Tutorial: bloquear o download de informações confidenciais com o controle de aplicativos de acesso condicional
O administrador de TI atual está entre a cruz e a espada. Você quer permitir que seus funcionários sejam produtivos. Isso significa permitir que os funcionários acessem aplicativos para poderem trabalhar a qualquer momento, em qualquer dispositivo. No entanto, você deseja proteger os ativos da empresa, incluindo informações proprietárias e privilegiadas. Como permitir que os funcionários acessem aplicativos de nuvem e, ao mesmo tempo, proteger seus dados? Este tutorial permite que você bloqueie downloads realizados por usuários com acesso a dados confidenciais em aplicativos de nuvem empresariais usando dispositivos não gerenciados ou locais fora da rede corporativa.
Neste tutorial, você aprenderá como:
A ameaça
Um gerente de conta na sua organização quer verificar algo no Salesforce em casa durante o fim de semana, no laptop pessoal dele. Os dados do Salesforce podem incluir informações pessoais ou de cartão de crédito do cliente. O computador doméstico não é gerenciado. Se eles baixarem documentos do Salesforce no computador, ele poderá ser infectado com malware. Em caso de perda ou roubo do dispositivo, ele poderá não estar protegido por senha e qualquer pessoa que o encontrar terá acesso a informações confidenciais.
Nesse caso, seus usuários entram no Salesforce usando suas credenciais corporativas por meio do Microsoft Entra ID.
A solução
Proteja sua organização monitorando e controlando o uso do aplicativo de nuvem com o Controle de Aplicativos de Acesso Condicional do Defender para Aplicativos de Nuvem.
Pré-requisitos
- Uma licença válida para o Microsoft Entra ID P1 ou a licença exigida pela sua solução de provedor de identidade (IdP)
- Uma política de Acesso Condicional do Microsoft Entra para Salesforce
- Salesforce configurado como um aplicativo do Microsoft Entra ID
Criar uma política de bloqueio de download para dispositivos não gerenciados
Este procedimento descreve como criar apenas uma política de sessão do Defender para Aplicativos de Nuvem, que permite restringir uma sessão com base no estado de um dispositivo.
Para controlar uma sessão usando um dispositivo como condição, você também deve criar uma política de acesso do Defender para Aplicativos de Nuvem. Para obter mais informações, consulte Criar políticas de acesso do Microsoft Defender para Aplicativos de Nuvem.
Para criar sua política de sessão
No Portal do Microsoft Defender, em Aplicativos de Nuvem, selecione Políticas>Gerenciamento de políticas.
Na página Políticas, selecione Criar política>Política de sessão.
Na página Criar política de sessão, dê um nome e uma descrição à sua política. Por exemplo, Bloquear downloads do Salesforce para dispositivos não gerenciados.
Atribua uma Severidade da política e Categoria.
Para o Tipo de controle de sessão, selecione Controlar download de arquivo (com inspeção). Essa configuração fornece a capacidade de monitorar tudo o que os usuários fazem em uma sessão do Salesforce, fornecendo o controle para bloquear e proteger downloads em tempo real.
Em Origem da atividade na seção Atividades que correspondem a todos os seguintes, selecione os filtros:
Tag do dispositivo: selecione Diferente de. e, em seguida, selecione Em conformidade com Intune, Ingressado no Azure AD híbrido ou Certificado do cliente válido. A seleção depende do método usado em sua organização para identificar dispositivos gerenciados.
Aplicativo: selecione Integração automatizada ao Azure AD>É igual a>Salesforce.
Como alternativa, você pode bloquear os downloads de locais que não fazem parte da rede corporativa. Em Origem da atividade na seção Atividades que correspondem a todos os seguintes, defina os seguintes filtros:
- Endereço IP ou Local: use um desses dois parâmetros para identificar locais não corporativos ou desconhecidos, dos quais um usuário pode estar tentando acessar dados confidenciais.
Observação
Caso deseje bloquear downloads de dispositivos não gerenciados e locais não corporativos, você precisará criar duas políticas de sessão. Uma política define a Origem da atividade usando a localização. A outra política define a Origem da atividade para dispositivos não gerenciados.
- Aplicativo: selecione Integração automatizada ao Azure AD>É igual a>Salesforce.
Em Origem da atividade na seção Arquivos que correspondem a todos os seguintes, defina os seguintes filtros:
Rótulos de confidencialidade: se você usar rótulos de confidencialidade da Proteção de Informações do Microsoft Purview, filtre os arquivos com base em um rótulo de confidencialidade específico da Proteção de Informações do Microsoft Purview.
Selecione Nome de arquivo ou Tipo de arquivo para aplicar as restrições com base no nome ou no tipo de arquivo.
Habilite Inspeção de conteúdo para permitir que a DLP interna examine se há conteúdo confidencial em seus arquivos.
Em Ações, selecione bloquear. Personalize a mensagem de bloqueio que os usuários recebem quando não conseguem baixar arquivos.
Configure os alertas que você deseja receber quando a política for correspondida, como um limite para que você não receba muitos alertas e se deseja obter os alertas como um email.
Selecione Criar.
Validar sua política
Para simular o download do arquivo bloqueado, em um dispositivo não gerenciado ou uma localização que não seja a rede corporativa, entre no aplicativo. Em seguida, tente baixar um arquivo.
O arquivo deverá ser bloqueado e você deverá receber a mensagem definida anteriormente em Personalizar mensagens de bloqueio.
No portal do Microsoft Defender, em Aplicativos para nuvem, vá para Políticas e Gerenciamento de políticas. Em seguida, selecione a política que você criou para exibir o relatório de política. Uma correspondência de política de sessão deve ser exibida em breve.
No relatório de política, é possível ver quais entradas foram redirecionadas para o controle de sessão do Microsoft Defender para Aplicativos de Nuvem e quais arquivos foram baixados ou bloqueados das sessões monitoradas.
Próximas etapas
Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.