教程:使用条件访问应用控制阻止下载敏感信息
如今的 IT 管理员被困在一块石头和硬的地方之间。 你希望让员工提高工作效率。 这意味着允许员工访问应用,以便他们可以随时从任何设备工作。 但是,你需要保护公司的资产,包括专有和特权信息。 如何在保护数据的同时让员工访问云应用? 本教程允许你阻止有权从非托管设备或企业外部网络位置访问企业云应用中敏感数据的用户下载。
在本教程中,你将学习如何:
威胁
组织中的客户经理希望在周末在家中使用个人笔记本电脑在 Salesforce 中检查内容。 Salesforce 数据可能包括客户信用卡信息或个人信息。 家庭电脑不受管理。 如果他们将文档从 Salesforce 下载到电脑上,则可能感染了恶意软件。 如果设备丢失或被盗,它可能不受密码保护,任何发现它的人都可以访问敏感信息。
在这种情况下,用户通过Microsoft Entra ID使用其公司凭据登录到 Salesforce。
解决方案
通过Defender for Cloud Apps条件访问应用控制监视和控制云应用的使用来保护组织。
先决条件
- Microsoft Entra ID P1 许可证的有效许可证,或标识提供者 (IdP) 解决方案所需的许可证
- Salesforce 的Microsoft Entra条件访问策略
- Salesforce 配置为Microsoft Entra ID应用
为非托管设备创建阻止下载策略
此过程介绍如何仅创建Defender for Cloud Apps会话策略,该策略允许基于设备状态限制会话。
若要使用设备作为条件来控制会话,还必须创建Defender for Cloud Apps访问策略。 有关详细信息,请参阅创建Microsoft Defender for Cloud Apps访问策略。
创建会话策略
在Microsoft Defender门户中的“云应用”下,选择“策略>策略管理”。
在 “策略 ”页中,选择“ 创建策略>会话策略”。
在 “创建会话策略 ”页中,为策略提供名称和说明。 例如, 阻止非托管设备的 Salesforce 下载。
分配策略严重性和类别。
对于 “会话”控件类型,请选择“ 控制文件下载 (检查) 。 此设置使你能够监视用户在 Salesforce 会话中执行的所有操作,并让你能够控制实时阻止和保护下载。
在“与以下所有内容匹配的活动”部分中的“活动源”下,选择筛选器:
设备标记:选择 “不等于”。 然后选择“Intune合规”、“已加入混合 Azure AD”或“有效客户端证书”。 你的选择取决于组织中用于标识托管设备的方法。
应用:选择“ 自动 Azure AD 载入>等于>Salesforce”。
或者,可以阻止不属于公司网络的位置的下载。 在“活动与以下所有内容匹配”部分中的“活动源”下,设置以下筛选器:
- IP 地址 或 位置:使用这两个参数之一来标识用户可能尝试从中访问敏感数据的非公司或未知位置。
注意
如果要阻止从非托管设备和非公司位置下载,则必须创建两个会话策略。 一个策略使用位置设置 活动源 。 另一个策略将 活动源 设置为非托管设备。
- 应用:选择“ 自动 Azure AD 载入>等于>Salesforce”。
在“文件与以下所有内容匹配”部分中的“活动源”下,设置以下筛选器:
敏感度标签:如果使用Microsoft Purview 信息保护中的敏感度标签,请根据特定的Microsoft Purview 信息保护敏感度标签筛选文件。
选择“ 文件名 ”或“ 文件类型” ,根据文件名或类型应用限制。
启用 内容检查 ,使内部 DLP 能够扫描文件中的敏感内容。
在 “操作”下,选择“ 阻止”。 自定义用户在无法下载文件时获取的阻止消息。
配置在策略匹配时要接收的警报,例如限制,以便你不会收到过多的警报,以及是否要以电子邮件的形式获取警报。
选择“创建”。
验证策略
若要模拟从非托管设备或非公司网络位置下载被阻止的文件,请登录到应用。 然后,尝试下载文件。
该文件应被阻止,并且你应收到之前定义的消息(在 “自定义阻止消息”下)。
在Microsoft Defender门户中的“云应用”下,转到“策略”,然后选择“策略管理”。 然后选择已创建的策略以查看策略报告。 会话策略匹配应很快出现。
在策略报告中,可以看到哪些登录被重定向到用于会话控制的Microsoft Defender for Cloud Apps,以及哪些文件是从受监视的会话下载或阻止的。
后续步骤
如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证。