Dela via

Självstudie: Blockera nedladdning av känslig information med appkontroll för villkorlig åtkomst

  • Artikel

Dagens IT-administratör har fastnat mellan en sten och en hård plats. Du vill göra det möjligt för dina anställda att vara produktiva. Det innebär att ge anställda åtkomst till appar så att de kan arbeta när som helst, från valfri enhet. Du vill dock skydda företagets tillgångar, inklusive upphovsrättsskyddad och privilegierad information. Hur gör du det möjligt för anställda att komma åt dina molnappar samtidigt som du skyddar dina data? Med den här självstudien kan du blockera nedladdningar av användare som har åtkomst till dina känsliga data i företagsmolnappar från antingen ohanterade enheter eller platser utanför företagets nätverk.

I den här självstudien får du lära dig att:

Hotet

En kontoansvarig i din organisation vill kontrollera något i Salesforce hemifrån under helgen, på sin personliga bärbara dator. Salesforce-data kan innehålla information om klientkreditkort eller personlig information. Hemdatorn är ohanterad. Om de laddar ned dokument från Salesforce till datorn kan det vara infekterat med skadlig kod. Om enheten tappas bort eller blir stulen kanske den inte är lösenordsskyddad och alla som hittar den har åtkomst till känslig information.

I det här fallet loggar dina användare in på Salesforce med sina företagsautentiseringsuppgifter via Microsoft Entra-ID.

Lösningen

Skydda din organisation genom att övervaka och kontrollera användningen av molnappar med Defender för molnet appkontroll för villkorsstyrd åtkomst.

Förutsättningar

  • En giltig licens för Microsoft Entra ID P1-licens eller den licens som krävs av din identitetsproviderlösning (IdP)
  • En princip för villkorsstyrd åtkomst i Microsoft Entra för Salesforce
  • Salesforce konfigurerad som en Microsoft Entra-ID-app

Skapa en blockhämtningsprincip för ohanterade enheter

Den här proceduren beskriver hur du endast skapar en Defender för molnet Apps-sessionsprincip, som gör att du kan begränsa en session baserat på enhetens tillstånd.

Om du vill styra en session med en enhet som ett villkor måste du också skapa en åtkomstprincip för Defender för molnet Appar. Mer information finns i Skapa åtkomstprinciper för Microsoft Defender för molnet-appar.

Så här skapar du din sessionsprincip

  1. I Microsoft Defender-portalen går du till Cloud Apps och väljer Principprinciphantering>.

  2. På sidan Principer väljer du Skapa princip>Sessionsprincip.

  3. På sidan Skapa sessionsprincip ger du principen ett namn och en beskrivning. Till exempel Blockera nedladdningar från Salesforce för ohanterade enheter.

  4. Tilldela en princip allvarlighetsgrad och kategori.

  5. Som sessionskontrolltyp väljer du Kontrollera filnedladdning (med kontroll). Den här inställningen ger dig möjlighet att övervaka allt dina användare gör i en Salesforce-session och ger dig kontroll över att blockera och skydda nedladdningar i realtid.

  6. Under Aktivitetskälla i avsnittet Aktiviteter som matchar alla följande väljer du filtren:

    • Enhetstagg: Välj Är inte lika med. och välj sedan Intune-kompatibel, Hybrid Azure AD-ansluten eller giltigt klientcertifikat. Ditt val beror på vilken metod som används i din organisation för att identifiera hanterade enheter.

    • App: Välj Automatiserad Azure AD-registrering>är lika med>Salesforce.

  7. Du kan också blockera nedladdningar för platser som inte ingår i företagets nätverk. Under Aktivitetskälla i avsnittet Aktiviteter som matchar alla följande filter anger du följande filter:

    • IP-adress eller plats: Använd någon av dessa två parametrar för att identifiera icke-företags- eller okända platser, från vilka en användare försöker komma åt känsliga data.

    Kommentar

    Om du vill blockera nedladdningar från både ohanterade enheter och icke-företagsplatser måste du skapa två sessionsprinciper. En princip anger aktivitetskällan med hjälp av platsen. Den andra principen anger aktivitetskällan till ohanterade enheter.

    • App: Välj Automatiserad Azure AD-registrering>är lika med>Salesforce.

  8. Under Aktivitetskälla i filer som matchar alla följande avsnitt anger du följande filter:

    • Känslighetsetiketter: Om du använder känslighetsetiketter från Microsoft Purview Information Protection filtrerar du filerna baserat på en specifik känslighetsetikett för Microsoft Purview Information Protection.

    • Välj Filnamn eller Filtyp för att tillämpa begränsningar baserat på filnamn eller typ.

  9. Aktivera innehållsgranskning för att aktivera den interna DLP:en för att söka igenom dina filer efter känsligt innehåll.

  10. Under Åtgärder väljer du blockera. Anpassa blockeringsmeddelandet som användarna får när de inte kan ladda ned filer.

  11. Konfigurera de aviseringar som du vill ta emot när principen matchas, till exempel en gräns så att du inte får för många aviseringar och om du vill få aviseringarna som ett e-postmeddelande.

  12. Välj Skapa.

Verifiera din princip

  1. Om du vill simulera den blockerade filnedladdningen, från en ohanterad enhet eller en nätverksplats som inte tillhör företaget, loggar du in på appen. Försök sedan ladda ned en fil.

  2. Filen ska blockeras och du bör få meddelandet som du definierade tidigare under Anpassa blockmeddelanden.

  3. I Microsoft Defender-portalen går du till Molnappar, går till Principer och väljer sedan Principhantering. Välj sedan den princip som du har skapat för att visa principrapporten. En sessionsprincipmatchning bör visas inom kort.

  4. I principrapporten kan du se vilka inloggningar som omdirigerades till Microsoft Defender för molnet Appar för sessionskontroll och vilka filer som laddades ned eller blockerades från de övervakade sessionerna.

Nästa steg

Skapa en åtkomstprincip

Skapa en sessionsprincip

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.