Tutorial: Memblokir pengunduhan informasi sensitif dengan Kontrol Aplikasi Akses Bersyarah

Admin TI hari ini terjebak antara batu dan tempat yang keras. Anda ingin memungkinkan karyawan Anda menjadi produktif. Itu berarti memungkinkan karyawan mengakses aplikasi sehingga mereka dapat bekerja kapan saja, dari perangkat apa pun. Namun, Anda ingin melindungi aset perusahaan termasuk informasi kepemilikan dan hak istimewa. Bagaimana Anda dapat mengaktifkan karyawan untuk mengakses aplikasi cloud sambil melindungi data Anda? Tutorial ini memungkinkan Anda memblokir unduhan oleh pengguna yang memiliki akses ke data sensitif Anda di aplikasi cloud perusahaan dari perangkat yang tidak dikelola atau lokasi jaringan di luar perusahaan.

Dalam tutorial ini, Anda akan mempelajari cara:

• Membuat kebijakan unduhan blok untuk perangkat yang tidak dikelola
• Memvalidasi kebijakan Anda

Ancaman

Manajer akun di organisasi Anda ingin memeriksa sesuatu di Salesforce dari rumah selama akhir pekan, di laptop pribadi mereka. Data Salesforce mungkin menyertakan informasi kartu kredit klien atau informasi pribadi. PC rumah tidak terkelola. Jika mereka mengunduh dokumen dari Salesforce ke PC, dokumen tersebut mungkin terinfeksi malware. Jika perangkat hilang atau dicuri, perangkat mungkin tidak dilindungi kata sandi dan siapa pun yang menemukannya memiliki akses ke informasi sensitif.

Solusinya

Lindungi organisasi Anda dengan memantau dan mengontrol penggunaan aplikasi cloud dengan solusi IdP dan Defender untuk Cloud Apps Conditional Access App Control.

Prasyarat

• Lisensi yang valid untuk lisensi Microsoft Entra ID P1, atau lisensi yang diperlukan oleh solusi Penyedia Identitas (IdP) Anda

• Konfigurasikan aplikasi cloud untuk SSO menggunakan salah satu protokol autentikasi berikut:

  IdP	Protokol
  Microsoft Entra ID	KONEKSI SAML 2.0 atau OpenID
  Lainnya	SAML 2.0

• Pastikan aplikasi disebarkan ke aplikasi Defender untuk Cloud

Membuat kebijakan unduhan blok untuk perangkat yang tidak dikelola

kebijakan sesi Defender untuk Cloud Apps memungkinkan Anda membatasi sesi berdasarkan status perangkat. Untuk mencapai kontrol sesi menggunakan perangkatnya sebagai kondisi, buat kebijakan akses bersyar dan kebijakan sesi.

Untuk membuat kebijakan akses bersyarah, ikuti langkah-langkah dalam Membuat kebijakan akses aplikasi Defender untuk Cloud. Tutorial ini akan menjelaskan cara membuat kebijakan sesi.

Langkah 1: Konfigurasikan IdP Anda agar berfungsi dengan aplikasi Defender untuk Cloud

Pastikan Anda telah mengonfigurasi solusi IdP untuk bekerja dengan aplikasi Defender untuk Cloud, sebagai berikut:

• Untuk Microsoft Entra Conditional Access, lihat Mengonfigurasi integrasi dengan MICROSOFT Entra ID
• Untuk solusi IdP lainnya, lihat Mengonfigurasi integrasi dengan solusi IdP lainnya

Setelah menyelesaikan tugas ini, buka portal aplikasi Defender untuk Cloud dan buat kebijakan sesi untuk memantau dan mengontrol unduhan file dalam sesi.

Langkah 2: Membuat kebijakan sesi

1. Di Portal Pertahanan Microsoft, di bawah Aplikasi Cloud, buka Kebijakan, lalu pilih Manajemen kebijakan.

2. Di halaman Kebijakan , pilih Buat kebijakan diikuti dengan Kebijakan sesi.

3. Di halaman Buat kebijakan sesi, beri nama dan deskripsi kebijakan Anda. Misalnya, Blokir unduhan dari Salesforce untuk perangkat yang tidak dikelola.

4. Tetapkan tingkat keparahan dan Kategori Kebijakan.

5. Untuk Jenis kontrol Sesi, pilih Kontrol unduhan file (dengan inspeksi). Pengaturan ini memberi Anda kemampuan untuk memantau semua yang dilakukan pengguna Anda dalam sesi Salesforce dan memberi Anda kontrol untuk memblokir dan melindungi unduhan secara real time.

6. Di bawah Sumber aktivitas di Aktivitas yang cocok dengan semua bagian berikut, pilih filter:

   • Tag perangkat: Pilih Tidak sama. lalu pilih Sesuai intune, microsoft Entra hybrid joined, atau Valid client certificate. Pilihan Anda bergantung pada metode yang digunakan di organisasi Anda untuk mengidentifikasi perangkat terkelola.

   • Aplikasi: Pilih aplikasi yang ingin Anda kontrol.

   • Pengguna: Pilih pengguna yang ingin Anda pantau.

7. Atau, Anda dapat memblokir unduhan untuk lokasi yang bukan bagian dari jaringan perusahaan Anda. Di bawah Sumber aktivitas di Aktivitas yang cocok dengan semua bagian berikut ini , atur filter berikut:

   • Alamat IP atau Lokasi: Anda dapat menggunakan salah satu dari dua parameter ini untuk mengidentifikasi lokasi non-perusahaan atau tidak dikenal, tempat pengguna mungkin mencoba mengakses data sensitif.

   Catatan

   Jika Anda ingin memblokir unduhan dari perangkat yang tidak dikelola dan lokasi non-perusahaan, Anda harus membuat dua kebijakan sesi. Satu kebijakan menetapkan sumber Aktivitas menggunakan lokasi. Kebijakan lainnya menetapkan sumber Aktivitas ke perangkat yang tidak dikelola.

   • Aplikasi: Pilih aplikasi yang ingin Anda kontrol.

   • Pengguna: Pilih pengguna yang ingin Anda pantau.

8. Di bawah Sumber aktivitas di File yang cocok dengan semua bagian berikut, atur filter berikut:

   • Label sensitivitas: Jika Anda menggunakan label sensitivitas dari Perlindungan Informasi Microsoft Purview, filter file berdasarkan label sensitivitas Perlindungan Informasi Microsoft Purview tertentu.

   • Pilih Nama file atau Jenis file untuk menerapkan pembatasan berdasarkan nama atau jenis file.

9. Aktifkan Inspeksi konten untuk mengaktifkan DLP internal guna memindai file Anda untuk konten sensitif.

10. Di bawah Tindakan, pilih blokir. Sesuaikan pesan pemblokiran yang didapat pengguna Anda saat mereka tidak dapat mengunduh file.

11. Atur pemberitahuan yang ingin Anda terima saat kebijakan cocok. Anda dapat menetapkan batas sehingga Anda tidak menerima terlalu banyak pemberitahuan. Pilih apakah akan mendapatkan pemberitahuan sebagai pesan email.

12. Pilih Buat.

Memvalidasi kebijakan Anda

1. Untuk mensimulasikan unduhan file yang diblokir, dari perangkat yang tidak dikelola atau lokasi jaringan non-perusahaan, masuk ke aplikasi. Kemudian, coba unduh file.

2. File harus diblokir dan Anda harus menerima pesan yang Anda tetapkan di bawah Kustomisasi pesan blokir.

3. Di Portal Pertahanan Microsoft, di bawah Aplikasi Cloud, buka Kebijakan, lalu pilih Manajemen kebijakan. Kemudian pilih kebijakan yang telah Anda buat untuk melihat laporan kebijakan. Kecocokan kebijakan sesi akan segera muncul.

4. Dalam laporan kebijakan, Anda dapat melihat login mana yang dialihkan ke Microsoft Defender untuk Cloud Apps untuk kontrol sesi, dan file mana yang diunduh atau diblokir dari sesi yang dipantau.

Langkah berikutnya

Cara membuat kebijakan akses

Cara membuat kebijakan sesi

Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.