Esercitazione: Richiedere l'autenticazione dettagliata (contesto di autenticazione) all'azione rischiosa
Oggi l'amministratore IT è bloccato tra una roccia e una posizione difficile. Si vuole che i dipendenti siano produttivi. Ciò significa consentire loro l'accesso alle app in modo che possano lavorare in qualsiasi momento e da qualunque dispositivo. Si vogliono però proteggere le risorse aziendali, tra cui le informazioni proprietarie e riservate. Come è possibile consentire ai dipendenti di accedere alle app cloud, proteggendo al contempo i dati?
Questa esercitazione consente di rivalutare i criteri di accesso condizionale di Microsoft Entra quando gli utenti esestituiscono azioni sensibili durante una sessione.
La minaccia
Un dipendente ha eseguito l'accesso a SharePoint Online dall'ufficio aziendale. Durante la stessa sessione, l'indirizzo IP registrato all'esterno della rete aziendale. Forse sono andati al bar al piano di sotto, o forse il loro token è stato compromesso o rubato da un malintenzionato.
La soluzione
Proteggere l'organizzazione richiedendo che i criteri di accesso condizionale di Microsoft Entra vengano rivalutati durante le azioni di sessione sensibili il controllo delle app per l'accesso condizionale Defender per il cloud app.
Prerequisiti
Licenza valida per la licenza Microsoft Entra ID P1
L'app cloud, in questo caso SharePoint Online, configurata come app Microsoft Entra ID e usando SSO tramite SAML 2.0 o OpenID Connect
Assicurarsi che l'app sia distribuita in app Defender per il cloud
Creare un criterio per applicare l'autenticazione dettagliata
Defender per il cloud i criteri di sessione delle app consentono di limitare una sessione in base allo stato del dispositivo. Per eseguire il controllo di una sessione usando il dispositivo come condizione, creare criteri di accesso condizionale e criteri di sessione.
Per creare i criteri:
Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri.
Nella pagina Criteri selezionare Crea criterio seguito da Criteri di sessione.
Dalla pagina Crea un criterio della sessione assegnare ai criteri un nome e una descrizione. Ad esempio, Richiedi autenticazione dettagliata nei download da SharePoint Online da dispositivi non gestiti.
Assegnare una Gravità del criterio e una Categoria.
Per tipo di controllo sessione selezionare Blocca attività, Controllo caricamento file (con ispezione), Download di file di controllo (con ispezione).
In Origine attività nella sezione Attività corrispondenti a tutte le opzioni seguenti selezionare i filtri:
Tag dispositivo: selezionare Non uguale e quindi selezionare Conforme a Intune, Aggiunto ibrido a Microsoft Entra o Certificato client valido. La selezione dipende dal metodo usato dall'organizzazione per identificare i dispositivi gestiti.
App: selezionare Onboarding automatico di Azure AD e quindi selezionare SharePoint Online nell'elenco.
Utenti: selezionare gli utenti che si vuole monitorare.
In Origine attività nella sezione File corrispondenti a tutti gli elementi seguenti impostare i filtri seguenti:
Etichette di riservatezza: se si usano etichette di riservatezza di Microsoft Purview Information Protection, filtrare i file in base a un'etichetta di riservatezza specifica di Microsoft Purview Information Protection.
Selezionare Nome file o Tipo File per applicare restrizioni in base al nome o al tipo di file.
Per abilitare la scansione dei file con i criteri DLP interni in modo da individuare contenuti sensibili, abilitare Ispezione del contenuto.
In Azioni selezionare Richiedi autenticazione dettagliata.
Nota
Ciò richiede la creazione del contesto di autenticazione in Microsoft Entra ID.
Impostare gli avvisi che si desidera ricevere quando esiste una corrispondenza con il criterio. È possibile impostare un limite in modo da non ricevere troppi avvisi. Selezionare se ottenere gli avvisi come messaggio di posta elettronica.
Seleziona Crea.
Convalidare il criterio
Per simulare questo criterio, accedere all'app da un dispositivo non gestito o da un percorso di rete non aziendale. tentare di scaricare un file.
È necessario eseguire l'azione configurata nei criteri del contesto di autenticazione.
Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Selezionare quindi il criterio creato per visualizzare il report dei criteri. Dovrebbe essere visualizzata entro breve una corrispondenza per i criteri di sessione.
Nel report dei criteri è possibile vedere quali account di accesso sono stati reindirizzati a Microsoft Defender per il cloud App per il controllo sessione e quali file sono stati scaricati o bloccati dalle sessioni monitorate.
Passaggi successivi
Come creare criteri di accesso
Come creare criteri di sessione
Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.