Compartir a través de

Tutorial: Requerir autenticación paso a paso (contexto de autenticación) tras una acción de riesgo

  • Artículo

Hoy en día, como administrador de TI, está atascado entre una roca y un lugar difícil. A usted le interesa que sus empleados sean productivos. Eso implica permitir que los empleados tengan acceso a aplicaciones para poder trabajar en cualquier momento y desde cualquier dispositivo. Sin embargo, debe proteger los activos de la empresa, incluida la información de propiedad y la privilegiada. ¿Cómo puede dar acceso a los empleados a las aplicaciones en la nube y proteger los datos al mismo tiempo?

Este tutorial le permite volver a evaluar Microsoft Entra directivas de acceso condicional cuando los usuarios realizan acciones confidenciales durante una sesión.

La amenaza

Un empleado ha iniciado sesión en SharePoint Online desde la oficina corporativa. Durante la misma sesión, su dirección IP registrada fuera de la red corporativa. Tal vez fueron a la cafetería abajo, o tal vez su token fue comprometido o robado por un atacante malintencionado.

Solución

Proteja su organización exigiendo que Microsoft Entra directivas de acceso condicional se vuelvan a evaluar durante las acciones de sesión confidencial que Defender for Cloud Apps control de aplicación de acceso condicional.

Requisitos previos

  • Una licencia válida para Microsoft Entra ID licencia P1

  • La aplicación en la nube, en este caso SharePoint Online, configurada como una aplicación Microsoft Entra ID y mediante SSO a través de SAML 2.0 o OpenID Connect

  • Asegúrese de que la aplicación está implementada en Defender for Cloud Apps

Creación de una directiva para aplicar la autenticación paso a paso

Defender for Cloud Apps directivas de sesión le permiten restringir una sesión en función del estado del dispositivo. Para realizar el control de una sesión con su dispositivo como condición, cree una directiva de acceso condicional y una directiva de sesión.

Para crear la directiva:

  1. En Microsoft Defender Portal, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas.

  2. En la página Directivas , seleccione Crear directiva seguida de Directiva de sesión.

  3. En la página Crear directiva de sesión , asigne un nombre y una descripción a la directiva. Por ejemplo, Requerir autenticación paso a paso en las descargas de SharePoint Online desde dispositivos no administrados.

  4. Asigne una gravedad de directiva y una categoría.

  5. Para el tipo de control De sesión, seleccione Bloquear actividades,Controle la carga de archivos (con inspección),Controle la descarga de archivos (con inspección).

  6. En Origen de actividad en la sección Actividades que coinciden con todas las siguientes , seleccione los filtros:

    • Etiqueta de dispositivo: seleccione No es igual y, a continuación, seleccione Intune compatible, Microsoft Entra certificado de cliente híbrido unido o Válido. La selección depende del método usado en la organización para identificar dispositivos administrados.

    • Aplicación: seleccione Incorporación automatizada de Azure AD y, a continuación, seleccione SharePoint Online en la lista.

    • Usuarios: seleccione los usuarios que desea supervisar.

  7. En Origen de actividad en la sección Archivos que coinciden con toda la sección siguiente , establezca los filtros siguientes:

    • Etiquetas de confidencialidad: si usa etiquetas de confidencialidad de Microsoft Purview Information Protection, filtre los archivos en función de una etiqueta de confidencialidad Microsoft Purview Information Protection específica.

    • Seleccione Nombre de archivo o Tipo de archivo para aplicar restricciones basadas en el nombre o tipo de archivo.

  8. Habilite la inspección de contenido para permitir que dlp interno examine los archivos en busca de contenido confidencial.

  9. En Acciones, seleccione Requerir autenticación paso a paso.

    Nota:

    Esto requiere que el contexto de autenticación se cree en Microsoft Entra ID.

  10. Establezca las alertas que desea recibir cuando se coincida con la directiva. Puede establecer un límite para que no reciba demasiadas alertas. Seleccione si desea obtener las alertas como un mensaje de correo electrónico.

  11. Seleccione Crear.

Validación de la directiva

  1. Para simular esta directiva, inicie sesión en la aplicación desde un dispositivo no administrado o desde una ubicación de red no corporativa. A continuación, intente descargar un archivo.

  2. Debe tener que realizar la acción configurada en la directiva de contexto de autenticación.

  3. En Microsoft Defender Portal, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas. A continuación, seleccione la directiva que ha creado para ver el informe de directivas. Una coincidencia de directiva de sesión debería aparecer en breve.

  4. En el informe de directivas, puede ver qué inicios de sesión se redirigen a Microsoft Defender for Cloud Apps para el control de sesión y qué archivos se descargaron o bloquearon de las sesiones supervisadas.

Pasos siguientes

Creación de una directiva de acceso

Creación de una directiva de sesión

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.