Руководство. Блокировка скачивания конфиденциальной информации с помощью управления условным доступом к приложениям
Сегодняшний ИТ-администратор застрял между камнем и трудно. Вы хотите, чтобы ваши сотрудники были продуктивными. Это означает, что сотрудники могут получать доступ к приложениям, чтобы они могли работать в любое время с любого устройства. Однако вы хотите защитить активы компании, включая конфиденциальную и привилегированную информацию. Как предоставить сотрудникам доступ к облачным приложениям при защите данных? Это руководство позволяет блокировать скачивание пользователями, имеющими доступ к конфиденциальным данным в корпоративных облачных приложениях, с неуправляемых устройств или расположений вне корпоративной сети.
С помощью данного руководства вы изучите:
Угроза
Менеджер по работе с клиентами в вашей организации хочет проверка что-то в Salesforce из дома в выходные дни на своем личном ноутбуке. Данные Salesforce могут включать сведения о кредите клиента карта или персональные данные. Домашний компьютер неуправляем. Если они скачивают документы из Salesforce на компьютер, это может быть заражено вредоносными программами. Если устройство будет потеряно или украдено, оно не может быть защищено паролем, и любой, кто находит его, имеет доступ к конфиденциальной информации.
В этом случае пользователи входят в Salesforce, используя корпоративные учетные данные, через Microsoft Entra ID.
Решение
Защитите свою организацию, отслеживая и контролируя использование облачных приложений с помощью Defender for Cloud Apps управления условным доступом к приложениям.
Предварительные условия
- Действительная лицензия на Microsoft Entra ID P1 или лицензия, необходимая для решения поставщика удостоверений (IdP)
- Политика условного доступа Microsoft Entra для Salesforce
- Salesforce, настроенный как приложение Microsoft Entra ID
Создание политики блокировки скачивания для неуправляемых устройств
В этой процедуре описывается, как создать только политику сеанса Defender for Cloud Apps, которая позволяет ограничить сеанс в зависимости от состояния устройства.
Чтобы управлять сеансом с помощью устройства в качестве условия, необходимо также создать политику доступа Defender for Cloud Apps. Дополнительные сведения см. в статье Создание политик доступа Microsoft Defender for Cloud Apps.
Создание политики сеанса
На портале Microsoft Defender в разделе Облачные приложения выберите Управление>политиками.
На странице Политики выберите Создать политику>политики Политика сеанса.
На странице Создание политики сеанса присвойте политике имя и описание. Например, Блокировать загрузки из Salesforce для неуправляемых устройств.
Назначьте серьезность политики и категорию.
В поле Тип элемента управления Сеанс выберите Управление скачиванием файла (с проверкой). Этот параметр позволяет отслеживать все действия пользователей в рамках сеанса Salesforce, а также управлять блокировкой и защитой загрузок в режиме реального времени.
В разделе Источник действия в разделе Действия, соответствующие всем приведенным ниже , выберите фильтры:
Тег устройства: выберите Значение не равно. а затем выберите Intune соответствие, Гибридное Azure AD присоединение или Действительный сертификат клиента. Выбор зависит от метода, используемого в организации для идентификации управляемых устройств.
Приложение. Выберите Автоматическая Azure AD подключение>Равно Salesforce>.
Кроме того, можно заблокировать скачивание для расположений, которые не являются частью вашей корпоративной сети. В разделе Источник действия в разделе Действия, соответствующие всем приведенным ниже , задайте следующие фильтры:
- IP-адрес или расположение. Используйте один из этих двух параметров для определения не корпоративных или неизвестных расположений, из которых пользователь может попытаться получить доступ к конфиденциальным данным.
Примечание.
Если вы хотите заблокировать скачивание с неуправляемых устройств и не корпоративных расположений, необходимо создать две политики сеансов. Одна политика задает источник действия с помощью расположения. Другая политика задает источник действия для неуправляемых устройств.
- Приложение. Выберите Автоматическая Azure AD подключение>Равно Salesforce>.
В разделе Источник действия в разделе Файлы, соответствующие всем приведенным ниже , задайте следующие фильтры:
Метки конфиденциальности. Если вы используете метки конфиденциальности из Защита информации Microsoft Purview, отфильтруйте файлы на основе определенной метки конфиденциальности Защита информации Microsoft Purview.
Выберите Имя файла или Тип файла , чтобы применить ограничения на основе имени или типа файла.
Включите проверку содержимого , чтобы внутренняя защита от потери данных проверяла файлы на наличие конфиденциального содержимого.
В разделе Действия выберите блокировать. Настройте сообщение о блокировке, которое пользователи получают, когда им не удается скачать файлы.
Настройте оповещения, которые вы хотите получать при сопоставлении политики, например ограничение, чтобы не получать слишком много оповещений и получать оповещения в виде сообщения электронной почты.
Нажмите Создать.
Проверка политики
Чтобы имитировать скачивание заблокированного файла с неуправляемого устройства или в не корпоративной сети, войдите в приложение. Затем попробуйте скачать файл.
Файл должен быть заблокирован, и вы должны получить сообщение, определенное ранее, в разделе Настройка сообщений блока.
На портале Microsoft Defender в разделе Облачные приложения перейдите в раздел Политики, а затем выберите Управление политиками. Затем выберите созданную политику, чтобы просмотреть отчет о политике. Вскоре должно появиться совпадение политики сеанса.
В отчете о политике можно увидеть, какие входы были перенаправлены в Microsoft Defender for Cloud Apps для управления сеансами, а какие файлы были скачаны или заблокированы из отслеживаемых сеансов.
Дальнейшие действия
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.