Tutorial: exigir autenticação de step-up (contexto de autenticação) em caso de ação de risco
O administrador de TI atual está entre a cruz e a espada. Você quer permitir que seus funcionários sejam produtivos. Isso significa permitir que os funcionários acessem aplicativos para poderem trabalhar a qualquer momento, em qualquer dispositivo. No entanto, você deseja proteger os ativos da empresa, incluindo informações proprietárias e privilegiadas. Como permitir que os funcionários acessem aplicativos de nuvem e, ao mesmo tempo, proteger seus dados?
Este tutorial permite reavaliar as políticas de acesso condicional do Microsoft Entra quando os usuários executam ações confidenciais durante uma sessão.
A ameaça
Um funcionário se conectou ao SharePoint Online a partir do escritório corporativo. Durante a mesma sessão, seu endereço IP foi registrado fora da rede corporativa. Talvez a pessoa tenha ido tomar um café no andar de baixo, ou talvez seu token tenha sido comprometido ou roubado por um invasor mal-intencionado.
A solução
Proteja sua organização exigindo que as políticas de Acesso Condicional do Microsoft Entra sejam reavaliadas durante ações de sessão confidenciais do Controle de Aplicativo de Acesso Condicional do Defender para Aplicativos de Nuvem.
Pré-requisitos
Uma licença válida do Microsoft Entra ID P1
Seu aplicativo na nuvem, neste caso o SharePoint Online, configurado como um aplicativo do Microsoft Entra ID e usando SSO via SAML 2.0 ou OpenID Connect
Verifique se o aplicativo está implantado no Defender para Aplicativos de Nuvem
Criar uma política para impor a autenticação de step-up
As políticas de sessão do Defender para Aplicativos de Nuvem permitem que você restrinja uma sessão com base no estado do dispositivo. Para obter o controle de uma sessão usando o dispositivo como uma condição, crie uma política de Acesso Condicional e e uma política de sessão.
Para criar sua política:
No portal do Microsoft Defender, em Aplicativos na nuvem, vá para Políticas ->Gerenciamento de políticas.
Na página Políticas, clique em Criar política e depois em Política de sessão.
Na página Criar política de sessão, dê um nome e uma descrição à sua política. Por exemplo, Exigir autenticação de step-up em downloads do SharePoint Online de dispositivos não gerenciados.
Atribua uma Severidade da política e Categoria.
Para o Tipo de controle de sessão, selecione Bloquear atividades Controlar upload de arquivos (com inspeção), Controlar download de arquivos (com inspeção).
Em Origem da atividade na seção Atividades que correspondem a todos os seguintes, selecione os filtros:
Rótulo de dispositivo: selecione Não é igual e, em seguida, Em conformidade com Intune, Ingressado no Microsoft Entra híbrido ou Certificado de cliente válido. A seleção depende do método usado em sua organização para identificar dispositivos gerenciados.
Aplicativo: selecione Integração automatizada do Azure AD e selecione SharePoint Online na lista.
Usuários: selecione os usuários que você deseja monitorar.
Em Origem da atividade na seção Arquivos que correspondem a todos os seguintes, defina os seguintes filtros:
Rótulos de confidencialidade: se você usar rótulos de confidencialidade da Proteção de Informações do Microsoft Purview, filtre os arquivos com base em um rótulo de confidencialidade específico da Proteção de Informações do Microsoft Purview.
Selecione Nome de arquivo ou Tipo de arquivo para aplicar as restrições com base no nome ou no tipo de arquivo.
Habilite Inspeção de conteúdo para permitir que a DLP interna examine se há conteúdo confidencial em seus arquivos.
Em Ações, selecione Exigir autenticação de step-up.
Observação
Isso requer que o contexto de autenticação seja criado no Microsoft Entra ID.
Defina os alertas que você deseja receber quando a política é correspondida. Você pode definir um limite para não receber um número excessivo de alertas. Selecione se deseja receber os alertas como uma mensagem de email.
Selecione Criar.
Validar sua política
Para simular o download do arquivo bloqueado, em um dispositivo não gerenciado ou uma localização que não seja a rede corporativa, entre no aplicativo. Em seguida, tente baixar um arquivo.
Você deve ser solicitado a executar a ação configurada na política de contexto de autenticação.
No portal do Microsoft Defender, em Aplicativos na nuvem, vá para Políticas ->Gerenciamento de políticas. Em seguida, selecione a política que você criou para exibir o relatório de política. Uma correspondência de política de sessão deve ser exibida em breve.
No relatório de política, é possível ver quais logons foram redirecionados para o controle de sessão do Microsoft Defender para Aplicativos de Nuvem e quais arquivos foram baixados ou bloqueados das sessões monitoradas.
Próximas etapas
Como criar uma política de acesso
Como criar uma política de sessão
Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de