Samouczek: wymaganie uwierzytelniania krokowego (kontekstu uwierzytelniania) po ryzykownej akcji

Jako administrator IT już dziś utkniesz między skałą a twardym miejscem. Chcesz umożliwić pracownikom wydajną pracę. Oznacza to umożliwienie pracownikom dostępu do aplikacji, aby mogli pracować w dowolnym momencie z dowolnego urządzenia. Chcesz jednak chronić aktywa firmy, w tym informacje zastrzeżone i uprzywilejowane. Jak umożliwić pracownikom dostęp do aplikacji w chmurze przy jednoczesnym ochronie danych?

Ten samouczek umożliwia ponowne ewaluowanie zasad dostępu warunkowego firmy Microsoft w przypadku wykonywania poufnych akcji podczas sesji.

Zagrożenie

Pracownik zalogował się do usługi SharePoint Online z biura firmowego. Podczas tej samej sesji ich adres IP zarejestrowany poza siecią firmową. Być może poszli do kawiarni na dole, a może ich token został naruszony lub skradziony przez złośliwego napastnika.

Rozwiązanie

Chroń organizację, wymagając ponownej oceny zasad dostępu warunkowego firmy Microsoft entra podczas akcji sesji poufnej Defender dla Chmury Aplikacje kontroli dostępu warunkowego.

Wymagania wstępne

• Ważna licencja na licencję microsoft Entra ID P1

• Skonfiguruj aplikację w chmurze na potrzeby logowania jednokrotnego przy użyciu jednego z następujących protokołów uwierzytelniania:

  Dostawca tożsamości	Protokoły
  Tożsamość Microsoft Entra	Połączenie SAML 2.0 lub OpenID

• Upewnij się, że aplikacja została wdrożona w usłudze Defender dla Chmury Apps

Tworzenie zasad w celu wymuszania uwierzytelniania krokowego

Defender dla Chmury Zasady sesji aplikacji umożliwiają ograniczenie sesji na podstawie stanu urządzenia. Aby kontrolować sesję przy użyciu urządzenia jako warunku, utwórz zarówno zasady dostępu warunkowego, jak i zasady sesji.

Krok 1. Konfigurowanie dostawcy tożsamości do pracy z aplikacjami Defender dla Chmury

Upewnij się, że skonfigurowano rozwiązanie dostawcy tożsamości do pracy z aplikacjami Defender dla Chmury w następujący sposób:

• Aby uzyskać dostęp warunkowy firmy Microsoft Entra, zobacz Konfigurowanie integracji z identyfikatorem Entra firmy Microsoft

• Aby uzyskać informacje o innych rozwiązaniach dostawcy tożsamości, zobacz Konfigurowanie integracji z innymi rozwiązaniami dostawcy tożsamości

Po wykonaniu tego zadania przejdź do portalu Defender dla Chmury Apps i utwórz zasady sesji, aby monitorować i kontrolować pobieranie plików w sesji.

Krok 2. Tworzenie zasad sesji

1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami.

2. Na stronie Zasady wybierz pozycję Utwórz zasady, a następnie pozycję Zasady sesji.

3. Na stronie Tworzenie zasad sesji nadaj zasadom nazwę i opis zasad. Na przykład wymagaj uwierzytelniania krokowego podczas pobierania z usługi SharePoint Online z urządzeń niezarządzanych.

4. Przypisz ważność zasad i kategorię.

5. W obszarze Typ kontrolki Sesja wybierz pozycję Blokuj działania,Kontrolowanie przekazywania plików (z inspekcją),Kontrolowanie pobierania plików (z inspekcją).

6. W obszarze Źródło działania w sekcji Działania zgodne ze wszystkimi poniższymi sekcjami wybierz filtry:

   • Tag urządzenia: wybierz pozycję Nie równa się, a następnie wybierz pozycję Zgodne z usługą Intune, dołączone hybrydowo do firmy Microsoft Entra lub Prawidłowy certyfikat klienta. Wybór zależy od metody używanej w organizacji do identyfikowania urządzeń zarządzanych.

   • Aplikacja: wybierz aplikację, którą chcesz kontrolować.

   • Użytkownicy: wybierz użytkowników, których chcesz monitorować.

7. W obszarze Źródło działania w sekcji Pliki pasujące do wszystkich poniższych sekcji ustaw następujące filtry:

   • Etykiety poufności: jeśli używasz etykiet poufności z usługi Microsoft Purview Information Protection, przefiltruj pliki na podstawie określonej etykiety poufności usługi Microsoft Purview Information Protection.

   • Wybierz pozycję Nazwa pliku lub Typ pliku, aby zastosować ograniczenia na podstawie nazwy pliku lub typu.

8. Włącz inspekcję zawartości, aby umożliwić wewnętrznemu DLP skanowanie plików pod kątem poufnej zawartości.

9. W obszarze Akcje wybierz pozycję Wymagaj uwierzytelniania krokowego.

   Uwaga

   Wymaga to utworzenia kontekstu uwierzytelniania w identyfikatorze Entra firmy Microsoft.

10. Ustaw alerty, które mają być odbierane po dopasowaniu zasad. Możesz ustawić limit, aby nie otrzymywać zbyt wielu alertów. Wybierz, czy alerty mają być otrzymywane jako wiadomość e-mail.

11. Wybierz pozycję Utwórz.

Weryfikowanie zasad

1. Aby zasymulować te zasady, zaloguj się do aplikacji z niezarządzanego urządzenia lub lokalizacji sieciowej innej niż firmowa. Następnie spróbuj pobrać plik.

2. Należy wykonać akcję skonfigurowaną w zasadach kontekstu uwierzytelniania.

3. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Następnie wybierz utworzone zasady, aby wyświetlić raport zasad. Wkrótce powinno pojawić się dopasowanie zasad sesji.

4. W raporcie zasad można zobaczyć, które logowania zostały przekierowane do Microsoft Defender dla Chmury Aplikacje na potrzeby kontroli sesji oraz które pliki zostały pobrane lub zablokowane z monitorowanych sesji.

Następne kroki

Jak utworzyć zasady dostępu

Jak utworzyć zasady sesji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.