Opetusohjelma: Luottamuksellisten tietojen lataamisen estäminen ehdollisten käyttöoikeuksien sovellusten hallinnalla

Tämän päivän IT-järjestelmänvalvoja on jumissa kiven ja kovan paikan välissä. Haluat antaa työntekijöillesi mahdollisuuden olla tuottavia. Tämä tarkoittaa sitä, että työntekijät voivat käyttää sovelluksia, jotta he voivat työskennellä milloin tahansa millä tahansa laitteella. Haluat kuitenkin suojata yrityksen omaisuutta, mukaan lukien omistusoikeudellisia ja etuoikeutettuja tietoja. Miten voit antaa työntekijöille mahdollisuuden käyttää pilvisovelluksiasi samalla, kun suojaat tietojasi? Tämän opetusohjelman avulla voit estää niiden käyttäjien lataukset, joilla on pääsy luottamuksellisiin tietoihisi yrityksen pilvisovelluksissa joko hallitsemattomista laitteista tai yrityksen ulkopuolella sijaitsevista verkkosijainneista.

Tässä opetusohjelmassa opit

• Luo Estä lataus -käytäntö hallitsemattomille laitteille
• Vahvista käytäntö

Uhka

Organisaatiosi tilinvalvoja haluaa tarkistaa jotain Salesforcessa kotoaan henkilökohtaisella kannettavalla tietokoneellaan. Salesforce-tiedot voivat sisältää asiakkaan luottokorttitietoja tai henkilökohtaisia tietoja. Kotitietokonetta ei ole hallittu. Jos he lataavat asiakirjoja Salesforcesta tietokoneeseen, se saattaa sisältää haittaohjelmia. Jos laite katoaa tai varastetaan, sitä ei ehkä ole suojattu salasanalla ja kuka tahansa, joka havaitsee sen, voi käyttää luottamuksellisia tietoja.

Tässä tapauksessa käyttäjät kirjautuvat Salesforceen yrityksen tunnistetiedoilla Microsoft Entra ID kautta.

Ratkaisu

Suojaa organisaatiosi valvomalla ja hallitsemalla pilvisovellusten käyttöä ehdollisten käyttöoikeuksien Defender for Cloud Apps avulla.

Ennakkovaatimukset

• Microsoft Entra ID P1 -käyttöoikeuden kelvollinen käyttöoikeus tai tunnistetietopalvelusi (IdP) vaatima käyttöoikeus
• Salesforcen Microsoft Entra ehdollinen käyttöoikeuskäytäntö
• Salesforce määritetty Microsoft Entra ID sovellukseksi

Luo Estä lataus -käytäntö hallitsemattomille laitteille

Tässä ohjeartikkelissa kuvataan, miten luodaan vain Defender for Cloud Apps istuntokäytäntö, jonka avulla voit rajoittaa istuntoa laitteen tilan perusteella.

Jos haluat hallita istuntoa käyttämällä laitetta ehtona, sinun on luotava myös Defender for Cloud Apps käyttöoikeuskäytäntö. Lisätietoja on artikkelissa Microsoft Defender for Cloud Apps -käyttöoikeuskäytäntöjen luominen.

Istuntokäytännön luominen

1. Valitse Microsoft Defender-portaalinPilvisovellukset-kohdastaKäytäntöjen>käytäntöjen hallinta.

2. Valitse Käytännöt-sivullaLuo käytäntö>Istuntokäytäntö.

3. Anna käytännöllesi nimi ja kuvaus Luo istuntokäytäntö -sivulla. Voit esimerkiksi estää lataukset Salesforcesta hallitsemattomille laitteille.

4. Määritä käytännön vakavuus ja luokka.

5. Valitse Istunnon hallinta -tyypiksiOhjausobjektitiedoston lataaminen (tarkastuksissa). Tämän asetuksen avulla voit valvoa kaikkea, mitä käyttäjät tekevät Salesforce-istunnossa, ja voit estää ja suojata lataukset reaaliaikaisesti.

6. Valitse Toimintalähde-kohdastaToiminnot, jotka vastaavat kaikkia seuraavaa osiota,suodattimet:

   • Laitetunniste: Valitse Ei ole yhtä suuri kuin. ja valitse sitten Intune yhteensopiva, Yhdistelmä Azure AD liitetty tai Kelvollinen asiakasvarmenne. Valintasi riippuu organisaatiossa käytetystä menetelmästä hallittujen laitteiden tunnistamiseen.

   • Sovellus: Valitse Automatisoitu Azure AD perehdytys>>on sama kuinSalesforce.

7. Vaihtoehtoisesti voit estää lataukset sijainneista, jotka eivät ole osa yritysverkkoasi. Määritä seuraavat suodattimet Toimintolähde-kohdassaToiminnot, jotka vastaavat kaikkia seuraavaa osiota:

   • IP-osoite tai sijainti: Käytä jompaakumpaa näistä parametreista tunnistamaan muita kuin yrityssijainteja tai tuntemattomia sijainteja, joista käyttäjä saattaa yrittää käyttää luottamuksellisia tietoja.

   Huomautus

   Jos haluat estää lataukset sekä hallitsemattomista laitteista että muista kuin yrityksen sijainneista, sinun on luotava kaksi istuntokäytäntöä. Yksi käytäntö määrittää toimintolähteen sijainnin avulla. Toinen käytäntö määrittää toimintolähteeksi hallitsemattomat laitteet.

   • Sovellus: Valitse Automatisoitu Azure AD perehdytys>>on sama kuinSalesforce.

8. Määritä seuraavat suodattimet toimintolähteenkohdassa Tiedostot, jotka vastaavat kaikkia seuraavaa osiota:

   • Luottamuksellisuustunnisteet: Jos käytät Microsoft Purview Information Protection luottamuksellisuustunnisteita, suodata tiedostot tietyn Microsoft Purview Information Protection luottamuksellisuustunnisteen perusteella.

   • Valitse Tiedostonimi tai Tiedostotyyppi , jos haluat käyttää tiedostonimeen tai tyyppiin perustuvia rajoituksia.

9. Ota sisällön tarkastus käyttöön, jotta sisäinen DLP voi skannata tiedostot luottamuksellisen sisällön osalta.

10. Valitse Toiminnot-kohdastalohko. Mukauta estävä sanoma, jonka käyttäjät saavat, kun he eivät voi ladata tiedostoja.

11. Määritä hälytykset, jotka haluat vastaanottaa, kun käytäntöä verrataan, kuten raja, jotta et saa liikaa ilmoituksia, ja haluatko saada hälytykset sähköpostiviestinä.

12. Valitse Luo.

Vahvista käytäntö

1. Simuloi estettyjen tiedostojen lataamista hallitsemattomasta laitteesta tai yrityksen ulkopuolisesta verkkosijainnista kirjautumalla sisään sovellukseen. Yritä sitten ladata tiedosto.

2. Tiedosto on estettävä, ja sinun pitäisi saada aiemmin määrittämäsi viesti kohdassa Mukauta estoviestejä.

3. Siirry Microsoft Defender-portaalinPilvisovellukset-kohdassakohtaan Käytännöt ja valitse sitten Käytäntöjen hallinta. Valitse sitten luomasi käytäntö, jotta voit tarkastella käytäntöraporttia. Istuntokäytännön vastaavuus pitäisi näkyä pian.

4. Käytäntöraportissa näet, mitkä kirjautumiset on ohjattu Microsoft Defender for Cloud Apps istunnon hallintaan ja mitkä tiedostot on ladattu tai estetty valvotuissa istunnoissa.

Seuraavat vaiheet

Käyttöoikeuskäytännön luominen

Istuntokäytännön luominen

Jos kohtaat ongelmia, olemme täällä auttamassa. Jos haluat apua tai tukea tuoteongelmaasi varten, avaa tukipyyntö.