Samouczek: blokowanie pobierania informacji poufnych za pomocą kontroli aplikacji dostępu warunkowego
Dzisiejszy administrator IT utknął między skałą a twardym miejscem. Chcesz umożliwić pracownikom wydajną pracę. Oznacza to umożliwienie pracownikom dostępu do aplikacji, aby mogli pracować w dowolnym momencie z dowolnego urządzenia. Chcesz jednak chronić zasoby firmy, w tym informacje zastrzeżone i uprzywilejowane. Jak umożliwić pracownikom dostęp do aplikacji w chmurze przy jednoczesnej ochronie danych? Ten samouczek umożliwia blokowanie pobierania danych przez użytkowników mających dostęp do poufnych danych w aplikacjach w chmurze przedsiębiorstwa z urządzeń niezarządzanych lub poza firmowymi lokalizacjami sieciowymi.
Z tego samouczka dowiesz się, jak wykonywać następujące czynności:
Zagrożenie
Menedżer kont w organizacji chce sprawdzić coś w usłudze Salesforce z domu w weekend, na swoim osobistym laptopie. Dane usługi Salesforce mogą zawierać informacje o karcie kredytowej klienta lub dane osobowe. Komputer domowy jest niezarządzany. Jeśli pobierają dokumenty z usługi Salesforce na komputer, mogą zostać zainfekowane złośliwym oprogramowaniem. Jeśli urządzenie zostanie utracone lub skradzione, może nie być chronione hasłem, a każdy, kto je znajdzie, ma dostęp do poufnych informacji.
W takim przypadku użytkownicy logują się do usługi Salesforce przy użyciu poświadczeń firmowych za pośrednictwem Tożsamość Microsoft Entra.
Rozwiązanie
Chroń swoją organizację, monitorując i kontrolując użycie aplikacji w chmurze za pomocą Defender for Cloud Apps kontroli aplikacji dostępu warunkowego.
Wymagania wstępne
- Ważna licencja na licencję Tożsamość Microsoft Entra P1 lub licencja wymagana przez dostawcę tożsamości (IdP)
- Zasady dostępu warunkowego Microsoft Entra dla usługi Salesforce
- Usługa Salesforce skonfigurowana jako aplikacja Tożsamość Microsoft Entra
Tworzenie zasad pobierania bloku dla urządzeń niezarządzanych
W tej procedurze opisano sposób tworzenia tylko zasad sesji Defender for Cloud Apps, co pozwala ograniczyć sesję na podstawie stanu urządzenia.
Aby kontrolować sesję przy użyciu urządzenia jako warunku, należy również utworzyć zasady dostępu Defender for Cloud Apps. Aby uzyskać więcej informacji, zobacz Tworzenie zasad dostępu Microsoft Defender for Cloud Apps.
Aby utworzyć zasady sesji
W portalu Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Zarządzanie zasadami>.
Na stronie Zasady wybierz pozycję Utwórzzasady sesjizasad>.
Na stronie Tworzenie zasad sesji nadaj zasadom nazwę i opis. Na przykład blokuj pobieranie z usługi Salesforce dla urządzeń niezarządzanych.
Przypisz ważność zasad i kategorię.
W polu Typ kontrolki Sesja wybierz pozycję Pobierz plik kontrolny (z inspekcją). To ustawienie umożliwia monitorowanie wszystkich czynności użytkowników w ramach sesji usługi Salesforce i zapewnia kontrolę nad blokowaniem i ochroną pobierania w czasie rzeczywistym.
W obszarze Źródło działania w sekcji Działania pasujące do wszystkich poniższych wybierz filtry:
Tag urządzenia: wybierz pozycję Nie równa się. a następnie wybierz pozycję Intune zgodne, przyłączone Azure AD hybrydowe lub Prawidłowy certyfikat klienta. Wybór zależy od metody używanej w organizacji do identyfikowania urządzeń zarządzanych.
Aplikacja: wybierz pozycję Automatyczne dołączanie> Azure ADrówna się>usłudze Salesforce.
Możesz też zablokować pobieranie lokalizacji, które nie są częścią sieci firmowej. W obszarze Źródło działania w obszarze Działania pasujące do wszystkich poniższych sekcji ustaw następujące filtry:
- Adres IP lub lokalizacja: użyj jednego z tych dwóch parametrów, aby zidentyfikować lokalizacje inne niż firmowe lub nieznane, z których użytkownik może próbować uzyskać dostęp do poufnych danych.
Uwaga
Jeśli chcesz zablokować pobieranie z urządzeń niezarządzanych i lokalizacji innych niż firmowe, musisz utworzyć dwie zasady sesji. Jedna zasada ustawia źródło działania przy użyciu lokalizacji. Inne zasady ustawiają źródło działania na urządzenia niezarządzane.
- Aplikacja: wybierz pozycję Automatyczne dołączanie> Azure ADrówna się>usłudze Salesforce.
W obszarze Źródło działania w sekcji Pliki pasujące do wszystkich poniższych sekcji ustaw następujące filtry:
Etykiety poufności: jeśli używasz etykiet poufności z Microsoft Purview Information Protection, przefiltruj pliki na podstawie określonej etykiety poufności Microsoft Purview Information Protection.
Wybierz pozycję Nazwa pliku lub Typ pliku , aby zastosować ograniczenia na podstawie nazwy lub typu pliku.
Włącz inspekcję zawartości , aby umożliwić wewnętrzne dlp skanowanie plików pod kątem zawartości poufnej.
W obszarze Akcje wybierz pozycję blokuj. Dostosuj komunikat blokujący, który użytkownicy otrzymują, gdy nie mogą pobrać plików.
Skonfiguruj alerty, które chcesz otrzymywać po dopasowaniu zasad, na przykład limit, aby nie otrzymywać zbyt wielu alertów i czy chcesz uzyskać alerty jako wiadomość e-mail.
Wybierz pozycję Utwórz.
Weryfikowanie zasad
Aby symulować pobieranie zablokowanych plików z urządzenia niezarządzanego lub lokalizacji sieciowej innej niż firmowa, zaloguj się do aplikacji. Następnie spróbuj pobrać plik.
Plik powinien zostać zablokowany i powinien zostać wyświetlony wcześniej zdefiniowany komunikat w obszarze Dostosowywanie komunikatów blokowych.
W portalu Microsoft Defender w obszarze Aplikacje w chmurze przejdź do pozycji Zasady, a następnie wybierz pozycję Zarządzanie zasadami. Następnie wybierz utworzone zasady, aby wyświetlić raport zasad. Wkrótce powinno zostać wyświetlone dopasowanie zasad sesji.
W raporcie zasad można zobaczyć, które logowania zostały przekierowane do Microsoft Defender for Cloud Apps kontroli sesji oraz które pliki zostały pobrane lub zablokowane z monitorowanych sesji.
Następne kroki
Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.