教程：要求在风险操作时 (身份验证上下文) 升级身份验证

作为当今的 IT 管理员，你一直被困在一块石头和硬的地方之间。 你希望让员工提高工作效率。 这意味着允许员工访问应用，以便他们可以随时从任何设备工作。 但是，你需要保护公司的资产，包括专有和特权信息。 如何在保护数据的同时让员工访问云应用？

本教程允许在会话期间用户执行敏感操作时重新评估Microsoft Entra条件访问策略。

威胁

从公司办公室登录到 SharePoint Online 的员工。 在同一会话期间，其 IP 地址在公司网络外部注册。 也许他们去了楼下的咖啡店，或者他们的令牌被恶意攻击者入侵或被盗。

解决方案

通过在敏感会话操作期间要求重新评估Microsoft Entra条件访问策略来保护组织，Defender for Cloud Apps条件访问应用控制。

先决条件

• Microsoft Entra ID P1 许可证的有效许可证

• 云应用（在本例中为 SharePoint Online）配置为Microsoft Entra ID应用，并通过 SAML 2.0 或 OpenID Connect 使用 SSO

• 确保应用已部署到Defender for Cloud Apps

创建策略以强制实施升级身份验证

Defender for Cloud Apps会话策略允许基于设备状态限制会话。 若要使用设备作为条件完成对会话的控制，请同时创建条件访问策略 和 会话策略。

若要创建策略，请执行以下操作：

1. 在Microsoft Defender门户中的“云应用”下，转到“策略->策略管理”。

2. 在 “策略 ”页中，选择“ 创建策略 ”，然后选择“ 会话策略”。

3. 在 “创建会话策略 ”页中，为策略提供名称和说明。 例如， 要求对从非托管设备从 SharePoint Online 下载进行升级身份验证。

4. 分配策略严重性和类别。

5. 对于 “会话”控件类型，请选择“ 阻止活动”、“使用检查) 控制文件上传 (”、“使用检查) 控制文件下载 (”。

6. 在“与以下所有内容匹配的活动”部分中的“活动源”下，选择筛选器：

   • 设备标记：选择“不等于”，然后选择“Intune合规”、“Microsoft Entra混合联接”或“有效客户端证书”。 你的选择取决于组织中用于标识托管设备的方法。

   • 应用：选择“ 自动 Azure AD 载入 ”，然后从列表中选择“ SharePoint Online ”。

   • 用户：选择要监视的用户。

7. 在“文件与以下所有内容匹配”部分中的“活动源”下，设置以下筛选器：

   • 敏感度标签：如果使用Microsoft Purview 信息保护中的敏感度标签，请根据特定的Microsoft Purview 信息保护敏感度标签筛选文件。

   • 选择“ 文件名 ”或“ 文件类型” ，根据文件名或类型应用限制。

8. 启用 内容检查 ，使内部 DLP 能够扫描文件中的敏感内容。

9. 在 “操作”下，选择“ 需要升级身份验证”。

   注意

   这需要在 Microsoft Entra ID 中创建身份验证上下文。

10. 设置要在策略匹配时接收的警报。 可以设置限制，以免收到太多警报。 选择是否以电子邮件的形式获取警报。

11. 选择“创建”。

验证策略

1. 若要模拟此策略，请从非托管设备或非企业网络位置登录到应用。 然后，尝试下载文件。

2. 应要求执行身份验证上下文策略中配置的操作。

3. 在Microsoft Defender门户中的“云应用”下，转到“策略->策略管理”。 然后选择已创建的策略以查看策略报告。 会话策略匹配应很快出现。

4. 在策略报告中，可以看到哪些登录名重定向到Microsoft Defender for Cloud Apps进行会话控制，以及哪些文件是从受监视的会话下载或阻止的。

后续步骤

如何创建访问策略

如何创建会话策略

如果你遇到任何问题，我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持，请 开具支持票证。