Udostępnij za pośrednictwem

Samouczek: wymaganie uwierzytelniania krokowego (kontekstu uwierzytelniania) w przypadku ryzykownej akcji

  • Artykuł

Obecnie jako administrator IT utkniesz między skałą a twardym miejscem. Chcesz umożliwić pracownikom wydajną pracę. Oznacza to umożliwienie pracownikom dostępu do aplikacji, aby mogli pracować w dowolnym momencie z dowolnego urządzenia. Chcesz jednak chronić zasoby firmy, w tym informacje zastrzeżone i uprzywilejowane. Jak umożliwić pracownikom dostęp do aplikacji w chmurze przy jednoczesnej ochronie danych?

Ten samouczek umożliwia ponowną wycenę Microsoft Entra zasad dostępu warunkowego, gdy użytkownicy podejmują poufne akcje podczas sesji.

Zagrożenie

Pracownik zalogowany do usługi SharePoint Online z biura firmy. Podczas tej samej sesji ich adres IP jest zarejestrowany poza siecią firmową. Może poszli do kawiarni na dole, a może ich token został naruszony lub skradziony przez złośliwego napastnika.

Rozwiązanie

Ochrona organizacji przez wymaganie ponownej oceny zasad dostępu warunkowego Microsoft Entra podczas akcji sesji poufnych Defender for Cloud Apps kontroli aplikacji dostępu warunkowego.

Wymagania wstępne

  • Ważna licencja dla licencji Tożsamość Microsoft Entra P1

  • Twoja aplikacja w chmurze, w tym przypadku SharePoint Online, skonfigurowana jako aplikacja Tożsamość Microsoft Entra i używająca logowania jednokrotnego za pośrednictwem protokołu SAML 2.0 lub OpenID Connect

  • Upewnij się, że aplikacja została wdrożona w Defender for Cloud Apps

Tworzenie zasad w celu wymuszenia uwierzytelniania krokowego

Defender for Cloud Apps zasady sesji umożliwiają ograniczenie sesji na podstawie stanu urządzenia. Aby uzyskać kontrolę nad sesją przy użyciu urządzenia jako warunku, utwórz zasady dostępu warunkowego i zasady sesji.

Aby utworzyć zasady:

  1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —>zarządzanie zasadami.

  2. Na stronie Zasady wybierz pozycję Utwórz zasady , a następnie pozycję Zasady sesji.

  3. Na stronie Tworzenie zasad sesji nadaj zasadom nazwę i opis. Na przykład wymagaj uwierzytelniania krokowego przy pobieraniu z usługi SharePoint Online z urządzeń niezarządzanych.

  4. Przypisz ważność zasad i kategorię.

  5. W polu Typ kontrolki Sesja wybierz pozycję Blokuj działania,Kontroluj przekazywanie plików (z inspekcją),Pobieranie pliku sterowania (z inspekcją).

  6. W obszarze Źródło działania w sekcji Działania pasujące do wszystkich poniższych wybierz filtry:

    • Tag urządzenia: wybierz pozycję Nie równa się, a następnie wybierz pozycję Intune zgodne, Microsoft Entra przyłączone hybrydowo lub Prawidłowy certyfikat klienta. Wybór zależy od metody używanej w organizacji do identyfikowania urządzeń zarządzanych.

    • Aplikacja: wybierz pozycję Automatyczne dołączanie Azure AD, a następnie wybierz pozycję SharePoint Online z listy.

    • Użytkownicy: wybierz użytkowników, którzy mają być monitorowane.

  7. W obszarze Źródło działania w sekcji Pliki pasujące do wszystkich poniższych sekcji ustaw następujące filtry:

    • Etykiety poufności: jeśli używasz etykiet poufności z Microsoft Purview Information Protection, przefiltruj pliki na podstawie określonej etykiety poufności Microsoft Purview Information Protection.

    • Wybierz pozycję Nazwa pliku lub Typ pliku , aby zastosować ograniczenia na podstawie nazwy lub typu pliku.

  8. Włącz inspekcję zawartości , aby umożliwić wewnętrzne dlp skanowanie plików pod kątem zawartości poufnej.

  9. W obszarze Akcje wybierz pozycję Wymagaj uwierzytelniania krokowego.

    Uwaga

    Wymaga to utworzenia kontekstu uwierzytelniania w Tożsamość Microsoft Entra.

  10. Ustaw alerty, które chcesz otrzymywać po dopasowaniu zasad. Możesz ustawić limit, aby nie otrzymywać zbyt wielu alertów. Wybierz, czy alerty mają zostać pobrane jako wiadomość e-mail.

  11. Wybierz pozycję Utwórz.

Weryfikowanie zasad

  1. Aby zasymulować te zasady, zaloguj się do aplikacji z urządzenia niezarządzanego lub lokalizacji sieciowej innej niż firmowa. Następnie spróbuj pobrać plik.

  2. Należy wymagać wykonania akcji skonfigurowanej w zasadach kontekstu uwierzytelniania.

  3. W portalu Microsoft Defender w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —>zarządzanie zasadami. Następnie wybierz utworzone zasady, aby wyświetlić raport zasad. Wkrótce powinno zostać wyświetlone dopasowanie zasad sesji.

  4. W raporcie zasad można zobaczyć, które identyfikatory logowania przekierowywane do Microsoft Defender for Cloud Apps kontroli sesji oraz które pliki zostały pobrane lub zablokowane z monitorowanych sesji.

Następne kroki

Jak utworzyć zasady dostępu

Jak utworzyć zasady sesji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.