البرنامج التعليمي: حظر تنزيل المعلومات الحساسة باستخدام التحكم في تطبيق الوصول المشروط

مسؤول تكنولوجيا المعلومات اليوم عالق بين الصخور والمكان الثابت. تريد تمكين موظفيك من أن يكونوا منتجين. وهذا يعني السماح للموظفين بالوصول إلى التطبيقات حتى يتمكنوا من العمل في أي وقت، من أي جهاز. ومع ذلك، تريد حماية أصول الشركة بما في ذلك المعلومات الخاصة والمميزة. كيف يمكنك تمكين الموظفين من الوصول إلى تطبيقات السحابة الخاصة بك مع حماية بياناتك؟ يسمح لك هذا البرنامج التعليمي بحظر التنزيلات من قبل المستخدمين الذين لديهم حق الوصول إلى بياناتك الحساسة في تطبيقات سحابة المؤسسة إما من الأجهزة غير المدارة أو مواقع الشبكات خارج الشركة.

في هذا البرنامج التعليمي، ستتعلم كيفية:

• قم بإنشاء سياسة حظر التنزيل للأجهزة غير المُدارة
• التحقق من صحة النهج

التهديد

يريد مدير الحساب في مؤسستك التحقق من شيء ما في Salesforce من المنزل خلال عطلة نهاية الأسبوع، على الكمبيوتر المحمول الشخصي الخاص به. قد تتضمن بيانات Salesforce معلومات بطاقة ائتمان العميل أو المعلومات الشخصية. الكمبيوتر المنزلي غير مدار. إذا قاموا بتنزيل المستندات من Salesforce على الكمبيوتر، فقد يكون مصابا بالبرامج الضارة. إذا فقد الجهاز أو سرق، فقد لا يكون محميا بكلمة مرور وأي شخص يجده لديه حق الوصول إلى المعلومات الحساسة.

في هذه الحالة، يقوم المستخدمون بتسجيل الدخول إلى Salesforce باستخدام بيانات اعتماد الشركة الخاصة بهم، من خلال معرف Microsoft Entra.

الحل

حماية مؤسستك من خلال مراقبة استخدام تطبيق السحابة والتحكم فيه باستخدام Defender for Cloud Apps التحكم في تطبيق الوصول المشروط.

المتطلبات الأساسية

• ترخيص صالح لترخيص Microsoft Entra ID P1، أو الترخيص المطلوب من قبل حل موفر الهوية (IdP)
• نهج وصول مشروط Microsoft Entra ل Salesforce
• تم تكوين Salesforce كتطبيق معرف Microsoft Entra

قم بإنشاء سياسة حظر التنزيل للأجهزة غير المُدارة

يصف هذا الإجراء كيفية إنشاء نهج جلسة عمل Defender for Cloud Apps فقط، والذي يسمح لك بتقييد جلسة عمل استنادا إلى حالة الجهاز.

للتحكم في جلسة عمل باستخدام جهاز كشرط، يجب عليك أيضا إنشاء نهج وصول Defender for Cloud Apps. لمزيد من المعلومات، راجع إنشاء نهج وصول Microsoft Defender for Cloud Apps.

لإنشاء نهج جلسة العمل

1. في مدخل Microsoft Defender، ضمن Cloud Apps، حدد Policies>Policy management.

2. في صفحة Policies ، حدد Create policy>Session policy.

3. في صفحة إنشاء نهج جلسة العمل ، امنح النهج اسما ووصفا. على سبيل المثال، حظر التنزيلات من Salesforce للأجهزة غير المدارة.

4. تعيين خطورة النهجوالفئة.

5. بالنسبة إلى نوع التحكم في الجلسة، حدد Control file download (with inspection). يمنحك هذا الإعداد القدرة على مراقبة كل ما يقوم به المستخدمون ضمن جلسة عمل Salesforce ويمنحك التحكم في حظر التنزيلات وحمايتها في الوقت الفعلي.

6. ضمن مصدر النشاط في القسم الأنشطة المطابقة لجميع الأقسام التالية ، حدد عوامل التصفية:

   • علامة الجهاز: حدد لا يساوي. ثم حدد Intune compliant أو Hybrid Azure AD joined أو Valid client certificate. يعتمد اختيارك على الطريقة المستخدمة في مؤسستك لتحديد الأجهزة المدارة.

   • التطبيق: حدد الإعداد التلقائي Azure AD>يساوي>Salesforce.

7. بدلا من ذلك، يمكنك حظر التنزيلات للمواقع التي ليست جزءا من شبكة شركتك. ضمن مصدر النشاط في الأنشطة المطابقة لجميع المقطع التالي ، قم بتعيين عوامل التصفية التالية:

   • عنوان IP أو الموقع: استخدم أيا من هاتين المعلمتين لتحديد المواقع غير التابعة للشركات أو غير المعروفة، والتي قد يحاول المستخدم الوصول منها إلى البيانات الحساسة.

   ملاحظة

   إذا كنت ترغب في حظر التنزيلات من كل من الأجهزة غير المدارة والمواقع غير التابعة للشركات، يجب عليك إنشاء نهجي جلسة عمل. يقوم أحد النهج بتعيين مصدر النشاط باستخدام الموقع. يعين النهج الآخر مصدر النشاط إلى أجهزة غير مدارة.

   • التطبيق: حدد الإعداد التلقائي Azure AD>يساوي>Salesforce.

8. ضمن Activity source في القسم Files matching all of the following ، قم بتعيين عوامل التصفية التالية:

   • أوصاف الحساسية: إذا كنت تستخدم أوصاف الحساسية من حماية البيانات في Microsoft Purview، فصفي الملفات استنادا إلى وصف حساسية حماية البيانات في Microsoft Purview محدد.

   • حدد اسم الملف أو نوع الملف لتطبيق القيود استنادا إلى اسم الملف أو نوعه.

9. تمكين فحص المحتوى لتمكين DLP الداخلي من فحص ملفاتك بحثا عن محتوى حساس.

10. ضمن Actions، حدد block. تخصيص رسالة الحظر التي يحصل عليها المستخدمون عندما يتعذر عليهم تنزيل الملفات.

11. قم بتكوين التنبيهات التي تريد تلقيها عند مطابقة النهج، مثل الحد بحيث لا تتلقى الكثير من التنبيهات، وما إذا كنت تريد الحصول على التنبيهات كبريد إلكتروني.

12. حدد إنشاء.

التحقق من صحة النهج

1. لمحاكاة تنزيل الملف المحظور، من جهاز غير مدار أو موقع شبكة غير تابع للشركات، سجل الدخول إلى التطبيق. بعد ذلك، حاول تنزيل ملف.

2. يجب حظر الملف ويجب أن تتلقى الرسالة التي قمت بتعريفها مسبقا، ضمن تخصيص رسائل الحظر.

3. في Microsoft Defender Portal، ضمن Cloud Apps، انتقل إلى Policies، ثم حدد Policy management. ثم حدد النهج الذي أنشأته لعرض تقرير النهج. يجب أن تظهر مطابقة نهج جلسة العمل قريبا.

4. في تقرير النهج، يمكنك معرفة عمليات تسجيل الدخول التي تمت إعادة توجيهها إلى Microsoft Defender for Cloud Apps للتحكم في جلسة العمل، والملفات التي تم تنزيلها أو حظرها من جلسات العمل المراقبة.

الخطوات التالية

كيفية إنشاء نهج وصول

كيفية إنشاء نهج جلسة عمل

إذا واجهت أي مشاكل، فنحن هنا للمساعدة. للحصول على المساعدة أو الدعم لقضية المنتج، يرجى فتح تذكرة دعم.