共用方式為

教學課程:使用條件式存取應用程控封鎖下載敏感性資訊

  • 發行項

現今的IT系統管理員卡在岩石和硬地之間。 您想要讓員工提高生產力。 這表示允許員工存取應用程式,讓他們可以隨時從任何裝置工作。 不過,您想要保護公司的資產,包括專屬和特殊許可權資訊。 如何讓員工存取您的雲端應用程式,同時保護您的數據? 本教學課程可讓您封鎖可從非受控裝置或公司外網路位置存取企業雲端應用程式中敏感數據的用戶下載。

在本教學課程中,您將瞭解如何:

威脅

您組織中的帳戶管理員想要在週末從家的個人膝上型計算機上檢查 Salesforce 中的某些專案。 Salesforce 數據可能包含用戶端信用卡資訊或個人資訊。 主電腦未受管理。 如果他們將檔從 Salesforce 下載到電腦上,則可能會受到惡意代碼感染。 如果裝置遺失或遭竊,則可能不受密碼保護,且任何找到裝置的人都可以存取敏感性資訊。

在此情況下,您的使用者會透過 Microsoft Entra ID,使用其公司認證登入 Salesforce。

解決辦法

透過監視和控制雲端應用程式使用與 Defender for Cloud Apps 條件式存取應用程控來保護您的組織。

必要條件

  • Microsoft Entra ID P1 授權的有效授權,或身分識別提供者 (IdP) 解決方案所需的授權
  • Salesforce 的 Microsoft Entra 條件式存取原則
  • 設定為 Microsoft Entra ID 應用程式的 Salesforce

建立未受管理裝置的封鎖下載原則

此程式描述如何只建立 Defender for Cloud Apps會話原則,這可讓您根據裝置的狀態來限制會話。

若要使用裝置作為條件來控制會話,您也必須建立 Defender for Cloud Apps 存取原則。 如需詳細資訊,請參閱建立 Microsoft Defender for Cloud Apps 存取原則

若要建立會話原則

  1. Microsoft Defender 入口網站的 [雲端應用程式] 底下,選取 [原則>原則管理]

  2. 在 [ 原則] 頁面中,選取 [建立原則>會話原則]

  3. 在 [ 建立會話原則 ] 頁面中,為您的原則提供名稱和描述。 例如, 針對非受控裝置封鎖從 Salesforce 下載

  4. 指派原則嚴重性和類別目錄

  5. 針對 [工作階段] 控制檔案下載 (,並檢查) 。 此設定可讓您監視使用者在 Salesforce 工作階段中所做的一切,並讓您控制即時封鎖和保護下載。

  6. [符合下列所有項目的活動] 區段中的 [活動來源] 下,選取篩選條件:

    • 裝置標籤:選取 [不等於]。 然後選 Intune 符合規範已加入混合式 Azure AD有效的客戶端憑證。 您的選擇取決於組織中用來識別受控裝置的方法。

    • 應用程式:選 取 [自動化 Azure AD 上線>等於>Salesforce]

  7. 或者,您可以封鎖不屬於公司網路之位置的下載。 在符合下列所有一節的活動來源底下,設定下列篩選條件:

    • IP 位址位置:使用這兩個參數的其中一個來識別使用者可能嘗試存取敏感數據的非公司或未知位置。

    注意事項

    如果您想要封鎖來自非受控裝置和非公司位置的下載,您必須建立兩個會話原則。 其中一個原則會使用 位置來設定 活動來源 。 另一個原則會將 活動來源 設定為 Unmanaged 裝置。

    • 應用程式:選 取 [自動化 Azure AD 上線>等於>Salesforce]

  8. [符合下列所有項目的檔案] 區段中的 [活動來源] 下,設定下列篩選條件:

    • 敏感度標籤:如果您使用來自 Microsoft Purview 資訊保護 的敏感度標籤,請根據特定 Microsoft Purview 資訊保護 敏感度標籤來篩選檔案。

    • 取 [檔案名 ] 或 [檔案類型] ,以根據檔名或類型套用限制。

  9. 啟用 內容檢查 ,讓內部 DLP 掃描檔案中的敏感性內容。

  10. 在 [ 動作] 底下,選取 [封鎖]。 自定義使用者無法下載檔時所收到的封鎖訊息。

  11. 設定您想要在符合原則時接收的警示,例如限制,讓您不會收到太多警示,以及是否要以電子郵件方式取得警示。

  12. 選取 [建立]

驗證您的原則

  1. 若要模擬封鎖的檔案下載,請從非受控裝置或非公司網路位置登入應用程式。 然後,嘗試下載檔案。

  2. 檔案應該會遭到封鎖,而且您應該會在 [ 自定義區塊訊息] 底下收到您稍早定義的訊息。

  3. Microsoft Defender 入口網站的 [雲端應用程式] 底下,移至 [原則],然後選取 [原則管理]。 然後選取您已建立的原則以檢視原則報告。 會話原則相符項目應該很快就會出現。

  4. 在原則報告中,您可以查看哪些登入已重新導向至會話控制 Microsoft Defender for Cloud Apps,以及哪些檔案已從受監視的會話下載或封鎖。

後續步驟

如何建立存取原則

如何建立會話原則

如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證