Zelfstudie: Downloaden van gevoelige informatie blokkeren met app-beheer voor voorwaardelijke toegang
De IT-beheerder van vandaag zit vast tussen een rots en harde plek. U wilt uw werknemers in staat stellen productief te zijn. Dat betekent dat werknemers toegang hebben tot apps zodat ze op elk gewenst moment kunnen werken, vanaf elk apparaat. U wilt echter de activa van het bedrijf beveiligen, inclusief eigendoms- en bevoorrechte informatie. Hoe kunt u werknemers toegang geven tot uw cloud-apps tijdens het beveiligen van uw gegevens? In deze zelfstudie kunt u downloads blokkeren door gebruikers die toegang hebben tot uw gevoelige gegevens in bedrijfscloud-apps vanaf onbeheerde apparaten of locaties buiten het bedrijfsnetwerk.
In deze zelfstudie leert u het volgende:
De bedreiging
Een accountmanager in uw organisatie wil in het weekend iets in Salesforce controleren op hun persoonlijke laptop. De Salesforce-gegevens bevatten mogelijk creditcardgegevens van klanten of persoonlijke gegevens. De thuis-pc is onbeheerd. Als ze documenten downloaden van Salesforce naar de pc, is het mogelijk geïnfecteerd met malware. Als het apparaat verloren gaat of wordt gestolen, is het mogelijk niet beveiligd met een wachtwoord en heeft iedereen die het gevonden heeft toegang tot gevoelige informatie.
In dit geval melden uw gebruikers zich aan bij Salesforce met behulp van hun bedrijfsreferenties via Microsoft Entra-id.
De oplossing
Beveilig uw organisatie door het gebruik van cloud-apps te bewaken en te beheren met app-beheer voor voorwaardelijke toegang Defender voor Cloud apps.
Vereisten
- Een geldige licentie voor Microsoft Entra ID P1-licentie of de licentie die is vereist voor uw id-provideroplossing (IdP)
- Beleid voor voorwaardelijke toegang van Microsoft Entra voor Salesforce
- Salesforce geconfigureerd als een Microsoft Entra ID-app
Een blokdownloadbeleid maken voor niet-beheerde apparaten
In deze procedure wordt beschreven hoe u alleen een sessiebeleid voor Defender voor Cloud Apps maakt, zodat u een sessie kunt beperken op basis van de status van een apparaat.
Als u een sessie met een apparaat als voorwaarde wilt beheren, moet u ook een Defender voor Cloud-toegangsbeleid voor apps maken. Zie Toegangsbeleid voor apps maken Microsoft Defender voor Cloud voor meer informatie.
Uw sessiebeleid maken
Selecteer beleidbeheer> in de Microsoft Defender-portal onder Cloud-apps.
Selecteer op de pagina Beleid de optie Beleidsessiebeleid>maken.
Geef op de pagina Sessiebeleid maken een naam en beschrijving op voor uw beleid. U kunt bijvoorbeeld downloads van Salesforce blokkeren voor onbeheerde apparaten.
Wijs de ernst en categorie van het beleid toe.
Selecteer voor het sessiebeheertype Het downloaden van het besturingselement (met inspectie) van het besturingselement. Deze instelling biedt u de mogelijkheid om alles wat uw gebruikers doen in een Salesforce-sessie te bewaken en geeft u de controle om downloads in realtime te blokkeren en te beveiligen.
Selecteer onder Activiteitsbron in de sectie Activiteiten die overeenkomen met alle volgende secties de filters:
Apparaattag: Selecteren is niet gelijk aan. en selecteer vervolgens Intune-compatibel, hybride Azure AD-gekoppeld of geldig clientcertificaat. Uw selectie is afhankelijk van de methode die in uw organisatie wordt gebruikt voor het identificeren van beheerde apparaten.
App: Selecteer Geautomatiseerde Azure AD-onboarding>is>gelijk aan Salesforce.
U kunt de downloads ook blokkeren voor locaties die geen deel uitmaken van uw bedrijfsnetwerk. Stel onder Activiteitsbron in de sectie Activiteiten die overeenkomen met alle volgende secties de volgende filters in:
- IP-adres of locatie: gebruik een van deze twee parameters om niet-zakelijke of onbekende locaties te identificeren, van waaruit een gebruiker mogelijk toegang probeert te krijgen tot gevoelige gegevens.
Notitie
Als u downloads van onbeheerde apparaten en niet-bedrijfslocaties wilt blokkeren, moet u twee sessiebeleidsregels maken. Eén beleid stelt de activiteitsbron in met behulp van de locatie. Met het andere beleid wordt de activiteitsbron ingesteld op onbeheerde apparaten.
- App: Selecteer Geautomatiseerde Azure AD-onboarding>is>gelijk aan Salesforce.
Stel onder Activiteitsbron in de bestanden die overeenkomen met alle volgende secties de volgende filters in:
Vertrouwelijkheidslabels: als u vertrouwelijkheidslabels uit Microsoft Purview Informatiebeveiliging gebruikt, filtert u de bestanden op basis van een specifiek Microsoft Purview Informatiebeveiliging vertrouwelijkheidslabel.
Selecteer Bestandsnaam of bestandstype om beperkingen toe te passen op basis van bestandsnaam of type.
Schakel Inhoudsinspectie in om de interne DLP in te schakelen om uw bestanden te scannen op gevoelige inhoud.
Selecteer onder Acties blok. Pas het blokkeringsbericht aan dat uw gebruikers krijgen wanneer ze geen bestanden kunnen downloaden.
Configureer de waarschuwingen die u wilt ontvangen wanneer het beleid overeenkomt, zoals een limiet, zodat u niet te veel waarschuwingen ontvangt en of u de waarschuwingen als e-mail wilt ontvangen.
Selecteer Maken.
Uw beleid valideren
Als u het downloaden van geblokkeerde bestanden wilt simuleren, meldt u zich aan bij de app vanaf een niet-beheerd apparaat of een niet-bedrijfsnetwerklocatie. Probeer vervolgens een bestand te downloaden.
Het bestand moet worden geblokkeerd en u moet het bericht ontvangen dat u eerder hebt gedefinieerd, onder Blokberichten aanpassen.
Ga in de Microsoft Defender-portal onder Cloud Apps naar Beleid en selecteer Vervolgens Beleidsbeheer. Selecteer vervolgens het beleid dat u hebt gemaakt om het beleidsrapport weer te geven. Er moet binnenkort een overeenkomst met sessiebeleid worden weergegeven.
In het beleidsrapport kunt u zien welke aanmeldingen zijn omgeleid naar Microsoft Defender voor Cloud Apps voor sessiebeheer en welke bestanden zijn gedownload of geblokkeerd voor de bewaakte sessies.
Volgende stappen
Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.