Zelfstudie: Stapsgewijze verificatie vereisen (verificatiecontext) bij riskante actie

Als IT-beheerder zit u vandaag vast tussen een rots en harde plek. U wilt uw werknemers in staat stellen productief te zijn. Dat betekent dat werknemers toegang hebben tot apps zodat ze op elk gewenst moment kunnen werken, vanaf elk apparaat. U wilt echter de activa van het bedrijf beveiligen, inclusief eigendoms- en bevoorrechte informatie. Hoe kunt u werknemers toegang geven tot uw cloud-apps tijdens het beveiligen van uw gegevens?

In deze zelfstudie kunt u beleid voor voorwaardelijke toegang van Microsoft Entra opnieuw beoordelen wanneer gebruikers gevoelige acties uitvoeren tijdens een sessie.

De bedreiging

Een werknemer die zich heeft aangemeld bij SharePoint Online vanuit het hoofdkantoor. Tijdens dezelfde sessie is het IP-adres geregistreerd buiten het bedrijfsnetwerk. Misschien gingen ze beneden naar de koffiebar, of misschien werd hun token gecompromitteerd of gestolen door een kwaadwillende aanvaller.

De oplossing

Beveilig uw organisatie door te vereisen dat het beleid voor voorwaardelijke toegang van Microsoft Entra opnieuw wordt beoordeeld tijdens gevoelige sessieacties het app-beheer van Defender voor Cloud apps voor voorwaardelijke toegang.

Vereisten

• Een geldige licentie voor Microsoft Entra ID P1-licentie

• Configureer een cloud-app voor eenmalige aanmelding met behulp van een van de volgende verificatieprotocollen:

  IdP	Protocollen
  Microsoft Entra ID	SAML 2.0 of OpenID Verbinding maken

• Zorg ervoor dat de app is geïmplementeerd in Defender voor Cloud Apps

Een beleid maken om stapsgewijze verificatie af te dwingen

Defender voor Cloud-sessiebeleid voor apps kunt u een sessie beperken op basis van de apparaatstatus. Als u het beheer van een sessie met behulp van het apparaat als voorwaarde wilt uitvoeren, maakt u zowel een beleid voor voorwaardelijke toegang als een sessiebeleid.

Stap 1: Uw IdP configureren voor gebruik met Defender voor Cloud-apps

Zorg ervoor dat u uw IdP-oplossing als volgt hebt geconfigureerd voor gebruik met Defender voor Cloud Apps:

• Zie Integratie met Microsoft Entra-id configureren voor voorwaardelijke toegang van Microsoft Entra

• Zie Integratie met andere IdP-oplossingen configureren voor andere IdP-oplossingen

Nadat u deze taak hebt voltooid, gaat u naar de Defender voor Cloud Apps-portal en maakt u een sessiebeleid om bestandsdownloads in de sessie te controleren en te beheren.

Stap 2: Een sessiebeleid maken

1. Ga in de Microsoft Defender-portal, onder Cloud Apps, naar Beleidsbeleidsbeheer>.

2. Selecteer op de pagina Beleid beleid maken gevolgd door sessiebeleid.

3. Geef op de pagina Sessiebeleid maken een naam en beschrijving op voor uw beleid. U moet bijvoorbeeld stapsgewijze verificatie vereisen bij downloads van SharePoint Online vanaf niet-beheerde apparaten.

4. Wijs de ernst en categorie van het beleid toe.

5. Voor het sessiebeheertype selecteert u Activiteiten blokkeren, uploaden van besturingsbestanden (met inspectie), Downloaden van besturingselementbestanden (met inspectie).

6. Selecteer onder Activiteitsbron in de sectie Activiteiten die overeenkomen met alle volgende secties de filters:

   • Apparaattag: Selecteer Is niet gelijk aan en selecteer vervolgens Intune-compatibel, hybride Microsoft Entra-gekoppeld of geldig clientcertificaat. Uw selectie is afhankelijk van de methode die in uw organisatie wordt gebruikt voor het identificeren van beheerde apparaten.

   • App: Selecteer de app die u wilt beheren.

   • Gebruikers: Selecteer de gebruikers die u wilt bewaken.

7. Stel onder Activiteitsbron in de bestanden die overeenkomen met alle volgende secties de volgende filters in:

   • Vertrouwelijkheidslabels: als u vertrouwelijkheidslabels uit Microsoft Purview Informatiebeveiliging gebruikt, filtert u de bestanden op basis van een specifiek Microsoft Purview Informatiebeveiliging vertrouwelijkheidslabel.

   • Selecteer Bestandsnaam of bestandstype om beperkingen toe te passen op basis van bestandsnaam of type.

8. Schakel Inhoudsinspectie in om de interne DLP in te schakelen om uw bestanden te scannen op gevoelige inhoud.

9. Selecteer onder Acties stapsgewijze verificatie vereisen.

   Notitie

   Hiervoor moet verificatiecontext worden gemaakt in Microsoft Entra-id.

10. Stel de waarschuwingen in die u wilt ontvangen wanneer het beleid overeenkomt. U kunt een limiet instellen zodat u niet te veel waarschuwingen ontvangt. Selecteer of u de waarschuwingen wilt ontvangen als een e-mailbericht.

11. Selecteer Maken.

Uw beleid valideren

1. Als u dit beleid wilt simuleren, meldt u zich aan bij de app vanaf een niet-beheerd apparaat of een niet-bedrijfsnetwerklocatie. Probeer vervolgens een bestand te downloaden.

2. U moet de actie uitvoeren die is geconfigureerd in het verificatiecontextbeleid.

3. Ga in de Microsoft Defender-portal, onder Cloud Apps, naar Beleidsbeleidsbeheer>. Selecteer vervolgens het beleid dat u hebt gemaakt om het beleidsrapport weer te geven. Er moet binnenkort een overeenkomst met sessiebeleid worden weergegeven.

4. In het beleidsrapport kunt u zien welke aanmeldingen zijn omgeleid naar Microsoft Defender voor Cloud Apps voor sessiebeheer en welke bestanden zijn gedownload of geblokkeerd voor de bewaakte sessies.

Volgende stappen

Een toegangsbeleid maken

Een sessiebeleid maken

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.