Lernprogramm: Blockieren des Downloads vertraulicher Informationen mit App-Steuerung für bedingten Zugriff
IT-Administratorn von heute stecken in einer Zwickmühle. Sie möchten es Ihren Mitarbeitern ermöglichen, produktiv zu sein. Das bedeutet, dass sie die Möglichkeit haben müssen, auf Apps zuzugreifen, sodass sie jederzeit von jedem Gerät aus arbeiten können. Andererseits möchten Sie die Ressourcen des Unternehmens schützen, die auch vertrauliche und privilegierte Informationen enthalten. Wie können Sie Mitarbeitern den Zugriff auf Ihre Cloud-Apps gewähren, dabei gleichzeitig aber Ihre Daten schützen? In diesem Tutorial lernen Sie, wie Sie Downloads von Benutzern, die Zugriff auf Ihre vertraulichen Daten in Cloud-Apps des Unternehmens haben, entweder auf nicht verwaltete Geräte oder von Netzwerkadressen außerhalb des Unternehmens blockieren.
In diesem Tutorial lernen Sie Folgendes:
Die Bedrohung
Ein Konto-Manager in Ihrer Organisation möchte am Wochenende etwas von zuhause aus auf seinem persönlichen Laptop in Salesforce überprüfen. Die Salesforce-Daten enthalten möglicherweise persönliche Daten oder Kreditkarteninformationen von Kunden. Der private Computer wird nicht verwaltet. Wenn sie Dokumente von Salesforce auf den PC herunterladen, können diese mit Schadsoftware infiziert sein. Sollte der Computer verloren gehen oder gestohlen werden, ist er möglicherweise nicht durch ein Kennwort geschützt, und jeder, der ihn findet, verfügt über Zugriff auf vertrauliche Informationen.
Die Lösung
Schützen Sie Ihre Organisation, indem Sie die Verwendung von Cloud-Apps mit einer beliebigen IdP-Lösung und der App-Steuerung für bedingten Zugriff in Defender for Cloud Apps überwachen und steuern.
Voraussetzungen
Eine gültige Lizenz für Microsoft Entra ID P1-Lizenz oder die Lizenz, die von Ihrer IdP-Lösung (Identity Provider) benötigt wird
Konfigurieren Sie eine Cloud-App für SSO mithilfe eines der folgenden Authentifizierungsprotokolle:
IdP Protokolle Microsoft Entra ID SAML 2.0- oder OpenID Connect Andere SAML 2.0 Stellen Sie sicher, dass die App in Defender for Cloud Apps bereitgestellt wird
Erstellen einer Richtlinie zum Blockieren von Downloads für nicht verwaltete Geräte
Mithilfe von Defender for Cloud Apps-Sitzungsrichtlinien können Sie eine Sitzung basierend auf dem Zustand des Geräts einschränken. Um die Kontrolle über eine Sitzung zu erlangen und das Gerät dabei als Bedingung zu nehmen, erstellen Sie eine Richtlinie für bedingten Zugriff UND eine Sitzungsrichtlinie.
Führen Sie zum Erstellen der Richtlinie für bedingten Zugriff die Schritte unter Erstellen einer Zugriffsrichtlinie für Defender for Cloud Apps aus. In diesem Lernprogramm wird erläutert, wie Sie die Sitzungsrichtlinie erstellen.
Schritt 1: Konfigurieren Sie Ihren IdP für die Zusammenarbeit mit Defender for Cloud Apps
Stellen Sie sicher, dass Sie Ihre IdP-Lösung für die Arbeit mit Defender for Cloud Apps wie folgt konfiguriert haben:
- Informationen zum bedingten Zugriff von Microsoft Entra finden Sie unter Konfigurieren der Integration mit Microsoft Entra-ID
- Weitere IdP-Lösungen finden Sie unter Konfigurieren der Integration mit anderen IdP-Lösungen
Nachdem Sie diese Aufgabe beendet haben, navigieren Sie zum Defender for Cloud Apps-Portal und erstellen Sie eine Sitzungsrichtlinie zum Überwachen und Kontrollieren von Downloads von Dateien in einer Sitzung.
Schritt 2: Erstellen einer Sitzungsrichtlinie
Gehen Sie im Microsoft Defender Portal unter Cloud Apps zu Richtlinien und wählen Sie dann Richtlinienverwaltung aus.
Klicken Sie auf der Seite Richtlinien auf Richtlinie erstellen und anschließend auf Sitzungsrichtlinie.
Benennen Sie Ihre Richtlinie auf der Seite Sitzungsrichtlinie erstellen, und fügen Sie eine Beschreibung hinzu. Sie können Sie zum Beispiel Downloads von Salesforce für nicht verwaltete Geräte blockieren nennen.
Legen Sie einen Schweregrad der Richtlinie und eine Kategorie fest.
Wählen Sie für Sitzungssteuerungstyp die Option Dateidownload steuern (mit Überprüfung) aus. Mit dieser Einstellung können Sie alle Aktivitäten Ihrer Benutzer während einer Salesforce-Sitzung überwachen. Außerdem können Sie das Blockieren und Schützen von Downloads in Echtzeit steuern.
Wählen Sie unter Aktivitätsquelle im Abschnitt Aktivitäten, die den folgenden Vorgaben entsprechen die folgenden Filter aus:
Gerätetag: Nicht gleich auswählen. Wählen Sie dann Kompatibel, In die Domäne eingebunden oder Gültiges Clientzertifikat aus. Die Auswahl hängt von der in Ihrer Organisation verwendeten Methode zur Identifizierung verwalteter Geräte ab.
App: Wählen Sie die App aus, die Sie steuern möchten.
Benutzer: Wählen Sie die Benutzer aus, die Sie überwachen möchten.
Alternativ können Sie die Downloads von Standorten blockieren, die nicht Bestandteil Ihres Unternehmensnetzwerks sind. Legen Sie unter Aktivitätsquelle im Abschnitt Activities matching all of the following (Aktivitäten, die den folgenden Vorgaben entsprechen) folgende Filter fest:
- IP-Adresse oder Standort: Sie können einen dieser beiden Parameter nutzen, um unbekannte Standorte oder Standorte außerhalb des Unternehmensbereichs zu identifizieren, von denen aus ein Benutzer möglicherweise auf sensible Daten zugreifen könnte.
Hinweis
Wenn Sie Downloads von nicht verwalteten Geräten UND nicht unternehmenseigenen Standorten blockieren möchten, müssen Sie zwei Sitzungsrichtlinien erstellen. Eine Richtlinie legt die Aktivitätsquelle unter Verwendung des Standorts fest. Die andere Richtlinie legt die Aktivitätsquelle auf nicht verwaltete Geräte fest.
App: Wählen Sie die App aus, die Sie steuern möchten.
Benutzer: Wählen Sie die Benutzer aus, die Sie überwachen möchten.
Legen Sie unter Aktivitätsquelle im Abschnitt Files matching all of the following (Dateien, die den folgenden Vorgaben entsprechen) folgende Filter fest:
Sensitivitätskennzeichnungen: Wenn Sie Sensitivitätskennzeichnungen von Microsoft Purview Information Protection verwenden, filtern Sie die Dateien basierend auf einer bestimmten Vertraulichkeitsbezeichnung von Microsoft Purview Information Protection.
Wählen Sie Dateiname oder Dateityp aus, um anhand des Dateinamens oder des -typs Einschränkungen anzuwenden.
Aktivieren Sie Inhaltsuntersuchung, um die interne Verhinderung von Datenverlust zu aktivieren, damit Ihre Dateien auf vertrauliche Inhalte überprüft werden.
Klicken Sie unter Aktionen auf Blockieren. Passen Sie die Blockierungsmeldung an, die Ihre Benutzer erhalten, wenn sie Dateien nicht herunterladen können.
Legen Sie die Warnungen fest, die Sie erhalten möchten, wenn die Richtlinie eine Übereinstimmung findet. Sie können einen Grenzwert festlegen, sodass Sie nicht zu viele Warnungen erhalten. Wählen Sie aus, ob Sie die Warnmeldungen als E-Mail erhalten möchten.
Klicken Sie auf Erstellen.
Überprüfen Ihrer Richtlinie
Melden Sie sich bei der App an, um den blockierten Dateidownload auf einem nicht verwalteten Gerät oder von einem Netzwerkstandort außerhalb des Unternehmensbereichs zu simulieren. Versuchen Sie dann, eine Datei herunterzuladen.
Die Datei sollte blockiert sein, und Sie sollten die Nachricht erhalten, die Sie unter Blockierungsmeldung anpassen bestimmt haben.
Gehen Sie im Microsoft Defender Portal unter Cloud Apps zu Richtlinien und wählen Sie dann Richtlinienverwaltung aus. Wählen Sie dann die Richtlinie aus, die Sie erstellt haben, um den Richtlinienbericht anzuzeigen. Eine Übereinstimmung mit der Sitzungsrichtlinie sollte in Kürze angezeigt werden.
Im Richtlinienbericht erfahren Sie, welche Anmeldungen zur Sitzungssteuerung nach Microsoft Defender for Cloud Apps umgeleitet und welche Dateien während der überwachten Sitzungen heruntergeladen oder blockiert wurden.
Nächste Schritte
Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.