Partilhar via

Tutorial: Bloquear a transferência de informações confidenciais com o controlo de aplicações de acesso condicional

  • Artigo

O administrador de TI de hoje está preso entre uma rocha e um local difícil. Quer permitir que os seus funcionários sejam produtivos. Isto significa permitir que os funcionários acedam a aplicações para que possam trabalhar a qualquer momento, a partir de qualquer dispositivo. No entanto, quer proteger os recursos da empresa, incluindo informações proprietárias e privilegiadas. Como pode permitir que os funcionários acedam às suas aplicações na cloud enquanto protegem os seus dados? Este tutorial permite-lhe bloquear transferências por utilizadores que têm acesso aos seus dados confidenciais em aplicações na cloud empresarial a partir de dispositivos não geridos ou de localizações de rede fora da empresa.

Neste tutorial, irá aprender a:

A ameaça

Um gestor de conta na sua organização quer verificar algo no Salesforce a partir de casa durante o fim de semana, no portátil pessoal. Os dados do Salesforce podem incluir informações pessoais ou informações pessoais do cartão de crédito do cliente. O PC principal não é gerido. Se transferirem documentos do Salesforce para o PC, este poderá estar infetado com software maligno. Se o dispositivo for perdido ou roubado, poderá não estar protegido por palavra-passe e qualquer pessoa que o encontre tenha acesso a informações confidenciais.

Neste caso, os seus utilizadores iniciam sessão no Salesforce com as respetivas credenciais empresariais, através de Microsoft Entra ID.

A solução

Proteja a sua organização ao monitorizar e controlar a utilização de aplicações na cloud com Defender for Cloud Apps controlo de aplicações de Acesso Condicional.

Pré-requisitos

  • Uma licença válida para Microsoft Entra ID licença P1 ou a licença exigida pela sua solução de fornecedor de identidade (IdP)
  • Uma política de Acesso Condicional Microsoft Entra para o Salesforce
  • Salesforce configurado como uma aplicação Microsoft Entra ID

Crie uma política de bloqueio de transferências para dispositivos não geridos

Este procedimento descreve como criar apenas uma política de sessão Defender for Cloud Apps, o que lhe permite restringir uma sessão com base no estado de um dispositivo.

Para controlar uma sessão utilizando um dispositivo como uma condição, também tem de criar uma política de acesso Defender for Cloud Apps. Para obter mais informações, veja Criar políticas de acesso Microsoft Defender for Cloud Apps.

Para criar a política de sessão

  1. No portal do Microsoft Defender, em Aplicações na Cloud, selecione Gestão de políticas>.

  2. Na página Políticas , selecione Criar política>Política de sessão.

  3. Na página Criar política de sessão , atribua um nome e uma descrição à sua política. Por exemplo, Bloquear transferências do Salesforce para dispositivos não geridos.

  4. Atribua uma Gravidade de política e Categoria.

  5. Para o tipo de controlo Sessão, selecione Controlar transferência de ficheiros (com inspeção). Esta definição permite-lhe monitorizar tudo o que os seus utilizadores fazem numa sessão do Salesforce e dá-lhe controlo para bloquear e proteger transferências em tempo real.

  6. Em Origem da atividade na secção Atividades que correspondem a todas as seguintes , selecione os filtros:

    • Etiqueta do dispositivo: selecione Não é igual a. e, em seguida, selecione Intune conforme, Azure AD híbrido associado ou Certificado de cliente válido. A sua seleção depende do método utilizado na sua organização para identificar dispositivos geridos.

    • Aplicação: selecione Inclusão de Azure AD automatizadaigual a>>Salesforce.

  7. Em alternativa, pode bloquear as transferências de localizações que não fazem parte da sua rede empresarial. Em Origem da atividade na secção Atividades que correspondem a todas as seguintes , defina os seguintes filtros:

    • Endereço IP ou Localização: utilize um destes dois parâmetros para identificar localizações não empresariais ou desconhecidas, a partir das quais um utilizador pode estar a tentar aceder a dados confidenciais.

    Nota

    Se quiser bloquear transferências de dispositivos não geridos e localizações não empresariais, tem de criar duas políticas de sessão. Uma política define a Origem da atividade com a localização. A outra política define a Origem da atividade para dispositivos não geridos.

    • Aplicação: selecione Inclusão de Azure AD automatizadaigual a>>Salesforce.

  8. Em Origem da atividade na secção Ficheiros correspondentes a todos os seguintes , defina os seguintes filtros:

    • Etiquetas de confidencialidade: se utilizar etiquetas de confidencialidade de Proteção de Informações do Microsoft Purview, filtre os ficheiros com base numa etiqueta de confidencialidade Proteção de Informações do Microsoft Purview específica.

    • Selecione Nome de ficheiro ou Tipo de ficheiro para aplicar restrições com base no nome ou tipo de ficheiro.

  9. Ative a Inspeção de conteúdo para permitir que o DLP interno analise os seus ficheiros quanto a conteúdo confidencial.

  10. Em Ações, selecione bloquear. Personalize a mensagem de bloqueio que os utilizadores recebem quando não conseguem transferir ficheiros.

  11. Configure os alertas que pretende receber quando a política for correspondida, como um limite para que não receba demasiados alertas e se pretende receber os alertas como um e-mail.

  12. Selecione Criar.

Validar a política

  1. Para simular a transferência do ficheiro bloqueado, a partir de um dispositivo não gerido ou de uma localização de rede não empresarial, inicie sessão na aplicação. Em seguida, tente transferir um ficheiro.

  2. O ficheiro deve ser bloqueado e deverá receber a mensagem que definiu anteriormente, em Personalizar mensagens de bloqueio.

  3. No Portal do Microsoft Defender, em Aplicações na Cloud, aceda a Políticas e, em seguida, selecione Gestão de políticas. Em seguida, selecione a política que criou para ver o relatório de política. Uma correspondência de política de sessão deve aparecer em breve.

  4. No relatório de política, pode ver que inícios de sessão foram redirecionados para Microsoft Defender for Cloud Apps para controlo de sessão e quais os ficheiros que foram transferidos ou bloqueados das sessões monitorizadas.

Passos seguintes

Como criar uma política de acesso

Como criar uma política de sessão

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.