Esercitazione: Bloccare il download di informazioni riservate con il controllo delle app per l'accesso condizionale
Gli amministratori IT di oggi si trovano tra l'incudine e il martello. Si vuole che i dipendenti siano produttivi. Ciò significa consentire loro l'accesso alle app in modo che possano lavorare in qualsiasi momento e da qualunque dispositivo. Si vogliono però proteggere le risorse aziendali, tra cui le informazioni proprietarie e riservate. Come è possibile consentire ai dipendenti di accedere alle app cloud, proteggendo al contempo i dati? Questa esercitazione consente di bloccare i download da parte di utenti che hanno accesso ai dati sensibili nelle app cloud aziendali da dispositivi non gestiti o da percorsi di rete esterni all'azienda.
Questa esercitazione illustra come:
La minaccia
Un account manager all'interno dell'organizzazione vuole controllare un elemento in Salesforce da casa durante il fine settimana, dal suo laptop. I dati di Salesforce potrebbero includere informazioni personali o sulle carte di credito dei clienti. Il computer di casa non è gestito. Il computer su cui si scaricano i documenti di Salesforce potrebbe essere attaccato da malware. Se il dispositivo viene smarrito o rubato, potrebbe non essere protetto da password e chiunque abbia accesso alle informazioni riservate.
In questo caso, gli utenti accedono a Salesforce usando le credenziali aziendali tramite Microsoft Entra ID.
La soluzione
Proteggere l'organizzazione monitorando e controllando l'uso delle app cloud con Defender per il cloud controllo delle app per l'accesso condizionale.
Prerequisiti
- Una licenza valida per la licenza P1 di Microsoft Entra ID o la licenza richiesta dalla soluzione provider di identità (IdP)
- Criteri di accesso condizionale di Microsoft Entra per Salesforce
- Salesforce configurato come app Microsoft Entra ID
Creare criteri di blocco del download per i dispositivi non gestiti
Questa procedura descrive come creare un criterio di sessione Defender per il cloud App, che consente di limitare una sessione in base allo stato di un dispositivo.
Per controllare una sessione usando un dispositivo come condizione, è necessario creare anche un criterio di accesso alle app di Defender per il cloud. Per altre informazioni, vedere Creare criteri di accesso alle app Microsoft Defender per il cloud.
Per creare i criteri di sessione
In App cloud del portale di Microsoft Defender selezionare Gestione dei>criteri.
Nella pagina Criteri selezionare Crea criterio> Sessione criteri.
Dalla pagina Crea un criterio della sessione assegnare ai criteri un nome e una descrizione. Ad esempio, Block downloads from Salesforce for unmanaged devices (Bloccare i download da Salesforce per dispositivi non gestiti).
Assegnare una Gravità del criterio e una Categoria.
Per Tipo di controllo sessione selezionare Controlla download file (con ispezione). Questa impostazione consente di monitorare qualsiasi operazione eseguita dagli utenti all'interno di una sessione di Salesforce e di bloccare e proteggere i download in tempo reale.
Da Origine attività nella sezione Attività corrispondenti a tutti gli elementi seguenti selezionare i filtri:
Tag dispositivo: selezionare Non è uguale. e quindi selezionare Conforme a Intune, Aggiunto ad Azure AD ibrido o Certificato client valido. La selezione dipende dal metodo usato dall'organizzazione per identificare i dispositivi gestiti.
App: selezionare Onboarding>automatico di Azure AD Equals>Salesforce.
In alternativa, è possibile bloccare i download da percorsi che non fanno parte della rete aziendale. In Origine attività nella sezione Attività corrispondenti a tutti gli elementi seguenti impostare i filtri seguenti:
- Indirizzo IP o Posizione: usare uno di questi due parametri per identificare posizioni non aziendali o sconosciute, da cui un utente potrebbe tentare di accedere ai dati sensibili.
Nota
Se si vuole bloccare i download SIA da dispositivi non gestiti sia da percorsi non aziendali, è necessario creare due criteri di sessione. Un criterio imposta l'Origine attività usando il percorso. L'altro criterio imposta l'Origine attività sui dispositivi non gestiti.
- App: selezionare Onboarding>automatico di Azure AD Equals>Salesforce.
In Origine attività nella sezione File corrispondenti a tutti gli elementi seguenti impostare i filtri seguenti:
Etichette di riservatezza: se si usano etichette di riservatezza di Microsoft Purview Information Protection, filtrare i file in base a un'etichetta di riservatezza specifica di Microsoft Purview Information Protection.
Selezionare Nome file o Tipo File per applicare restrizioni in base al nome o al tipo di file.
Per abilitare la scansione dei file con i criteri DLP interni in modo da individuare contenuti sensibili, abilitare Ispezione del contenuto.
In Azioni selezionare Blocca. Personalizzare il messaggio di blocco che visualizzeranno gli utenti che non possono scaricare i file.
Configurare gli avvisi che si desidera ricevere quando i criteri corrispondono, ad esempio un limite in modo che non vengano ricevuti troppi avvisi e se si desidera ricevere gli avvisi come messaggio di posta elettronica.
Seleziona Crea.
Convalidare il criterio
Per simulare il download di file bloccato da un dispositivo non gestito o da un percorso di rete non aziendale, accedere all'app e tentare di scaricare un file.
Il file deve essere bloccato ed è necessario ricevere il messaggio definito in precedenza, in Personalizza messaggi di blocco.
Nel portale di Microsoft Defender, in App cloud, passare a Criteri e quindi selezionare Gestione dei criteri. Selezionare quindi il criterio creato per visualizzare il report dei criteri. Dovrebbe essere visualizzata entro breve una corrispondenza per i criteri di sessione.
Nel report dei criteri è possibile vedere quali accessi sono stati reindirizzati a Microsoft Defender per il cloud App per il controllo sessione e quali file sono stati scaricati o bloccati dalle sessioni monitorate.
Passaggi successivi
Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.