Udostępnij za pośrednictwem


Samouczek: blokowanie pobierania poufnych informacji za pomocą kontroli dostępu warunkowego aplikacji

Dzisiejszy administrator IT utknął między skałą a twardym miejscem. Chcesz umożliwić pracownikom wydajną pracę. Oznacza to umożliwienie pracownikom dostępu do aplikacji, aby mogli pracować w dowolnym momencie z dowolnego urządzenia. Chcesz jednak chronić aktywa firmy, w tym informacje zastrzeżone i uprzywilejowane. Jak umożliwić pracownikom dostęp do aplikacji w chmurze przy jednoczesnym ochronie danych? Ten samouczek umożliwia blokowanie pobierania przez użytkowników, którzy mają dostęp do poufnych danych w aplikacjach w chmurze przedsiębiorstwa z niezarządzanych urządzeń lub poza firmowych lokalizacji sieciowych.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

Zagrożenie

Menedżer kont w twojej organizacji chce sprawdzić coś w salesforce z domu w weekend, na swoim osobistym laptopie. Dane usługi Salesforce mogą obejmować informacje o karcie kredytowej klienta lub dane osobowe. Komputer domowy jest niezarządzany. Jeśli pobierają dokumenty z usługi Salesforce na komputer, może to być zainfekowane złośliwym oprogramowaniem. Jeśli urządzenie zostanie utracone lub skradzione, może nie być chronione hasłem i każdy, kto znajdzie go, ma dostęp do poufnych informacji.

W takim przypadku użytkownicy logują się do usługi Salesforce przy użyciu poświadczeń firmowych za pośrednictwem identyfikatora Firmy Microsoft Entra.

Rozwiązanie

Chroń organizację, monitorując i kontrolując użycie aplikacji w chmurze za pomocą kontroli aplikacji dostępu warunkowego Defender dla Chmury Apps.

Wymagania wstępne

  • Ważna licencja na licencję microsoft Entra ID P1 lub licencję wymaganą przez dostawcę tożsamości (IdP)
  • Zasady dostępu warunkowego firmy Microsoft dla usługi Salesforce
  • Usługa Salesforce skonfigurowana jako aplikacja Microsoft Entra ID

Tworzenie zasad pobierania bloku dla urządzeń niezarządzanych

W tej procedurze opisano sposób tworzenia tylko zasad sesji Defender dla Chmury Apps, co umożliwia ograniczenie sesji na podstawie stanu urządzenia.

Aby kontrolować sesję przy użyciu urządzenia jako warunku, należy również utworzyć zasady dostępu Defender dla Chmury Apps. Aby uzyskać więcej informacji, zobacz Create Microsoft Defender dla Chmury Apps access policies (Tworzenie zasad dostępu do aplikacji Microsoft Defender dla Chmury Apps).

Aby utworzyć zasady sesji

  1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Zarządzanie zasadami>.

  2. Na stronie Zasady wybierz pozycję Utwórz zasady Sesja zasad>.

  3. Na stronie Tworzenie zasad sesji nadaj zasadom nazwę i opis zasad. Na przykład blokuj pobieranie z usługi Salesforce dla urządzeń niezarządzanych.

  4. Przypisz ważność zasad i kategorię.

  5. W obszarze Typ kontrolki Sesja wybierz pozycję Kontrola pobierania pliku (z inspekcją).. To ustawienie umożliwia monitorowanie wszystkich czynności, które użytkownicy wykonują w ramach sesji usługi Salesforce, i zapewnia kontrolę nad blokowaniem i ochroną pobierania w czasie rzeczywistym.

  6. W obszarze Źródło działania w sekcji Działania zgodne ze wszystkimi poniższymi sekcjami wybierz filtry:

    • Tag urządzenia: wybierz pozycję Nie równa się. a następnie wybierz pozycję Zgodne z usługą Intune, Dołączone hybrydowa usługa Azure AD lub Prawidłowy certyfikat klienta. Wybór zależy od metody używanej w organizacji do identyfikowania urządzeń zarządzanych.

    • Aplikacja: wybierz pozycję Automatyczne dołączanie>usługi Azure AD równa się usłudze>Salesforce.

  7. Alternatywnie możesz zablokować pobieranie dla lokalizacji, które nie są częścią sieci firmowej. W obszarze Źródło działania w sekcji Działania zgodne ze wszystkimi poniższymi sekcjami ustaw następujące filtry:

    • Adres IP lub lokalizacja: użyj jednego z tych dwóch parametrów, aby zidentyfikować lokalizacje inne niż firmowe lub nieznane, z których użytkownik może próbować uzyskać dostęp do poufnych danych.

    Uwaga

    Jeśli chcesz zablokować pobieranie z urządzeń niezarządzanych i lokalizacji innych niż firmowe, musisz utworzyć dwie zasady sesji. Jedna zasada ustawia źródło działania przy użyciu lokalizacji. Inne zasady ustawia źródło działania na urządzenia niezarządzane.

    • Aplikacja: wybierz pozycję Automatyczne dołączanie>usługi Azure AD równa się usłudze>Salesforce.
  8. W obszarze Źródło działania w sekcji Pliki pasujące do wszystkich poniższych sekcji ustaw następujące filtry:

    • Etykiety poufności: jeśli używasz etykiet poufności z usługi Microsoft Purview Information Protection, przefiltruj pliki na podstawie określonej etykiety poufności usługi Microsoft Purview Information Protection.

    • Wybierz pozycję Nazwa pliku lub Typ pliku, aby zastosować ograniczenia na podstawie nazwy pliku lub typu.

  9. Włącz inspekcję zawartości, aby umożliwić wewnętrznemu DLP skanowanie plików pod kątem poufnej zawartości.

  10. W obszarze Akcje wybierz pozycję Blokuj. Dostosuj komunikat blokujący, który użytkownicy otrzymają, gdy nie będą mogli pobrać plików.

  11. Skonfiguruj alerty, które mają być odbierane po dopasowaniu zasad, na przykład limit, aby nie otrzymywać zbyt wielu alertów i określać, czy chcesz otrzymywać alerty jako wiadomość e-mail.

  12. Wybierz pozycję Utwórz.

Weryfikowanie zasad

  1. Aby zasymulować pobieranie zablokowanego pliku z urządzenia niezarządzanego lub lokalizacji sieciowej innej niż firmowa, zaloguj się do aplikacji. Następnie spróbuj pobrać plik.

  2. Plik powinien zostać zablokowany i powinien zostać wyświetlony komunikat zdefiniowany wcześniej w obszarze Dostosowywanie komunikatów blokowych.

  3. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady, a następnie wybierz pozycję Zarządzanie zasadami. Następnie wybierz utworzone zasady, aby wyświetlić raport zasad. Wkrótce powinno pojawić się dopasowanie zasad sesji.

  4. W raporcie zasad można zobaczyć, które logowania zostały przekierowane do usługi Microsoft Defender dla Chmury Apps for session control i które pliki zostały pobrane lub zablokowane z monitorowanych sesji.

Następne kroki

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.