sie erstellt haben, um den Richtlinienbericht anzuzeigen. Eine Sitzungsrichtlinien-Übereinstimmung sollte in Kürze angezeigt werden.

  4. Im Richtlinienbericht sehen Sie, welche Anmeldungen zur Sitzungssteuerung an Microsoft Defender for Cloud Apps umgeleitet wurden und welche Dateien von den überwachten Sitzungen heruntergeladen oder blockiert wurden.

Nächste Schritte

Erstellen einer Zugriffsrichtlinie

Erstellen einer Sitzungsrichtlinie

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.