Esercitazione: Bloccare il download di informazioni riservate con il controllo dell'app per l'accesso condizionale
L'amministratore IT di oggi è bloccato tra un posto difficile e uno difficile. Si vuole consentire ai dipendenti di essere produttivi. Ciò significa consentire ai dipendenti di accedere alle app in modo che possano lavorare in qualsiasi momento, da qualsiasi dispositivo. Tuttavia, si vuole proteggere gli asset dell'azienda, incluse le informazioni proprietarie e privilegiate. Come è possibile consentire ai dipendenti di accedere alle app cloud proteggendo al tempo stesso i dati? Questa esercitazione consente di bloccare i download da parte degli utenti che hanno accesso ai dati sensibili nelle app cloud aziendali da dispositivi non gestiti o da posizioni di rete non aziendali.
In questa esercitazione si apprenderà come:
La minaccia
Un account manager dell'organizzazione vuole controllare qualcosa in Salesforce da casa durante il fine settimana, sul proprio portatile personale. I dati di Salesforce possono includere informazioni sulla carta di credito client o informazioni personali. Il PC principale non è gestito. Se scaricano documenti da Salesforce sul PC, potrebbe essere infettato da malware. Se il dispositivo viene smarrito o rubato, potrebbe non essere protetto da password e chiunque lo trovi abbia accesso a informazioni riservate.
In questo caso, gli utenti accedono a Salesforce usando le proprie credenziali aziendali, tramite Microsoft Entra ID.
Soluzione
Proteggere l'organizzazione monitorando e controllando l'uso delle app cloud con Defender for Cloud Apps controllo delle app per l'accesso condizionale.
Prerequisiti
- Una licenza valida per Microsoft Entra ID licenza P1 o la licenza richiesta dalla soluzione IdP (Identity Provider)
- Criteri di accesso condizionale Microsoft Entra per Salesforce
- Salesforce configurato come app Microsoft Entra ID
Crea un criterio del blocco di scaricamento per i dispositivi non gestiti
Questa procedura descrive come creare solo un criterio di sessione Defender for Cloud Apps, che consente di limitare una sessione in base allo stato di un dispositivo.
Per controllare una sessione usando un dispositivo come condizione, è anche necessario creare un criterio di accesso Defender for Cloud Apps. Per altre informazioni, vedere Creare criteri di accesso Microsoft Defender for Cloud Apps.
Per creare i criteri di sessione
Nel portale Microsoft Defenderselezionare>Gestione criteri in App cloud.
Nella pagina Criteri selezionare Crea criteri>di sessione.
Nella pagina Crea criteri sessione assegnare un nome e una descrizione ai criteri. Ad esempio, Blocca i download da Salesforce per i dispositivi non gestiti.
Assegnare un livello di gravità e una categoria di criteri.
Per Tipo di controllo sessione selezionare Scarica file di controllo (con ispezione).For the Session control type, select Control file download (with inspection). Questa impostazione consente di monitorare tutte le operazioni eseguite dagli utenti all'interno di una sessione di Salesforce e consente di bloccare e proteggere i download in tempo reale.
In Origine attività nella sezione Attività corrispondente a tutte le sezioni seguenti selezionare i filtri:
Tag del dispositivo: selezionare Non uguale. e quindi selezionare Intune conforme, aggiunto ad Azure AD ibrido o Certificato client valido. La selezione dipende dal metodo usato nell'organizzazione per identificare i dispositivi gestiti.
App: selezionare Onboarding automatizzato di> Azure ADEquals>Salesforce.
In alternativa, è possibile bloccare i download per le posizioni che non fanno parte della rete aziendale. In Origine attività nella sezione Attività corrispondente a tutte le sezioni seguenti impostare i filtri seguenti:
- Indirizzo IP o posizione: usare uno di questi due parametri per identificare posizioni non aziendali o sconosciute, da cui un utente potrebbe provare ad accedere ai dati sensibili.
Nota
Se si vuole bloccare i download da entrambi i dispositivi non gestiti e da posizioni non aziendali, è necessario creare due criteri di sessione. Un criterio imposta l'origine attività usando la posizione. Gli altri criteri impostano l'origine attività su dispositivi non gestiti.
- App: selezionare Onboarding automatizzato di> Azure ADEquals>Salesforce.
In Origine attività nella sezione File corrispondenti a tutte le sezioni seguenti impostare i filtri seguenti:
Etichette di riservatezza: se si usano etichette di riservatezza di Microsoft Purview Information Protection, filtrare i file in base a un'etichetta di riservatezza Microsoft Purview Information Protection specifica.
Selezionare Nome file o Tipo di file per applicare restrizioni in base al nome o al tipo di file.
Abilitare l'ispezione del contenuto per consentire alla prevenzione della perdita dei dati interna di analizzare i file alla ricerca di contenuti sensibili.
In Azioni selezionare Blocca. Personalizzare il messaggio di blocco che gli utenti ricevono quando non sono in grado di scaricare i file.
Configurare gli avvisi che si desidera ricevere quando i criteri vengono confrontati, ad esempio un limite in modo da non ricevere troppi avvisi e se si desidera ricevere gli avvisi come messaggio di posta elettronica.
Selezionare Crea.
Convalidare i criteri
Per simulare il download del file bloccato, da un dispositivo non gestito o da un percorso di rete non aziendale accedere all'app. Provare quindi a scaricare un file.
Il file deve essere bloccato ed è necessario ricevere il messaggio definito in precedenza, in Personalizza messaggi in blocchi.
Nel portale Microsoft Defender, in App cloud, passare a Criteri e quindi selezionare Gestione criteri. Selezionare quindi i criteri creati per visualizzare il report dei criteri. Una corrispondenza dei criteri di sessione dovrebbe essere visualizzata a breve.
Nel report dei criteri è possibile visualizzare quali accessi sono stati reindirizzati a Microsoft Defender for Cloud Apps per il controllo sessione e quali file sono stati scaricati o bloccati dalle sessioni monitorate.
Passaggi successivi
Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.