Поделиться через

Руководство по Требование пошаговой проверки подлинности (контекст проверки подлинности) при рискованном действии

  • Статья

Как ИТ-администратор сегодня вы застряли между камнем и трудным местом. Вы хотите, чтобы ваши сотрудники были продуктивными. Это означает, что сотрудники могут получать доступ к приложениям, чтобы они могли работать в любое время с любого устройства. Однако вы хотите защитить активы компании, включая конфиденциальную и привилегированную информацию. Как предоставить сотрудникам доступ к облачным приложениям при защите данных?

Это руководство позволяет повторно оценить Microsoft Entra политики условного доступа, когда пользователи выполняют конфиденциальные действия во время сеанса.

Угроза

Сотрудник вошел в SharePoint Online из корпоративного офиса. Во время того же сеанса их IP-адрес зарегистрирован за пределами корпоративной сети. Может быть, они пошли в кафе внизу, или, может быть, их токен был скомпрометирован или украден злоумышленником.

Решение

Защитите свою организацию, требуя, чтобы политики условного доступа Microsoft Entra были переоценированы во время конфиденциальных действий сеанса, которые Defender for Cloud Apps управление условным доступом приложения.

Предварительные условия

  • Действительная лицензия для лицензии Microsoft Entra ID P1

  • Облачное приложение, в данном случае SharePoint Online, настроено как приложение Microsoft Entra ID и использует единый вход через SAML 2.0 или OpenID Connect.

  • Убедитесь, что приложение развернуто в Defender for Cloud Apps

Создание политики для принудительного применения пошаговой проверки подлинности

Defender for Cloud Apps политики сеансов позволяют ограничить сеанс в зависимости от состояния устройства. Чтобы управлять сеансом, используя его устройство в качестве условия, создайте политику условного доступа и политику сеанса.

Чтобы создать политику, выполните следующие действия:

  1. На портале Microsoft Defender в разделе Облачные приложенияперейдите к разделу Политики ->Управление политиками.

  2. На странице Политики выберите Создать политику , а затем политику сеанса.

  3. На странице Создание политики сеанса присвойте политике имя и описание. Например, требовать пошаговой проверки подлинности при скачивании из SharePoint Online с неуправляемых устройств.

  4. Назначьте серьезность политики и категорию.

  5. Для типа элемента управления сеанса выберите Блокировать действия,Управлениеотправкой файлов (с проверкой),Управление скачиванием файла (с проверкой).

  6. В разделе Источник действия в разделе Действия, соответствующие всем приведенным ниже , выберите фильтры:

    • Тег устройства: выберите Значение не равно, а затем выберите Intune соответствие, Microsoft Entra гибридное присоединение или Действительный сертификат клиента. Выбор зависит от метода, используемого в организации для идентификации управляемых устройств.

    • Приложение: выберите Автоматическое подключение Azure AD, а затем выберите SharePoint Online в списке.

    • Пользователи. Выберите пользователей, которые вы хотите отслеживать.

  7. В разделе Источник действия в разделе Файлы, соответствующие всем приведенным ниже , задайте следующие фильтры:

    • Метки конфиденциальности. Если вы используете метки конфиденциальности из Защита информации Microsoft Purview, отфильтруйте файлы на основе определенной метки конфиденциальности Защита информации Microsoft Purview.

    • Выберите Имя файла или Тип файла , чтобы применить ограничения на основе имени или типа файла.

  8. Включите проверку содержимого , чтобы внутренняя защита от потери данных проверяла файлы на наличие конфиденциального содержимого.

  9. В разделе Действия выберите Требовать пошаговой проверки подлинности.

    Примечание.

    Для этого необходимо создать контекст проверки подлинности в Microsoft Entra ID.

  10. Задайте оповещения, которые вы хотите получать при сопоставлении политики. Вы можете задать ограничение, чтобы не получать слишком много оповещений. Выберите, следует ли получать оповещения в виде сообщения электронной почты.

  11. Нажмите Создать.

Проверка политики

  1. Чтобы имитировать эту политику, войдите в приложение с неуправляемого устройства или с не корпоративного сетевого расположения. Затем попробуйте скачать файл.

  2. Необходимо выполнить действие, настроенное в политике контекста проверки подлинности.

  3. На портале Microsoft Defender в разделе Облачные приложенияперейдите к разделу Политики ->Управление политиками. Затем выберите созданную политику, чтобы просмотреть отчет о политике. Вскоре должно появиться совпадение политики сеанса.

  4. В отчете о политике можно увидеть, какие имена входа перенаправляются в Microsoft Defender for Cloud Apps для управления сеансами, а также какие файлы были скачаны или заблокированы из отслеживаемых сеансов.

Дальнейшие действия

Создание политики доступа

Создание политики сеанса

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.