Tutorial: Bloqueo de descargas de información confidencial con el control de aplicaciones de acceso condicional de Microsoft Cloud App Security

Los administradores de TI de hoy en día se encuentran entre la espada y la pared. Quiere permitir que los empleados sean productivos. Para ello, hay que permitirles el acceso a aplicaciones, de forma que puedan trabajar en cualquier momento y desde cualquier dispositivo. Pero quiere proteger los activos de la empresa, incluida la información propietaria y con privilegios. ¿Cómo se puede permitir el acceso de los empleados a las aplicaciones en la nube y, al mismo tiempo, proteger los datos? En este tutorial se describe cómo bloquear las descargas de los usuarios que tienen acceso a datos confidenciales en las aplicaciones en la nube de la empresa desde dispositivos no administrados o ubicaciones de red no corporativas.

En este tutorial, aprenderá a:

• Crear una directiva de bloqueo de descarga en dispositivos no administrados
• Validar la directiva

La amenaza

Un administrador de cuentas de la organización quiere consultar algo en Salesforce desde casa durante el fin de semana en su portátil personal. Los datos de Salesforce pueden incluir desde información de la tarjeta de crédito de un cliente hasta información de carácter personal. El equipo doméstico no está administrado. Si descarga los documentos de Salesforce en el equipo, puede estar infectado con malware. En caso de que se pierda el dispositivo o de que alguien lo robe, puede que no esté protegido por contraseña y que cualquier persona que lo encuentre tenga acceso a información confidencial.

En este caso, los usuarios inician sesión en Salesforce con sus credenciales corporativas, a través de Microsoft Entra ID.

La solución

Proteja su organización supervisando y controlando el uso de aplicaciones en la nube con el control de aplicaciones de acceso condicional de Defender for Cloud Apps.

Requisitos previos

• Una licencia válida para la licencia Microsoft Entra ID P1, o la licencia requerida por su solución de proveedor de identidad (IdP)
• Una directiva de acceso condicional de Microsoft Entra para Salesforce
• Salesforce configurado como una aplicación de Microsoft Entra ID

Crear una directiva de bloqueo de descarga en dispositivos no administrados

En este procedimiento se describe cómo crear solo una directiva de sesión de Defender for Cloud Apps, que permite restringir una sesión en función del estado de un dispositivo.

Para controlar una sesión mediante un dispositivo como condición, también debe crear una directiva de acceso de Defender for Cloud Apps. Para obtener más información, consulte Creación de directivas de acceso de Microsoft Defender for Cloud Apps.

Para crear la directiva de sesión

1. En el portal de Microsoft Defender, en Aplicaciones en la nube, seleccione Directivas>Administración de directivas.

2. En la página Directivas, seleccione Crear directiva>Directiva de sesión.

3. En la página Creación de directivas de sesión, especifique un nombre y una descripción para la directiva. Por ejemplo, Bloquear descargas desde Salesforce con dispositivos no administrados.

4. Asigne una Gravedad de directiva y una Categoría.

5. En Tipo de control de sesión, seleccione Control de la descarga de archivos (con inspección). Esta configuración le proporciona la capacidad de supervisar todo lo que hacen los usuarios en una sesión de Salesforce, así como control para bloquear y proteger las descargas en tiempo real.

6. En Origen de actividad en la sección Actividades que coinciden con todo lo siguiente, seleccione estos filtros:

   • Etiqueta de dispositivo: seleccione No es igual. y, a continuación, seleccione Intune compatible, Unido a Azure AD híbrido o Certificado de cliente válido. La selección depende del método que se usa en su organización para identificar los dispositivos administrados.

   • Aplicación: seleccione Incorporación automatizada de Azure AD>Es igual a>Salesforce.

7. Como alternativa, puede bloquear las descargas desde ubicaciones que no forman parte de la red corporativa. En Origen de actividad en la sección Actividades que coinciden con todo lo siguiente, establezca los siguientes filtros:

   • Dirección IP o Ubicación: use cualquiera de estos dos parámetros para identificar las ubicaciones desconocidas o no corporativas desde las que un usuario podría estar intentando tener acceso a datos confidenciales.

   Nota:

   Si quiere bloquear las descargas TANTO desde dispositivos no administrados como desde ubicaciones no corporativas, tendrá que crear dos directivas de sesión. Establezca en una directiva el Origen de actividad mediante la ubicación. Establezca en la otra directiva el Origen de actividad en dispositivos no administrados.

   • Aplicación: seleccione Incorporación automatizada de Azure AD>Es igual a>Salesforce.

8. Establezca los siguientes filtros en la sección Archivos que coinciden con todo lo siguiente de Origen de la actividad:

   • Etiquetas de confidencialidad: si usa etiquetas de confidencialidad de Microsoft Purview Information Protection, filtre los archivos en función de una etiqueta de confidencialidad específica de Microsoft Purview Information Protection.

   • Seleccione Nombre de archivo o Tipo de archivo para aplicar restricciones basadas en el nombre o el tipo de archivo.

9. Habilite Inspección de contenido para permitir que la DLP interna examine los archivos en busca de contenido confidencial.

10. En Acciones, seleccione bloquear. Personalice el mensaje de bloqueo que verán los usuarios cuando no puedan descargar archivos.

11. Configure las alertas que desea recibir cuando coincida la directiva, como un límite para que no reciba demasiadas alertas y si desea obtener las alertas como correo electrónico.

12. Seleccione Crear.

Validar la directiva

1. Para simular la descarga de archivos bloqueada, inicie sesión en la aplicación desde un dispositivo no administrado o una ubicación de red no corporativa. Después, intente descargar un archivo.

2. El archivo debería estar bloqueado y debería recibir el mensaje que definió antes, en Personalizar mensajes de bloqueo.

3. En el Portal de Microsoft Defender, en Aplicaciones en la nube, vaya a Directivas y, a continuación, seleccione Administración de directivas. A continuación, seleccione la directiva que ha creado para ver el informe de directivas. Una coincidencia de directiva de sesión debe aparecer en breve.

4. En el informe de directiva puede ver los inicios de sesión que se han redirigido a Microsoft Defender for Cloud Apps para someterlos a un control de sesión, así como los archivos que se han descargado o bloqueado en las sesiones supervisadas.

Pasos siguientes

Cómo crear una directiva de acceso

Cómo crear una directiva de sesión

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.