Oktatóanyag: Bizalmas adatok letöltésének letiltása a feltételes hozzáférésű alkalmazásvezérlővel

A mai informatikai rendszergazda elakadt egy kőkemény hely között. Azt szeretné, hogy az alkalmazottak hatékonyak legyenek. Ez azt jelenti, hogy az alkalmazottak hozzáférhetnek az alkalmazásokhoz, hogy bármikor, bármilyen eszközről dolgozhassanak. Azonban meg szeretné védeni a vállalat eszközeit, beleértve a védett és kiemelt információkat is. Hogyan engedélyezheti az alkalmazottak számára a felhőalkalmazások elérését az adatok védelme során? Ez az oktatóanyag lehetővé teszi, hogy letiltsa azoknak a felhasználóknak a letöltését, akik hozzáférhetnek a vállalati felhőalkalmazásokban lévő bizalmas adatokhoz nem felügyelt eszközökről vagy vállalati hálózaton kívüli helyekről.

Az oktatóanyag segítségével megtanulhatja a következőket:

• Blokkletöltési szabályzat létrehozása nem felügyelt eszközökhöz
• Szabályzat érvényesítése

A fenyegetés

A szervezet egyik fiókmenedzsere otthonról szeretne ellenőrizni valamit a Salesforce-ban a hétvégén a személyes laptopján. A Salesforce-adatok tartalmazhatnak ügyfél hitelkártyaadatokat vagy személyes adatokat. Az otthoni számítógép nincs kezelve. Ha dokumentumokat töltenek le a Salesforce-ból a PC-re, az kártevővel fertőzött lehet. Ha az eszköz elveszik vagy ellopják, lehet, hogy nem lesz jelszóval védve, és bárki, aki úgy találja, hogy hozzáfér a bizalmas információkhoz.

A megoldás

A felhőalkalmazások bármely idP-megoldással és a Felhőhöz készült Defender Alkalmazások feltételes hozzáférésű alkalmazásvezérlésével történő monitorozásával és szabályozásával megvédheti szervezetét.

Előfeltételek

• Érvényes licenc a Microsoft Entra ID P1 licenchez vagy az identitásszolgáltató (IDP) megoldásához szükséges licenchez

• Felhőalapú alkalmazás konfigurálása egyszeri bejelentkezéshez az alábbi hitelesítési protokollok egyikével:

  IdP	Protokollok
  Microsoft Entra ID	SAML 2.0 vagy OpenID Csatlakozás
  Egyéb	SAML 2.0

• Győződjön meg arról, hogy az alkalmazás telepítve van az Felhőhöz készült Defender-alkalmazásokban

Blokkletöltési szabályzat létrehozása nem felügyelt eszközökhöz

Felhőhöz készült Defender Alkalmazások munkamenetszabályzatai lehetővé teszik a munkamenetek eszközállapoton alapuló korlátozását. Ha egy munkamenetet feltételként használva szeretne szabályozni egy munkamenetet, hozzon létre egy feltételes hozzáférési szabályzatot és egy munkamenet-szabályzatot is.

A feltételes hozzáférési szabályzat létrehozásához kövesse az Felhőhöz készült Defender-alkalmazások hozzáférési szabályzatának létrehozását. Ez az oktatóanyag bemutatja, hogyan hozhatja létre a munkamenet-szabályzatot.

1. lépés: Az identitásszolgáltató konfigurálása az Felhőhöz készült Defender-alkalmazások használatához

Győződjön meg arról, hogy az IdP-megoldást úgy konfigurálta, hogy az Felhőhöz készült Defender-alkalmazásokkal működjön, az alábbiak szerint:

• A Microsoft Entra feltételes hozzáféréssel kapcsolatban lásd: Integráció konfigurálása a Microsoft Entra-azonosítóval
• Egyéb idP-megoldások esetén lásd : Integráció konfigurálása más identitásszolgáltatói megoldásokkal

A feladat elvégzése után lépjen a Felhőhöz készült Defender Alkalmazások portálra, és hozzon létre egy munkamenet-szabályzatot a munkamenet fájlletöltéseinek figyeléséhez és szabályozásához.

2. lépés: Munkamenet-szabályzat létrehozása

1. A Microsoft Defender portál Cloud Apps területén lépjen a Szabályzatok elemre, majd válassza a Szabályzatkezelés lehetőséget.

2. A Szabályzatok lapon válassza a Házirend létrehozása, majd a Munkamenet-szabályzat lehetőséget.

3. A Munkamenet-házirend létrehozása lapon adjon nevet és leírást a szabályzatnak. Tiltsa le például a Salesforce-ból a nem felügyelt eszközök letöltését.

4. Szabályzat súlyosságának és kategóriájának hozzárendelése.

5. A munkamenet-vezérlés típusához válassza a Control file download (with inspection) (Control file download with inspection) (Control file download) (ellenőrzéssel) lehetőséget. Ezzel a beállítással monitorozhat mindent, amit a felhasználók a Salesforce-munkameneteken belül végeznek, és lehetővé teszi a letöltések valós idejű letiltásának és védelmének szabályozását.

6. Az alábbi szakasznak megfelelő Tevékenységek területen válassza ki a szűrőket:

   • Eszközcímke: Válassza a Nem egyenlő lehetőséget. majd válassza az Intune-kompatibilis, a Microsoft Entra hibrid csatlakozású vagy az Érvényes ügyféltanúsítvány lehetőséget. A kiválasztás a szervezet által a felügyelt eszközök azonosítására használt módszertől függ.

   • Alkalmazás: Válassza ki a vezérelni kívánt alkalmazást.

   • Felhasználók: Jelölje ki a figyelni kívánt felhasználókat.

7. Azt is megteheti, hogy letiltja a letöltéseket olyan helyeken, amelyek nem részei a vállalati hálózatnak. Az alábbi szakasznak megfelelő Tevékenységek területen állítsa be a következő szűrőket:

   • IP-cím vagy hely: E két paraméter egyikével azonosíthatja a nem vállalati vagy ismeretlen helyeket, amelyekről a felhasználó bizalmas adatokhoz próbál hozzáférni.

   Feljegyzés

   Ha nem felügyelt eszközökről és nem vállalati helyekről is szeretné letiltani a letöltéseket, két munkamenet-szabályzatot kell létrehoznia. Az egyik házirend a hely használatával állítja be a tevékenység forrását . A másik szabályzat nem felügyelt eszközökre állítja a tevékenységforrást .

   • Alkalmazás: Válassza ki a vezérelni kívánt alkalmazást.

   • Felhasználók: Jelölje ki a figyelni kívánt felhasználókat.

8. A Következő szakasznak megfelelő fájlok tevékenységforrás csoportjában állítsa be a következő szűrőket:

   • Bizalmassági címkék: Ha Microsoft Purview információvédelem bizalmassági címkéket használ, szűrje a fájlokat egy adott Microsoft Purview információvédelem bizalmassági címke alapján.

   • Válassza a Fájlnév vagy a Fájltípus lehetőséget, ha a fájlnév vagy a típus alapján szeretne korlátozásokat alkalmazni.

9. Engedélyezze a tartalomvizsgálatot , hogy lehetővé tegye a belső DLP számára a fájlok bizalmas tartalmak keresését.

10. A Műveletek területen válassza a blokkot. Testre szabhatja a felhasználók által a fájlok letöltésekor megjelenő blokkoló üzenetet.

11. Adja meg a szabályzat egyeztetésekor megkapni kívánt riasztásokat. Beállíthat egy korlátot, hogy ne kapjon túl sok riasztást. Válassza ki, hogy e-mailként szeretné-e megkapni a riasztásokat.

12. Válassza a Létrehozás lehetőséget.

Szabályzat érvényesítése

1. A letiltott fájlletöltés szimulálásához, nem felügyelt eszközről vagy nem vállalati hálózati helyről jelentkezzen be az alkalmazásba. Ezután próbáljon meg letölteni egy fájlt.

2. A fájlt le kell tiltani, és a Blokküzenetek testreszabása csoportban megadott üzenetet kell kapnia.

3. A Microsoft Defender portál Cloud Apps területén lépjen a Szabályzatok elemre, majd válassza a Szabályzatkezelés lehetőséget. Ezután válassza ki a létrehozott szabályzatot a szabályzatjelentés megtekintéséhez. Hamarosan megjelenik egy munkamenet-szabályzategyezés.

4. A szabályzatjelentésben láthatja, hogy mely bejelentkezések lettek átirányítva a Felhőhöz készült Microsoft Defender-alkalmazásokba a munkamenet-vezérléshez, és mely fájlok lettek letöltve vagy letiltva a figyelt munkamenetekből.

Következő lépések

Hozzáférési szabályzat létrehozása

Munkamenet-szabályzat létrehozása

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.