Oktatóanyag: Bizalmas adatok letöltésének letiltása feltételes hozzáférésű alkalmazásvezérléssel
A mai rendszergazda elakadt egy kőkemény hely között. Azt szeretné, hogy az alkalmazottak hatékonyan tudjanak dolgozni. Ez azt jelenti, hogy az alkalmazottak hozzáférhetnek az alkalmazásokhoz, így bármikor, bármilyen eszközről dolgozhatnak. Azonban meg szeretné védeni a vállalat eszközeit, beleértve a védett és kiemelt információkat is. Hogyan engedélyezheti az alkalmazottak számára a felhőalkalmazások elérését az adatok védelme mellett? Ez az oktatóanyag lehetővé teszi azoknak a felhasználóknak a letöltését, akik hozzáférhetnek a vállalati felhőalkalmazásokban lévő bizalmas adatokhoz nem felügyelt eszközökről vagy vállalati hálózaton kívüli helyekről.
Az oktatóanyag segítségével megtanulhatja a következőket:
A fenyegetés
A szervezet egyik fiókkezelője a hétvégén otthonról, a személyes laptopján szeretne ellenőrizni valamit a Salesforce-ban. A Salesforce-adatok tartalmazhatnak ügyfél-hitelkártyaadatokat vagy személyes adatokat. Az otthoni számítógép nincs kezelve. Ha dokumentumokat töltenek le a Salesforce-ból a számítógépre, az kártevővel fertőzött lehet. Az eszköz elvesztése vagy ellopása esetén nem biztos, hogy jelszóval védett, és bárki, aki megtalálja, hozzáférhet a bizalmas információkhoz.
Ebben az esetben a felhasználók a vállalati hitelesítő adataikkal jelentkeznek be a Salesforce-ba Microsoft Entra ID keresztül.
A megoldás
A felhőalkalmazások Defender for Cloud Apps feltételes hozzáférésű alkalmazásvezérléssel történő monitorozásával és szabályozásával megvédheti szervezetét.
Előfeltételek
- Érvényes licenc Microsoft Entra ID P1 licenchez vagy az identitásszolgáltatói (IDP-) megoldáshoz szükséges licenchez
- A Salesforce Microsoft Entra feltételes hozzáférési szabályzata
- Microsoft Entra ID alkalmazásként konfigurált Salesforce
Tiltó letöltési szabályzat létrehozása nem felügyelt eszközökhöz
Ez az eljárás azt ismerteti, hogyan hozhat létre csak Defender for Cloud Apps munkamenet-szabályzatot, amely lehetővé teszi a munkamenetek eszközállapot alapján történő korlátozását.
Ha egy munkamenetet eszköz használatával szeretne szabályozni feltételként, létre kell hoznia egy Defender for Cloud Apps hozzáférési szabályzatot is. További információ: Microsoft Defender for Cloud Apps hozzáférési szabályzatok létrehozása.
A munkamenet-szabályzat létrehozása
A Microsoft Defender PortálFelhőalkalmazások területén válassza a Szabályzatokházirendkezelése> lehetőséget.
A Szabályzatok lapon válassza a Házirend-munkamenetszabályzat >létrehozásalehetőséget.
A Munkamenet-szabályzat létrehozása lapon adjon nevet és leírást a szabályzatnak. Például a Nem felügyelt eszközökre vonatkozó Letöltések letiltása a Salesforce-ból.
Rendeljen hozzá egy szabályzat súlyosságát és egy kategóriát.
A Munkamenet-vezérlő típusa beállításnál válassza a Fájlletöltés vezérlése (ellenőrzéssel) lehetőséget. Ezzel a beállítással monitorozhat mindent, amit a felhasználók egy Salesforce-munkameneten belül végeznek, és lehetővé teszi a letöltések valós idejű letiltásának és védelmének szabályozását.
A Tevékenységforrás területen válassza ki a szűrőket az alábbi szakasznak megfelelő tevékenységek között:
Eszközcímke: Válassza a Nem egyenlő lehetőséget. majd válassza Intune megfelelő, hibrid Azure AD csatlakoztatott vagy Érvényes ügyféltanúsítvány lehetőséget. A kiválasztás a szervezetben a felügyelt eszközök azonosítására használt módszertől függ.
Alkalmazás: Válassza az Automatizált Azure AD azEquals>Salesforce előkészítése > lehetőséget.
Azt is megteheti, hogy letiltja a letöltéseket olyan helyeken, amelyek nem részei a vállalati hálózatnak. A Tevékenységforrás területen állítsa be az alábbi szűrőket a Tevékenységek területen:
- IP-cím vagy hely: E két paraméter egyikével azonosíthatja a nem vállalati vagy ismeretlen helyeket, amelyekről a felhasználó bizalmas adatokhoz próbál hozzáférni.
Megjegyzés:
Ha nem felügyelt eszközökről és nem vállalati helyekről is le szeretné tiltani a letöltéseket, két munkamenet-szabályzatot kell létrehoznia. Az egyik szabályzat a hely használatával állítja be a tevékenységforrást . A másik szabályzat nem felügyelt eszközökre állítja be a tevékenységforrást .
- Alkalmazás: Válassza az Automatizált Azure AD azEquals>Salesforce előkészítése > lehetőséget.
A Tevékenységforrás területen állítsa be az alábbi szűrőket a Következő fájlok területen:
Bizalmassági címkék: Ha Microsoft Purview információvédelem bizalmassági címkéket használ, szűrje a fájlokat egy adott Microsoft Purview információvédelem bizalmassági címke alapján.
Válassza a Fájlnév vagy a Fájltípus lehetőséget, ha fájlnév vagy típus alapján szeretne korlátozásokat alkalmazni.
Engedélyezze a Tartalomvizsgálatot , hogy a belső DLP bizalmas tartalmakat keressen a fájlokban.
A Műveletek területen válassza a blokk lehetőséget. Testre szabhatja azt a blokkoló üzenetet, amelyet a felhasználók kapnak, ha nem tudnak fájlokat letölteni.
Konfigurálja a szabályzat egyeztetésekor megkapni kívánt riasztásokat, például egy korlátot, hogy ne kapjon túl sok riasztást, és hogy e-mailként szeretné-e megkapni a riasztásokat.
Válassza a Létrehozás lehetőséget.
A szabályzat ellenőrzése
A letiltott fájlletöltés szimulálásához jelentkezzen be az alkalmazásba nem felügyelt eszközről vagy nem vállalati hálózati helyről. Ezután próbáljon meg letölteni egy fájlt.
A fájlnak blokkolva kell lennie, és a korábban meghatározott üzenetet kell kapnia a Tiltóüzenetek testreszabása területen.
A Microsoft Defender PortálFelhőalkalmazások területén lépjen a Szabályzatok területre, majd válassza a Szabályzatkezelés lehetőséget. Ezután válassza ki a létrehozott szabályzatot a szabályzatjelentés megtekintéséhez. Hamarosan megjelenik egy munkamenet-szabályzategyeztetés.
A szabályzatjelentésben láthatja, hogy mely bejelentkezések lettek átirányítva Microsoft Defender for Cloud Apps munkamenet-vezérlés céljából, és mely fájlok lettek letöltve vagy letiltva a figyelt munkamenetekből.
Következő lépések
Ha bármilyen problémába ütközik, segítünk. Ha segítséget vagy támogatást szeretne kapni a termék problémájához, nyisson egy támogatási jegyet.