Självstudie: Blockera nedladdning av känslig information med appkontroll för villkorsstyrd åtkomst

Dagens IT-administratör har fastnat mellan en sten och en hård plats. Du vill göra det möjligt för dina anställda att vara produktiva. Det innebär att ge anställda åtkomst till appar så att de kan arbeta när som helst, från vilken enhet som helst. Du vill dock skydda företagets tillgångar, inklusive upphovsrättsskyddad och privilegierad information. Hur kan du ge anställda åtkomst till dina molnappar samtidigt som du skyddar dina data? I den här självstudien kan du blockera nedladdningar av användare som har åtkomst till känsliga data i företagsmolnappar från antingen ohanterade enheter eller nätverksplatser utanför företaget.

I den här självstudien får du lära dig att:

• Skapa en princip för blockering av nedladdningar för ohanterade enheter
• Verifiera din princip

Hotet

En kontoansvarig i din organisation vill kontrollera något i Salesforce hemifrån under helgen, på sin personliga bärbara dator. Salesforce-data kan innehålla kreditkortsinformation för klienter eller personlig information. Hemdatorn är ohanterad. Om de laddar ned dokument från Salesforce till datorn kan det vara infekterat med skadlig kod. Om enheten tappas bort eller blir stulen kanske den inte är lösenordsskyddad och alla som upptäcker att den har åtkomst till känslig information.

I det här fallet loggar dina användare in på Salesforce med sina företagsautentiseringsuppgifter via Microsoft Entra ID.

Lösningen

Skydda din organisation genom att övervaka och kontrollera användningen av molnappar med Defender for Cloud Apps appkontroll för villkorsstyrd åtkomst.

Förhandskrav

• En giltig licens för Microsoft Entra ID P1-licens eller den licens som krävs av identitetsproviderns (IdP)-lösning
• En Microsoft Entra princip för villkorsstyrd åtkomst för Salesforce
• Salesforce har konfigurerats som en Microsoft Entra ID app

Skapa en princip för blockering av nedladdningar för ohanterade enheter

Den här proceduren beskriver hur du endast skapar en Defender for Cloud Apps sessionsprincip, vilket gör att du kan begränsa en session baserat på enhetens tillstånd.

Om du vill styra en session med en enhet som ett villkor måste du också skapa en Defender for Cloud Apps åtkomstprincip. Mer information finns i Skapa Microsoft Defender for Cloud Apps åtkomstprinciper.

Så här skapar du din sessionsprincip

1. I Microsoft Defender-portalen går du till Cloud Apps och väljer Principhantering>.

2. På sidan Principer väljer du Skapa princip>Sessionsprincip.

3. På sidan Skapa sessionsprincip ger du principen ett namn och en beskrivning. Till exempel Blockera nedladdningar från Salesforce för ohanterade enheter.

4. Tilldela en princip allvarlighetsgrad och kategori.

5. Som Sessionskontrolltyp väljer du Kontrollera filnedladdning (med kontroll). Den här inställningen ger dig möjlighet att övervaka allt dina användare gör i en Salesforce-session och ger dig kontroll över att blockera och skydda nedladdningar i realtid.

6. Under Aktivitetskälla i avsnittet Aktiviteter som matchar alla följande väljer du filtren:

   • Enhetstagg: Välj Är inte lika med. och välj sedan Intune kompatibel, Hybrid Azure AD ansluten eller Giltigt klientcertifikat. Ditt val beror på vilken metod som används i din organisation för att identifiera hanterade enheter.

   • App: Välj Automatiserad Azure AD registrering>är lika med>Salesforce.

7. Du kan också blockera nedladdningar för platser som inte ingår i företagets nätverk. Under Aktivitetskälla i avsnittet Aktiviteter som matchar alla följande , anger du följande filter:

   • IP-adress eller plats: Använd någon av dessa två parametrar för att identifiera platser som inte är företagsspecifika eller okända, där en användare kanske försöker komma åt känsliga data.

   Obs!

   Om du vill blockera hämtningar från BÅDE ohanterade enheter och icke-företagsplatser måste du skapa två sessionsprinciper. En princip anger aktivitetskällan med hjälp av platsen. Den andra principen anger aktivitetskällan till ohanterade enheter.

   • App: Välj Automatiserad Azure AD registrering>är lika med>Salesforce.

8. Under Aktivitetskälla i filer som matchar alla följande avsnitt anger du följande filter:

   • Känslighetsetiketter: Om du använder känslighetsetiketter från Microsoft Purview Information Protection filtrerar du filerna baserat på en specifik Microsoft Purview Information Protection känslighetsetikett.

   • Välj Filnamn eller Filtyp för att tillämpa begränsningar baserat på filnamn eller typ.

9. Aktivera innehållsgranskning för att aktivera den interna DLP:en för att söka igenom filerna efter känsligt innehåll.

10. Under Åtgärder väljer du Blockera. Anpassa blockeringsmeddelandet som användarna får när de inte kan ladda ned filer.

11. Konfigurera de aviseringar som du vill ta emot när principen matchas, till exempel en gräns så att du inte får för många aviseringar och om du vill få aviseringarna som ett e-postmeddelande.

12. Välj Skapa.

Verifiera din princip

1. Om du vill simulera den blockerade filnedladdningen loggar du in på appen från en ohanterad enhet eller en icke-företagsnätverksplats. Försök sedan ladda ned en fil.

2. Filen ska blockeras och du bör få det meddelande som du definierade tidigare under Anpassa blockeringsmeddelanden.

3. I Microsoft Defender-portalen går du till Principer under Cloud Apps och väljer Sedan Principhantering. Välj sedan den princip som du har skapat för att visa principrapporten. En sessionsprincipmatchning bör visas inom kort.

4. I principrapporten kan du se vilka inloggningar som omdirigerades till Microsoft Defender for Cloud Apps för sessionskontroll och vilka filer som laddades ned eller blockerades från de övervakade sessionerna.

Nästa steg

Så här skapar du en åtkomstprincip

Så här skapar du en sessionsprincip

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.