Tutorial: Blockieren des Downloads vertraulicher Informationen mit App-Steuerung für bedingten Zugriff
IT-Administratorn von heute stecken in einer Zwickmühle. Sie möchten es Ihren Mitarbeitern ermöglichen, produktiv zu sein. Das bedeutet, dass sie die Möglichkeit haben müssen, auf Apps zuzugreifen, sodass sie jederzeit von jedem Gerät aus arbeiten können. Andererseits möchten Sie die Ressourcen des Unternehmens schützen, die auch vertrauliche und privilegierte Informationen enthalten. Wie können Sie Mitarbeitern den Zugriff auf Ihre Cloud-Apps gewähren, dabei gleichzeitig aber Ihre Daten schützen? In diesem Tutorial lernen Sie, wie Sie Downloads von Benutzern, die Zugriff auf Ihre vertraulichen Daten in Cloud-Apps des Unternehmens haben, entweder auf nicht verwaltete Geräte oder von Netzwerkadressen außerhalb des Unternehmens blockieren.
In diesem Tutorial lernen Sie Folgendes:
Die Bedrohung
Ein Konto-Manager in Ihrer Organisation möchte am Wochenende etwas von zuhause aus auf seinem persönlichen Laptop in Salesforce überprüfen. Die Salesforce-Daten enthalten möglicherweise persönliche Daten oder Kreditkarteninformationen von Kunden. Der private Computer wird nicht verwaltet. Wenn sie Dokumente von Salesforce auf den PC herunterladen, können diese mit Schadsoftware infiziert sein. Sollte der Computer verloren gehen oder gestohlen werden, ist er möglicherweise nicht durch ein Kennwort geschützt, und jeder, der ihn findet, verfügt über Zugriff auf vertrauliche Informationen.
In diesem Fall melden sich Ihre Benutzer mit den Anmeldeinformationen ihres Unternehmens über Microsoft Entra ID bei Salesforce an.
Die Lösung
Schützen Sie Ihre Organisation, indem Sie die Verwendung von Cloud-Apps mit der App-Steuerung für bedingten Zugriff von Defender for Cloud Apps überwachen und steuern.
Voraussetzungen
- Eine gültige Lizenz für Microsoft Entra ID P1-Lizenz oder die Lizenz, die von Ihrer IdP-Lösung (Identity Provider) benötigt wird
- Eine Richtlinie für bedingten Zugriff für Microsoft Entra für Salesforce
- Salesforce als Microsoft Entra ID-App konfiguriert
Erstellen einer Richtlinie zum Blockieren von Downloads für nicht verwaltete Geräte
In diesem Verfahren wird beschrieben, wie Sie nur eine Defender for Cloud Apps-Sitzungsrichtlinie erstellen, mit der Sie eine Sitzung basierend auf dem Zustand eines Geräts einschränken können.
Um eine Sitzung mit einem Gerät als Bedingung zu steuern, müssen Sie auch eine Zugriffsrichtlinie für Defender for Cloud-Apps erstellen. Weitere Informationen finden Sie unter Erstellen von Zugriffsrichtlinien für Microsoft Defender for Cloud-Apps.
So erstellen Sie Ihre Sitzungsrichtlinie:
Wählen Sie im Microsoft Defender Portal unter Cloud-Apps die Option Richtlinien>Richtlinienmanagement.
Wählen Sie auf der Seite Richtlinien die Option Richtlinie erstellen>Sitzungsrichtlinie.
Benennen Sie Ihre Richtlinie auf der Seite Sitzungsrichtlinie erstellen, und fügen Sie eine Beschreibung hinzu. Sie können Sie zum Beispiel Downloads von Salesforce für nicht verwaltete Geräte blockieren nennen.
Legen Sie einen Schweregrad der Richtlinie und eine Kategorie fest.
Wählen Sie für Sitzungssteuerungstyp die Option Dateidownload steuern (mit Überprüfung) aus. Mit dieser Einstellung können Sie alle Aktivitäten Ihrer Benutzer während einer Salesforce-Sitzung überwachen. Außerdem können Sie das Blockieren und Schützen von Downloads in Echtzeit steuern.
Wählen Sie unter Aktivitätsquelle im Abschnitt Aktivitäten, die den folgenden Vorgaben entsprechen die folgenden Filter aus:
Gerätetag: Nicht gleich auswählen. Wählen Sie dann Mit Intune kompatibel, in Hybrid Azure AD eingebunden oder Gültiges Client-Zertifikat. Die Auswahl hängt von der in Ihrer Organisation verwendeten Methode zur Identifizierung verwalteter Geräte ab.
App: Wählen Sie Automatisiertes Azure AD-Onboarding>gleich>Salesforce.
Alternativ können Sie die Downloads von Standorten blockieren, die nicht Bestandteil Ihres Unternehmensnetzwerks sind. Legen Sie unter Aktivitätsquelle im Abschnitt Activities matching all of the following (Aktivitäten, die den folgenden Vorgaben entsprechen) folgende Filter fest:
- IP-Adresse oder Standort: Verwenden Sie einen dieser beiden Parameter, um unbekannte Standorte oder Standorte außerhalb des Unternehmensbereichs zu identifizieren, von denen aus ein Benutzer möglicherweise auf sensible Daten zugreifen könnte.
Hinweis
Wenn Sie Downloads von nicht verwalteten Geräten UND nicht unternehmenseigenen Standorten blockieren möchten, müssen Sie zwei Sitzungsrichtlinien erstellen. Eine Richtlinie legt die Aktivitätsquelle unter Verwendung des Standorts fest. Die andere Richtlinie legt die Aktivitätsquelle auf nicht verwaltete Geräte fest.
- App: Wählen Sie Automatisiertes Azure AD-Onboarding>gleich>Salesforce.
Legen Sie unter Aktivitätsquelle im Abschnitt Files matching all of the following (Dateien, die den folgenden Vorgaben entsprechen) folgende Filter fest:
Sensitivitätskennzeichnungen: Wenn Sie Sensitivitätskennzeichnungen von Microsoft Purview Information Protection verwenden, filtern Sie die Dateien basierend auf einer bestimmten Vertraulichkeitsbezeichnung von Microsoft Purview Information Protection.
Wählen Sie Dateiname oder Dateityp aus, um anhand des Dateinamens oder des -typs Einschränkungen anzuwenden.
Aktivieren Sie Inhaltsuntersuchung, um die interne Verhinderung von Datenverlust zu aktivieren, damit Ihre Dateien auf vertrauliche Inhalte überprüft werden.
Klicken Sie unter Aktionen auf Blockieren. Passen Sie die Blockierungsmeldung an, die Ihre Benutzer erhalten, wenn sie Dateien nicht herunterladen können.
Konfigurieren Sie die Warnungen, die Sie empfangen möchten, wenn die Richtlinie abgeglichen wird, z. B. einen Grenzwert, damit Sie nicht zu viele Warnungen erhalten, und legen Sie fest, ob Sie die Warnungen als E-Mail erhalten möchten.
Klicken Sie auf Erstellen.
Überprüfen Ihrer Richtlinie
Melden Sie sich bei der App an, um den blockierten Dateidownload auf einem nicht verwalteten Gerät oder von einem Netzwerkstandort außerhalb des Unternehmensbereichs zu simulieren. Versuchen Sie dann, eine Datei herunterzuladen.
Die Datei sollte blockiert sein, und Sie sollten die Nachricht erhalten, die Sie vorher unter Blockierungsmeldungen anpassen definiert haben.
Gehen Sie im Microsoft Defender Portal unter Cloud Apps zu Richtlinien und wählen Sie dann Richtlinienverwaltung aus. Wählen Sie dann die Richtlinie aus, die Sie erstellt haben, um den Richtlinienbericht anzuzeigen. Eine Übereinstimmung mit der Sitzungsrichtlinie sollte in Kürze angezeigt werden.
Im Richtlinienbericht erfahren Sie, welche Anmeldungen zur Sitzungssteuerung zu Microsoft Defender for Cloud Apps umgeleitet und welche Dateien während der überwachten Sitzungen heruntergeladen oder blockiert wurden.
Nächste Schritte
Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.