Zelfstudie: Het downloaden van gevoelige informatie blokkeren met app-beheer voor voorwaardelijke toegang
De IT-beheerder van vandaag zit vast tussen een rots en een harde plek. U wilt uw werknemers in staat stellen productief te zijn. Dat betekent dat werknemers toegang hebben tot apps, zodat ze op elk moment, vanaf elk apparaat, kunnen werken. U wilt echter de activa van het bedrijf beschermen, inclusief bedrijfseigen en bevoorrechte informatie. Hoe kunt u werknemers toegang geven tot uw cloud-apps terwijl ze uw gegevens beschermen? In deze zelfstudie kunt u downloads blokkeren door gebruikers die toegang hebben tot uw gevoelige gegevens in zakelijke cloud-apps vanaf onbeheerde apparaten of externe netwerklocaties.
In deze zelfstudie leert u het volgende:
De bedreiging
Een accountmanager in uw organisatie wil in het weekend iets in Salesforce controleren vanuit huis, op zijn of haar persoonlijke laptop. De Salesforce-gegevens kunnen creditcardgegevens van klanten of persoonlijke gegevens bevatten. De thuis-pc is niet beheerd. Als ze documenten downloaden van Salesforce naar de pc, is deze mogelijk geïnfecteerd met malware. Als het apparaat verloren of gestolen is, is het mogelijk niet beveiligd met een wachtwoord en heeft iedereen die het vindt toegang tot gevoelige informatie.
In dit geval melden uw gebruikers zich via Microsoft Entra ID aan bij Salesforce met hun bedrijfsreferenties.
De oplossing
Bescherm uw organisatie door het gebruik van cloud-apps te bewaken en te beheren met Defender for Cloud Apps app-beheer voor voorwaardelijke toegang.
Vereisten
- Een geldige licentie voor Microsoft Entra ID P1-licentie of de licentie die is vereist voor uw id-provideroplossing (IdP)
- Een Microsoft Entra beleid voor voorwaardelijke toegang voor Salesforce
- Salesforce geconfigureerd als een Microsoft Entra ID-app
Een beleid voor het blokkeren van downloads maken voor niet-beheerde apparaten
In deze procedure wordt beschreven hoe u alleen een Defender for Cloud Apps sessiebeleid maakt, waarmee u een sessie kunt beperken op basis van de status van een apparaat.
Als u een sessie wilt beheren met een apparaat als voorwaarde, moet u ook een Defender for Cloud Apps-toegangsbeleid maken. Zie Microsoft Defender for Cloud Apps toegangsbeleid maken voor meer informatie.
Uw sessiebeleid maken
Selecteer in de Microsoft Defender Portal onder Cloud-appsde optie Beleidsbeheer>.
Selecteer op de pagina Beleidde optie Beleid>maken Sessiebeleid.
Geef op de pagina Sessiebeleid maken een naam en beschrijving op voor uw beleid. U kunt bijvoorbeeld downloads van Salesforce blokkeren voor onbeheerde apparaten.
Wijs de ernst van het beleid en categorie toe.
Selecteer voor het type Sessiebeheerde optie Download van besturingselementbestand (met inspectie). Met deze instelling kunt u alles controleren wat uw gebruikers doen in een Salesforce-sessie en kunt u downloads in realtime blokkeren en beveiligen.
Selecteer onder Activiteitsbron in de sectie Activiteiten die overeenkomen met alle volgende filters:
Apparaattag: Selecteer Niet gelijk aan. en selecteert u vervolgens Intune compatibel, Hybride Azure AD toegevoegd of Geldig clientcertificaat. Uw selectie is afhankelijk van de methode die in uw organisatie wordt gebruikt voor het identificeren van beheerde apparaten.
App: selecteer Geautomatiseerde Azure AD onboarding>is gelijk aan>Salesforce.
U kunt ook de downloads blokkeren voor locaties die geen deel uitmaken van uw bedrijfsnetwerk. Stel onder Activiteitsbron in de sectie Activiteiten die overeenkomen met alle volgende filters in:
- IP-adres of locatie: gebruik een van deze twee parameters om niet-zakelijke of onbekende locaties te identificeren, van waaruit een gebruiker mogelijk toegang probeert te krijgen tot gevoelige gegevens.
Opmerking
Als u downloads van onbeheerde apparaten en niet-zakelijke locaties wilt blokkeren, moet u twee sessiebeleidsregels maken. Eén beleid stelt de activiteitsbron in op basis van de locatie. Met het andere beleid wordt de activiteitsbron ingesteld op niet-beheerde apparaten.
- App: selecteer Geautomatiseerde Azure AD onboarding>is gelijk aan>Salesforce.
Stel onder Activiteitsbron in de sectie Bestanden die overeenkomen met alle volgende filters in:
Vertrouwelijkheidslabels: als u vertrouwelijkheidslabels uit Microsoft Purview Informatiebeveiliging gebruikt, filtert u de bestanden op basis van een specifiek Microsoft Purview Informatiebeveiliging vertrouwelijkheidslabel.
Selecteer Bestandsnaam of Bestandstype om beperkingen toe te passen op basis van bestandsnaam of type.
Schakel Inhoudsinspectie in om de interne DLP in te schakelen om uw bestanden te scannen op gevoelige inhoud.
Selecteer blokkeren onder Acties. Pas het blokkeringsbericht aan dat uw gebruikers krijgen wanneer ze geen bestanden kunnen downloaden.
Configureer de waarschuwingen die u wilt ontvangen wanneer het beleid overeenkomt, zoals een limiet zodat u niet te veel waarschuwingen ontvangt en of u de waarschuwingen als e-mail wilt ontvangen.
Selecteer Maken.
Uw beleid valideren
Meld u aan bij de app om het geblokkeerde downloaden van bestanden te simuleren vanaf een onbeheerd apparaat of een niet-bedrijfsnetwerklocatie. Probeer vervolgens een bestand te downloaden.
Het bestand moet worden geblokkeerd en u moet het bericht ontvangen dat u eerder hebt gedefinieerd, onder Blokberichten aanpassen.
Ga in de Microsoft Defender Portal onder Cloud-apps naar Beleid en selecteer vervolgens Beleidsbeheer. Selecteer vervolgens het beleid dat u hebt gemaakt om het beleidsrapport weer te geven. Er moet binnenkort een overeenkomst voor het sessiebeleid worden weergegeven.
In het beleidsrapport kunt u zien welke aanmeldingen zijn omgeleid naar Microsoft Defender for Cloud Apps voor sessiebeheer en welke bestanden zijn gedownload of geblokkeerd vanuit de bewaakte sessies.
Volgende stappen
Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.