Kurz: Blokování stahování citlivých informací pomocí řízení podmíněného přístupu k aplikacím

Dnešní správce IT je zablokovaný mezi skálou a pevným místem. Chcete zaměstnancům umožnit produktivitu. To znamená, že zaměstnancům umožníte přístup k aplikacím, aby mohli kdykoli pracovat z libovolného zařízení. Chcete ale chránit prostředky společnosti, včetně vlastnických a privilegovaných informací. Jak můžete zaměstnancům umožnit přístup ke cloudovým aplikacím při ochraně dat? Tento kurz vám umožní blokovat stahování uživateli, kteří mají přístup k citlivým datům v podnikových cloudových aplikacích z nespravovaných zařízení nebo z umístění mimo podnikovou síť.

V tomto kurzu se naučíte:

• Vytvoření zásady pro stahování bloků pro nespravovaná zařízení
• Ověření zásad

Hrozba

Správce účtů ve vaší organizaci chce o víkendu zkontrolovat něco v Salesforce na svém osobním přenosném počítači. Data Salesforce můžou zahrnovat informace o platební kartě klienta nebo osobní údaje. Domácí počítač je nespravovaný. Pokud si stáhnutí dokumentů ze Salesforce do počítače, může být napadený malwarem. Pokud dojde ke ztrátě nebo odcizení zařízení, nemusí být chráněné heslem a každý, kdo ho najde, má přístup k citlivým informacím.

Řešení

Chraňte svou organizaci monitorováním a řízením používání cloudových aplikací s jakýmkoli řešením zprostředkovatele identity a řízením podmíněného přístupu k aplikacím Defender for Cloud Apps.

Požadavky

• Platná licence pro licenci Microsoft Entra ID P1 nebo licenci vyžadovanou vaším zprostředkovatelem identity (IDP)

• Nakonfigurujte cloudovou aplikaci pro jednotné přihlašování pomocí jednoho z následujících ověřovacích protokolů:

  Federační	Protokoly
  Microsoft Entra ID	SAML 2.0 nebo OpenID Připojení
  Jiný důvod	SAML 2.0

• Ujistěte se, že je aplikace nasazená v Defenderu for Cloud Apps.

Vytvoření zásady pro stahování bloků pro nespravovaná zařízení

Zásady relace Defenderu for Cloud Apps umožňují omezit relaci na základě stavu zařízení. Pokud chcete řídit relaci pomocí zařízení jako podmínky, vytvořte zásady podmíněného přístupu A zásady relace.

Pokud chcete vytvořit zásady podmíněného přístupu, postupujte podle pokynů v tématu Vytvoření zásady přístupu k Defenderu pro Cloud Apps. V tomto kurzu se dozvíte, jak vytvořit zásadu relace.

Krok 1: Konfigurace zprostředkovatele identity pro práci s Defenderem pro Cloud Apps

Ujistěte se, že jste nakonfigurovali řešení zprostředkovatele identity tak, aby fungovalo s Defenderem pro Cloud Apps, a to následujícím způsobem:

• Informace o podmíněném přístupu Microsoft Entra naleznete v tématu Konfigurace integrace s ID Microsoft Entra
• Další řešení zprostředkovatele identity najdete v tématu Konfigurace integrace s jinými řešeními zprostředkovatele identity.

Po dokončení této úlohy přejděte na portál Defender for Cloud Apps a vytvořte zásadu relace pro monitorování a řízení stahování souborů v relaci.

Krok 2: Vytvoření zásady relace

1. Na portálu Microsoft Defender v části Cloud Apps přejděte na Zásady a pak vyberte Správa zásad.

2. Na stránce Zásady vyberte Vytvořit zásadu následovanou zásadami relace.

3. Na stránce Vytvořit zásadu relace zadejte název a popis zásady. Můžete například blokovat stahování ze Salesforce pro nespravovaná zařízení.

4. Přiřaďte závažnost zásad a kategorii.

5. Jako typ ovládacího prvku Relace vyberte Možnost Stažení ovládacího souboru (s kontrolou). Toto nastavení umožňuje monitorovat vše, co uživatelé dělají v relaci Salesforce, a umožňuje řídit blokování a ochranu stahování v reálném čase.

6. Ve zdrojiaktivity v části Aktivity odpovídající všem následujícím částem vyberte filtry:

   • Značka zařízení: Vyberte Nerovná se. a pak vyberte Intune kompatibilní, hybridní připojení Microsoft Entra nebo platný klientský certifikát. Výběr závisí na metodě použité ve vaší organizaci pro identifikaci spravovaných zařízení.

   • Aplikace: Vyberte aplikaci, kterou chcete ovládat.

   • Uživatelé: Vyberte uživatele, které chcete monitorovat.

7. Případně můžete zablokovat stahování pro umístění, která nejsou součástí vaší podnikové sítě. Ve zdrojiaktivity v části Aktivity odpovídající všem následujícím částem nastavte následující filtry:

   • IP adresa nebo umístění: Pomocí některého z těchto dvou parametrů můžete identifikovat jiná než podniková nebo neznámá umístění, ze kterých se uživatel může pokoušet získat přístup k citlivým datům.

   Poznámka:

   Pokud chcete blokovat stahování z nespravovaných zařízení i nespravovaných umístění mimo podnik, musíte vytvořit dvě zásady relace. Jedna zásada nastaví zdroj aktivity pomocí umístění. Ostatní zásady nastaví zdroj aktivity na nespravovaná zařízení.

   • Aplikace: Vyberte aplikaci, kterou chcete ovládat.

   • Uživatelé: Vyberte uživatele, které chcete monitorovat.

8. Ve zdroji aktivity v části Soubory odpovídající všem následujícímu oddílu nastavte následující filtry:

   • Popisky citlivosti: Pokud používáte popisky citlivosti z Microsoft Purview Information Protection, vyfiltrujte soubory na základě konkrétního popisku citlivosti microsoft Purview Information Protection.

   • Vyberte Název souboru nebo Typ souboru, pokud chcete použít omezení na základě názvu nebo typu souboru.

9. Povolte kontrolu obsahu, aby interní ochrany před únikem informací mohla kontrolovat citlivé soubory.

10. V části Akce vyberte blok. Přizpůsobte blokující zprávu, kterou uživatelé dostanou, když nemůžou stahovat soubory.

11. Nastavte výstrahy, které chcete dostávat, když se zásady shodují. Můžete nastavit limit, abyste nedostali příliš mnoho upozornění. Vyberte, jestli chcete dostávat upozornění jako e-mailovou zprávu.

12. Vyberte Vytvořit.

Ověření zásad

1. Pokud chcete simulovat stahování blokovaného souboru, přihlaste se k aplikaci z nespravovaného zařízení nebo nespravovaného síťového umístění. Pak zkuste stáhnout soubor.

2. Soubor by měl být blokovaný a měl by se zobrazit zpráva, kterou jste nastavili v části Přizpůsobit blokové zprávy.

3. Na portálu Microsoft Defender v části Cloud Apps přejděte na Zásady a pak vyberte Správa zásad. Pak vyberte zásadu, kterou jste vytvořili, a zobrazte sestavu zásad. Krátce by se měla zobrazit shoda zásad relace.

4. V sestavě zásad můžete vidět, která přihlášení byla přesměrována do Programu Microsoft Defender for Cloud Apps pro řízení relací a které soubory se stáhly nebo zablokovaly z monitorovaných relací.

Další kroky

Jak vytvořit zásadu přístupu

Jak vytvořit zásadu relace

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.