Tutorial: Memblokir pengunduhan informasi sensitif dengan Kontrol Aplikasi Akses Bersyarah
Admin TI hari ini terjebak antara batu dan tempat yang keras. Anda ingin memungkinkan karyawan Anda menjadi produktif. Itu berarti memungkinkan karyawan mengakses aplikasi sehingga mereka dapat bekerja kapan saja, dari perangkat apa pun. Namun, Anda ingin melindungi aset perusahaan termasuk informasi kepemilikan dan hak istimewa. Bagaimana Anda dapat mengaktifkan karyawan untuk mengakses aplikasi cloud sambil melindungi data Anda? Tutorial ini memungkinkan Anda memblokir unduhan oleh pengguna yang memiliki akses ke data sensitif Anda di aplikasi cloud perusahaan dari perangkat yang tidak dikelola atau lokasi jaringan di luar perusahaan.
Dalam tutorial ini, Anda akan mempelajari cara:
Ancaman
Manajer akun di organisasi Anda ingin memeriksa sesuatu di Salesforce dari rumah selama akhir pekan, di laptop pribadi mereka. Data Salesforce mungkin menyertakan informasi kartu kredit klien atau informasi pribadi. PC rumah tidak terkelola. Jika mereka mengunduh dokumen dari Salesforce ke PC, dokumen tersebut mungkin terinfeksi malware. Jika perangkat hilang atau dicuri, perangkat mungkin tidak dilindungi kata sandi dan siapa pun yang menemukannya memiliki akses ke informasi sensitif.
Dalam hal ini, pengguna Anda masuk ke Salesforce menggunakan kredensial perusahaan mereka, melalui ID Microsoft Entra.
Solusinya
Lindungi organisasi Anda dengan memantau dan mengontrol penggunaan aplikasi cloud dengan kontrol aplikasi Akses Bersyar aplikasi Defender untuk Cloud Apps.
Prasyarat
- Lisensi yang valid untuk lisensi Microsoft Entra ID P1, atau lisensi yang diperlukan oleh solusi Penyedia Identitas (IdP) Anda
- Kebijakan Akses Bersyar Microsoft Entra untuk Salesforce
- Salesforce dikonfigurasi sebagai aplikasi ID Microsoft Entra
Membuat kebijakan unduhan blok untuk perangkat yang tidak dikelola
Prosedur ini menjelaskan cara membuat kebijakan sesi Defender untuk Cloud Apps saja, yang memungkinkan Anda membatasi sesi berdasarkan status perangkat.
Untuk mengontrol sesi menggunakan perangkat sebagai kondisi, Anda juga harus membuat kebijakan akses aplikasi Defender untuk Cloud. Untuk informasi selengkapnya, lihat Membuat kebijakan akses aplikasi Microsoft Defender untuk Cloud.
Untuk membuat kebijakan sesi Anda
Di Portal Pertahanan Microsoft, di bawah Aplikasi Cloud, pilih> Manajemen Kebijakan.
Di halaman Kebijakan, pilih Buat kebijakan Sesi kebijakan>.
Di halaman Buat kebijakan sesi, beri nama dan deskripsi kebijakan Anda. Misalnya, Blokir unduhan dari Salesforce untuk perangkat yang tidak dikelola.
Tetapkan tingkat keparahan dan Kategori Kebijakan.
Untuk Jenis kontrol Sesi, pilih Kontrol unduhan file (dengan inspeksi). Pengaturan ini memberi Anda kemampuan untuk memantau semua yang dilakukan pengguna Anda dalam sesi Salesforce dan memberi Anda kontrol untuk memblokir dan melindungi unduhan secara real time.
Di bawah Sumber aktivitas di Aktivitas yang cocok dengan semua bagian berikut, pilih filter:
Tag perangkat: Pilih Tidak sama. lalu pilih Sertifikat klien yang sesuai dengan Intune, Azure AD Hibrid, atau Valid. Pilihan Anda bergantung pada metode yang digunakan di organisasi Anda untuk mengidentifikasi perangkat terkelola.
Aplikasi: Pilih Onboarding>Microsoft Azure AD otomatis Sama dengan>Salesforce.
Atau, Anda dapat memblokir unduhan untuk lokasi yang bukan bagian dari jaringan perusahaan Anda. Di bawah Sumber aktivitas di Aktivitas yang cocok dengan semua bagian berikut ini , atur filter berikut:
- Alamat IP atau Lokasi: Gunakan salah satu dari dua parameter ini untuk mengidentifikasi lokasi non-perusahaan atau tidak dikenal, tempat pengguna mungkin mencoba mengakses data sensitif.
Catatan
Jika Anda ingin memblokir unduhan dari perangkat yang tidak dikelola dan lokasi non-perusahaan, Anda harus membuat dua kebijakan sesi. Satu kebijakan menetapkan sumber Aktivitas menggunakan lokasi. Kebijakan lainnya menetapkan sumber Aktivitas ke perangkat yang tidak dikelola.
- Aplikasi: Pilih Onboarding>Microsoft Azure AD otomatis Sama dengan>Salesforce.
Di bawah Sumber aktivitas di File yang cocok dengan semua bagian berikut, atur filter berikut:
Label sensitivitas: Jika Anda menggunakan label sensitivitas dari Perlindungan Informasi Microsoft Purview, filter file berdasarkan label sensitivitas Perlindungan Informasi Microsoft Purview tertentu.
Pilih Nama file atau Jenis file untuk menerapkan pembatasan berdasarkan nama atau jenis file.
Aktifkan Inspeksi konten untuk mengaktifkan DLP internal guna memindai file Anda untuk konten sensitif.
Di bawah Tindakan, pilih blokir. Sesuaikan pesan pemblokiran yang didapat pengguna Anda saat mereka tidak dapat mengunduh file.
Konfigurasikan pemberitahuan yang ingin Anda terima saat kebijakan cocok, seperti batas sehingga Anda tidak menerima terlalu banyak pemberitahuan, dan apakah Anda ingin mendapatkan pemberitahuan sebagai email.
Pilih Buat.
Memvalidasi kebijakan Anda
Untuk mensimulasikan unduhan file yang diblokir, dari perangkat yang tidak dikelola atau lokasi jaringan non-perusahaan, masuk ke aplikasi. Kemudian, coba unduh file.
File harus diblokir dan Anda harus menerima pesan yang Anda tentukan sebelumnya, di bawah Kustomisasi pesan blokir.
Di Portal Pertahanan Microsoft, di bawah Aplikasi Cloud, buka Kebijakan, lalu pilih Manajemen kebijakan. Kemudian pilih kebijakan yang telah Anda buat untuk melihat laporan kebijakan. Kecocokan kebijakan sesi akan segera muncul.
Dalam laporan kebijakan, Anda dapat melihat rincian masuk mana yang dialihkan ke Microsoft Defender untuk Cloud Apps untuk kontrol sesi, dan file mana yang diunduh atau diblokir dari sesi yang dipantau.
Langkah berikutnya
Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk