Udostępnij za pośrednictwem

Samouczek: wymaganie uwierzytelniania krokowego (kontekstu uwierzytelniania) po ryzykownej akcji

  • Artykuł

Jako administrator IT już dziś utkniesz między skałą a twardym miejscem. Chcesz umożliwić pracownikom wydajną pracę. Oznacza to umożliwienie pracownikom dostępu do aplikacji, aby mogli pracować w dowolnym momencie z dowolnego urządzenia. Chcesz jednak chronić aktywa firmy, w tym informacje zastrzeżone i uprzywilejowane. Jak umożliwić pracownikom dostęp do aplikacji w chmurze przy jednoczesnym ochronie danych?

Ten samouczek umożliwia ponowne ewaluowanie zasad dostępu warunkowego firmy Microsoft w przypadku wykonywania poufnych akcji podczas sesji.

Zagrożenie

Pracownik zalogował się do usługi SharePoint Online z biura firmowego. Podczas tej samej sesji ich adres IP zarejestrowany poza siecią firmową. Być może poszli do kawiarni na dole, a może ich token został naruszony lub skradziony przez złośliwego napastnika.

Rozwiązanie

Chroń organizację, wymagając ponownej oceny zasad dostępu warunkowego firmy Microsoft entra podczas akcji sesji poufnej kontroli dostępu warunkowego aplikacji Defender dla Chmury Apps.

Wymagania wstępne

  • Ważna licencja na licencję microsoft Entra ID P1

  • Aplikacja w chmurze, w tym przypadku SharePoint Online, skonfigurowana jako aplikacja Microsoft Entra ID i używając logowania jednokrotnego za pośrednictwem protokołu SAML 2.0 lub OpenID Connect

  • Upewnij się, że aplikacja została wdrożona w usłudze Defender dla Chmury Apps

Tworzenie zasad w celu wymuszania uwierzytelniania krokowego

Defender dla Chmury Zasady sesji aplikacji umożliwiają ograniczenie sesji na podstawie stanu urządzenia. Aby kontrolować sesję przy użyciu urządzenia jako warunku, utwórz zarówno zasady dostępu warunkowego, jak i zasady sesji.

Aby utworzyć zasady:

  1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami.

  2. Na stronie Zasady wybierz pozycję Utwórz zasady, a następnie pozycję Zasady sesji.

  3. Na stronie Tworzenie zasad sesji nadaj zasadom nazwę i opis zasad. Na przykład wymagaj uwierzytelniania krokowego podczas pobierania z usługi SharePoint Online z urządzeń niezarządzanych.

  4. Przypisz ważność zasad i kategorię.

  5. W obszarze Typ kontrolki Sesja wybierz pozycję Blokuj działania, Control file upload (with inspection), Control file download (with inspection).

  6. W obszarze Źródło działania w sekcji Działania zgodne ze wszystkimi poniższymi sekcjami wybierz filtry:

    • Tag urządzenia: wybierz pozycję Nie równa się, a następnie wybierz pozycję Zgodne z usługą Intune, dołączone hybrydowo do firmy Microsoft Entra lub Prawidłowy certyfikat klienta. Wybór zależy od metody używanej w organizacji do identyfikowania urządzeń zarządzanych.

    • Aplikacja: wybierz pozycję Automatyczne dołączanie usługi Azure AD, a następnie z listy wybierz pozycję SharePoint Online .

    • Użytkownicy: wybierz użytkowników, których chcesz monitorować.

  7. W obszarze Źródło działania w sekcji Pliki pasujące do wszystkich poniższych sekcji ustaw następujące filtry:

    • Etykiety poufności: jeśli używasz etykiet poufności z usługi Microsoft Purview Information Protection, przefiltruj pliki na podstawie określonej etykiety poufności usługi Microsoft Purview Information Protection.

    • Wybierz pozycję Nazwa pliku lub Typ pliku, aby zastosować ograniczenia na podstawie nazwy pliku lub typu.

  8. Włącz inspekcję zawartości, aby umożliwić wewnętrznemu DLP skanowanie plików pod kątem poufnej zawartości.

  9. W obszarze Akcje wybierz pozycję Wymagaj uwierzytelniania krokowego.

    Uwaga

    Wymaga to utworzenia kontekstu uwierzytelniania w identyfikatorze Entra firmy Microsoft.

  10. Ustaw alerty, które mają być odbierane po dopasowaniu zasad. Możesz ustawić limit, aby nie otrzymywać zbyt wielu alertów. Wybierz, czy alerty mają być otrzymywane jako wiadomość e-mail.

  11. Wybierz pozycję Utwórz.

Weryfikowanie zasad

  1. Aby zasymulować te zasady, zaloguj się do aplikacji z niezarządzanego urządzenia lub lokalizacji sieciowej innej niż firmowa. Następnie spróbuj pobrać plik.

  2. Należy wykonać akcję skonfigurowaną w zasadach kontekstu uwierzytelniania.

  3. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Następnie wybierz utworzone zasady, aby wyświetlić raport zasad. Wkrótce powinno pojawić się dopasowanie zasad sesji.

  4. W raporcie zasad można zobaczyć, które logowania zostały przekierowane do Microsoft Defender dla Chmury Aplikacje na potrzeby kontroli sesji oraz które pliki zostały pobrane lub zablokowane z monitorowanych sesji.

Następne kroki

Jak utworzyć zasady dostępu

Jak utworzyć zasady sesji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.