Tutorial: Bloquear la descarga de información confidencial con el control de aplicaciones de acceso condicional
Los administradores de TI se encuentran hoy en día entre la espada y la pared. A usted le interesa que sus empleados sean productivos. Eso implica permitir que los empleados tengan acceso a aplicaciones para poder trabajar en cualquier momento y desde cualquier dispositivo. Sin embargo, debe proteger los activos de la empresa, incluida la información de propiedad y la privilegiada. ¿Cómo puede dar acceso a los empleados a las aplicaciones en la nube y proteger los datos al mismo tiempo? Este tutorial le enseñará cómo bloquear descargas de los usuarios que tienen acceso a los datos confidenciales en las aplicaciones empresariales en la nube desde dispositivos no administrados o ubicaciones de red ajenas a la empresa.
En este tutorial, aprenderá a:
La amenaza
Un administrador de cuentas de su organización quiere comprobar algo en Salesforce desde casa durante el fin de semana, en su portátil personal. Los datos de Salesforce pueden incluir información de tarjeta de crédito del cliente o información personal. El equipo principal no está administrado. Si descargan documentos de Salesforce en el equipo, podría estar infectado con malware. En caso de pérdida o robo del dispositivo, es posible que no esté protegido con contraseña y que cualquier persona que lo encuentre tenga acceso a información confidencial.
En este caso, los usuarios inician sesión en Salesforce con sus credenciales corporativas, a través de Microsoft Entra ID.
Solución
Proteja su organización mediante la supervisión y el control del uso de aplicaciones en la nube con Defender for Cloud Apps control de aplicaciones de acceso condicional.
Requisitos previos
- Una licencia válida para Microsoft Entra ID licencia P1 o la licencia requerida por la solución del proveedor de identidades (IdP)
- Una directiva de acceso condicional de Microsoft Entra para Salesforce
- Salesforce configurado como una aplicación Microsoft Entra ID
Crear una directiva de bloqueo de descargas para dispositivos no administrados
En este procedimiento se describe cómo crear solo una directiva de sesión de Defender for Cloud Apps, lo que permite restringir una sesión en función del estado de un dispositivo.
Para controlar una sesión con un dispositivo como condición, también debe crear una directiva de acceso Defender for Cloud Apps. Para obtener más información, vea Crear directivas de acceso Microsoft Defender for Cloud Apps.
Para crear la directiva de sesión
En Microsoft Defender Portal, en Aplicaciones en la nube, seleccioneAdministración de directivas>.
En la página Directivas , seleccione Crear directiva>Directiva de sesión.
En la página Crear directiva de sesión , asigne un nombre y una descripción a la directiva. Por ejemplo, Bloquear descargas de Salesforce para dispositivos no administrados.
Asigne una gravedad de directiva y una categoría.
En Tipo de control de sesión, seleccione Control de descarga de archivos (con inspección). Esta configuración le ofrece la capacidad de supervisar todo lo que hacen los usuarios dentro de una sesión de Salesforce y le proporciona control para bloquear y proteger las descargas en tiempo real.
En Origen de actividad en la sección Actividades que coinciden con todas las siguientes , seleccione los filtros:
Etiqueta de dispositivo: seleccione No es igual. y, a continuación, seleccione Intune compatible, Unido a Azure AD híbrido o Certificado de cliente válido. La selección depende del método usado en la organización para identificar dispositivos administrados.
Aplicación: seleccione Automated Azure AD onboardingEquals >Salesforce (Incorporación automatizada de Azure ADes iguala > Salesforce).
Como alternativa, puede bloquear las descargas de las ubicaciones que no forman parte de la red corporativa. En Origen de actividad en la sección Actividades que coinciden con todas las siguientes , establezca los filtros siguientes:
- Dirección IP o ubicación: use cualquiera de estos dos parámetros para identificar ubicaciones no corporativas o desconocidas, desde las que un usuario podría estar intentando acceder a datos confidenciales.
Nota:
Si desea bloquear las descargas desde dispositivos no administrados y ubicaciones no corporativas, debe crear dos directivas de sesión. Una directiva establece el origen de actividad mediante la ubicación. La otra directiva establece el origen de actividad en dispositivos no administrados.
- Aplicación: seleccione Automated Azure AD onboardingEquals >Salesforce (Incorporación automatizada de Azure ADes iguala > Salesforce).
En Origen de actividad en la sección Archivos que coinciden con toda la sección siguiente , establezca los filtros siguientes:
Etiquetas de confidencialidad: si usa etiquetas de confidencialidad de Microsoft Purview Information Protection, filtre los archivos en función de una etiqueta de confidencialidad Microsoft Purview Information Protection específica.
Seleccione Nombre de archivo o Tipo de archivo para aplicar restricciones basadas en el nombre o tipo de archivo.
Habilite la inspección de contenido para permitir que dlp interno examine los archivos en busca de contenido confidencial.
En Acciones, seleccione Bloquear. Personalice el mensaje de bloqueo que reciben los usuarios cuando no pueden descargar archivos.
Configure las alertas que desea recibir cuando se coincida con la directiva, como un límite para que no reciba demasiadas alertas y si desea obtener las alertas como correo electrónico.
Seleccione Crear.
Validación de la directiva
Para simular la descarga de archivos bloqueados, desde un dispositivo no administrado o una ubicación de red no corporativa, inicie sesión en la aplicación. A continuación, intente descargar un archivo.
El archivo debe bloquearse y debería recibir el mensaje que definió anteriormente, en Personalizar mensajes de bloque.
En Microsoft Defender Portal, en Aplicaciones en la nube, vaya a Directivas y, a continuación, seleccione Administración de directivas. A continuación, seleccione la directiva que ha creado para ver el informe de directivas. Una coincidencia de directiva de sesión debería aparecer en breve.
En el informe de directivas, puede ver qué inicios de sesión se redirigiron a Microsoft Defender for Cloud Apps para el control de sesión y qué archivos se descargaron o bloquearon de las sesiones supervisadas.
Pasos siguientes
Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.