Delen via

Zelfstudie: Stapsgewijze verificatie vereisen (verificatiecontext) bij riskante actie

  • Artikel

Als IT-beheerder zit u vandaag vast tussen een rots en harde plek. U wilt uw werknemers in staat stellen productief te zijn. Dat betekent dat werknemers toegang hebben tot apps zodat ze op elk gewenst moment kunnen werken, vanaf elk apparaat. U wilt echter de activa van het bedrijf beveiligen, inclusief eigendoms- en bevoorrechte informatie. Hoe kunt u werknemers toegang geven tot uw cloud-apps tijdens het beveiligen van uw gegevens?

In deze zelfstudie kunt u beleid voor voorwaardelijke toegang van Microsoft Entra opnieuw beoordelen wanneer gebruikers gevoelige acties uitvoeren tijdens een sessie.

De bedreiging

Een werknemer die zich heeft aangemeld bij SharePoint Online vanuit het hoofdkantoor. Tijdens dezelfde sessie is het IP-adres geregistreerd buiten het bedrijfsnetwerk. Misschien gingen ze beneden naar de koffiebar, of misschien werd hun token gecompromitteerd of gestolen door een kwaadwillende aanvaller.

De oplossing

Beveilig uw organisatie door te vereisen dat het beleid voor voorwaardelijke toegang van Microsoft Entra opnieuw wordt beoordeeld tijdens gevoelige sessieacties door het app-beheer voor voorwaardelijke toegang van Defender voor Cloud Apps.

Vereisten

  • Een geldige licentie voor Microsoft Entra ID P1-licentie

  • Uw cloud-app, in dit geval SharePoint Online, geconfigureerd als een Microsoft Entra ID-app en eenmalige aanmelding via SAML 2.0 of OpenID Connect gebruiken

  • Zorg ervoor dat de app is geïmplementeerd in Defender voor Cloud Apps

Een beleid maken om stapsgewijze verificatie af te dwingen

Defender voor Cloud-sessiebeleid voor apps kunt u een sessie beperken op basis van de apparaatstatus. Als u het beheer van een sessie wilt uitvoeren met behulp van het apparaat als voorwaarde, maakt u zowel een beleid voor voorwaardelijke toegang als een sessiebeleid.

Ga als volgende te werk om uw beleid te maken:

  1. Ga in de Microsoft Defender-portal, onder Cloud Apps, naar Beleidsbeleidsbeheer>.

  2. Selecteer op de pagina Beleid beleid maken gevolgd door sessiebeleid.

  3. Geef op de pagina Sessiebeleid maken een naam en beschrijving op voor uw beleid. U moet bijvoorbeeld stapsgewijze verificatie vereisen bij downloads van SharePoint Online vanaf niet-beheerde apparaten.

  4. Wijs de ernst en categorie van het beleid toe.

  5. Voor het sessiebeheertype selecteert u Activiteiten blokkeren, uploaden van besturingsbestanden (met inspectie), downloaden van besturingsbestanden (met inspectie).

  6. Selecteer onder Activiteitsbron in de sectie Activiteiten die overeenkomen met alle volgende secties de filters:

    • Apparaattag: Selecteer Is niet gelijk aan en selecteer vervolgens Intune-compatibel, hybride Microsoft Entra-gekoppeld of geldig clientcertificaat. Uw selectie is afhankelijk van de methode die in uw organisatie wordt gebruikt voor het identificeren van beheerde apparaten.

    • App: Selecteer Geautomatiseerde azure AD-onboarding en selecteer vervolgens SharePoint Online in de lijst.

    • Gebruikers: Selecteer de gebruikers die u wilt bewaken.

  7. Stel onder Activiteitsbron in de bestanden die overeenkomen met alle volgende secties de volgende filters in:

    • Vertrouwelijkheidslabels: als u vertrouwelijkheidslabels uit Microsoft Purview Informatiebeveiliging gebruikt, filtert u de bestanden op basis van een specifiek Microsoft Purview Informatiebeveiliging vertrouwelijkheidslabel.

    • Selecteer Bestandsnaam of bestandstype om beperkingen toe te passen op basis van bestandsnaam of type.

  8. Schakel Inhoudsinspectie in om de interne DLP in te schakelen om uw bestanden te scannen op gevoelige inhoud.

  9. Selecteer onder Acties stapsgewijze verificatie vereisen.

    Notitie

    Hiervoor moet verificatiecontext worden gemaakt in Microsoft Entra-id.

  10. Stel de waarschuwingen in die u wilt ontvangen wanneer het beleid overeenkomt. U kunt een limiet instellen zodat u niet te veel waarschuwingen ontvangt. Selecteer of u de waarschuwingen wilt ontvangen als een e-mailbericht.

  11. Selecteer Maken.

Uw beleid valideren

  1. Als u dit beleid wilt simuleren, meldt u zich aan bij de app vanaf een niet-beheerd apparaat of een niet-bedrijfsnetwerklocatie. Probeer vervolgens een bestand te downloaden.

  2. U moet de actie uitvoeren die is geconfigureerd in het verificatiecontextbeleid.

  3. Ga in de Microsoft Defender-portal, onder Cloud Apps, naar Beleidsbeleidsbeheer>. Selecteer vervolgens het beleid dat u hebt gemaakt om het beleidsrapport weer te geven. Er moet binnenkort een overeenkomst met sessiebeleid worden weergegeven.

  4. In het beleidsrapport kunt u zien welke aanmeldingen zijn omgeleid naar Microsoft Defender voor Cloud Apps voor sessiebeheer en welke bestanden zijn gedownload of geblokkeerd voor de bewaakte sessies.

Volgende stappen

Een toegangsbeleid maken

Een sessiebeleid maken

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.