Jaa

Opetusohjelma: Edellytä vaiheittaista todennusta (todennuskonteksti) riskialttiiden toimien yhteydessä

  • Artikkeli

IT-järjestelmänvalvojana olet tänään jumissa kiven ja kovan paikan välissä. Haluat antaa työntekijöillesi mahdollisuuden olla tuottavia. Tämä tarkoittaa sitä, että työntekijät voivat käyttää sovelluksia, jotta he voivat työskennellä milloin tahansa millä tahansa laitteella. Haluat kuitenkin suojata yrityksen omaisuutta, mukaan lukien omistusoikeudellisia ja etuoikeutettuja tietoja. Miten voit antaa työntekijöille mahdollisuuden käyttää pilvisovelluksiasi samalla, kun suojaat tietojasi?

Tämän opetusohjelman avulla voit arvioida uudelleen Microsoft Entra ehdollisten käyttöoikeuksien käytäntöjä, kun käyttäjät tekevät arkaluontoisia toimintoja istunnon aikana.

Uhka

Työntekijä kirjautui SharePoint Onlineen yrityksen toimistosta. Saman istunnon aikana heidän IP-osoitteensa rekisteröitiin yritysverkon ulkopuolella. Ehkä he menivät kahvilaan alakerrassa, - tai ehkä pahantahtoinen hyökkääjä vaaransi tai varasti heidän tunnuksensa.

Ratkaisu

Suojaa organisaatiotasi edellyttämällä Microsoft Entra ehdollisten käyttöoikeuskäytäntöjen uudelleenarviointia arkaluontoisten istuntotoimintojen aikana, Defender for Cloud Apps ehdollisten käyttöoikeuksien sovellusten hallintaa.

Ennakkovaatimukset

  • Microsoft Entra ID P1 -käyttöoikeuden kelvollinen käyttöoikeus

  • Pilvisovellus, tässä tapauksessa SharePoint Online, on määritetty Microsoft Entra ID-sovellukseksi ja kertakirjautumisen avulla SAML 2.0:n tai OpenID Connectin kautta

  • Varmista, että sovellus on otettu käyttöön Defender for Cloud Apps

Vaiheittaisen todentamisen pakottamiskäytännön luominen

Defender for Cloud Apps istuntokäytäntöjen avulla voit rajoittaa istuntoa laitteen tilan perusteella. Voit hallita istuntoa käyttämällä sen laitetta ehtona luomalla sekä ehdollisen käyttöoikeuden käytännön että istuntokäytännön.

Käytännön luominen:

  1. Siirry Microsoft Defender-portaalin Pilvisovellukset-kohdassa kohtaan Käytännöt –>Käytäntöjen hallinta.

  2. Valitse Käytännöt-sivullaLuo käytäntö ja sen jälkeen Istuntokäytäntö.

  3. Anna käytännöllesi nimi ja kuvaus Luo istuntokäytäntö -sivulla. Esimerkiksi Vaadi vaiheittaista todennusta latauksille SharePoint Onlinesta hallitsemattomista laitteista.

  4. Määritä käytännön vakavuus ja luokka.

  5. Valitse Istunnon hallinta -tyypiksiEstä toimet,Hallitsetiedoston lataamista (tarkastuksen yhteydessä),Hallitse tiedoston lataamista (tarkastuksen yhteydessä).

  6. Valitse Toimintalähde-kohdastaToiminnot, jotka vastaavat kaikkea seuraavaa osiota, suodattimet:

    • Laitetunniste: Valitse Ei ole yhtä suuri kuin ja valitse sitten Intune yhteensopiva, Microsoft Entra yhdistelmäliittämä tai Kelvollinen asiakasvarmenne. Valintasi riippuu organisaatiossa käytetystä menetelmästä hallittujen laitteiden tunnistamiseen.

    • Sovellus: Valitse Automatisoitu Azure AD perehdytys ja valitse sitten luettelosta SharePoint Online.

    • Käyttäjät: Valitse käyttäjät, joita haluat valvoa.

  7. Määritä seuraavat suodattimet toimintolähteenkohdassa Tiedostot, jotka vastaavat kaikkia seuraavaa osiota:

    • Luottamuksellisuustunnisteet: Jos käytät Microsoft Purview Information Protection luottamuksellisuustunnisteita, suodata tiedostot tietyn Microsoft Purview Information Protection luottamuksellisuustunnisteen perusteella.

    • Valitse Tiedostonimi tai Tiedostotyyppi , jos haluat käyttää tiedostonimeen tai tyyppiin perustuvia rajoituksia.

  8. Ota sisällön tarkastus käyttöön, jotta sisäinen DLP voi skannata tiedostot luottamuksellisen sisällön osalta.

  9. Valitse Toiminnot-kohdassa Edellytä vaiheittaista todentamista.

    Huomautus

    Tämä edellyttää todennuskontekstin luomista Microsoft Entra ID.

  10. Määritä hälytykset, jotka haluat vastaanottaa, kun käytäntö vastaa toisiaan. Voit määrittää rajoituksen niin, että et saa liikaa ilmoituksia. Valitse, saatko ilmoitukset sähköpostiviestinä.

  11. Valitse Luo.

Vahvista käytäntö

  1. Jos haluat simuloida tätä käytäntöä, kirjaudu sovellukseen hallitsemattomasta laitteesta tai ei-yrityksen verkkosijainnista. Yritä sitten ladata tiedosto.

  2. Sinun on suoritettava todennuskontekstikäytännössä määritetty toiminto.

  3. Siirry Microsoft Defender-portaalin Pilvisovellukset-kohdassa kohtaan Käytännöt –>Käytäntöjen hallinta. Valitse sitten luomasi käytäntö, jotta voit tarkastella käytäntöraporttia. Istuntokäytännön vastaavuus pitäisi näkyä pian.

  4. Käytäntöraportista näet, mitkä kirjautumiset ohjataan Microsoft Defender for Cloud Apps istunnon hallintaan ja mitkä tiedostot on ladattu tai estetty valvotuissa istunnoissa.

Seuraavat vaiheet

Käyttöoikeuskäytännön luominen

Istuntokäytännön luominen

Jos kohtaat ongelmia, olemme täällä auttamassa. Jos haluat apua tai tukea tuoteongelmaasi varten, avaa tukipyyntö.