Partilhar via

Tutorial: Exigir autenticação step-up (contexto de autenticação) em caso de ação arriscada

  • Artigo

Como administrador de TI hoje, você está preso entre uma pedra e outra. Você quer permitir que seus funcionários sejam produtivos. Isso significa permitir que os funcionários acessem aplicativos para que possam trabalhar a qualquer momento, de qualquer dispositivo. No entanto, você deseja proteger os ativos da empresa, incluindo informações proprietárias e privilegiadas. Como você pode permitir que os funcionários acessem seus aplicativos na nuvem enquanto protegem seus dados?

Este tutorial permite reavaliar as políticas de Acesso Condicional do Microsoft Entra quando os usuários executam ações confidenciais durante uma sessão.

A ameaça

Um funcionário iniciou sessão no SharePoint Online a partir do escritório empresarial. Durante a mesma sessão, seu endereço IP registrado fora da rede corporativa. Talvez eles tenham ido ao café no andar de baixo, ou talvez seu token tenha sido comprometido ou roubado por um invasor mal-intencionado.

A solução

Proteja sua organização exigindo que as políticas de Acesso Condicional do Microsoft Entra sejam reavaliadas durante ações de sessão confidenciais o controle do aplicativo de acesso condicional do Defender for Cloud Apps.

Pré-requisitos

  • Uma licença válida para a licença do Microsoft Entra ID P1

  • Seu aplicativo na nuvem, neste caso o SharePoint Online, configurado como um aplicativo Microsoft Entra ID e usando SSO via SAML 2.0 ou OpenID Connect

  • Verifique se o aplicativo está implantado no Defender for Cloud Apps

Criar uma política para impor a autenticação step-up

As políticas de sessão do Defender for Cloud Apps permitem restringir uma sessão com base no estado do dispositivo. Para realizar o controle de uma sessão usando seu dispositivo como condição, crie uma política de Acesso Condicional e uma política de sessão.

Para criar a sua política:

  1. No Portal do Microsoft Defender, em Cloud Apps, vá para Polices ->Policy management.

  2. Na página Políticas, selecione Criar política seguida de Política de sessão.

  3. Na página Criar política de sessão, dê um nome e uma descrição à sua política. Por exemplo, Exigir autenticação step-up em downloads do SharePoint Online de dispositivos não gerenciados.

  4. Atribua uma severidade e uma categoria de política.

  5. Para o tipo de controle de sessão, selecione Bloquear atividades, Carregar arquivo de controle (com inspeção), Download de arquivo de controle (com inspeção).

  6. Em Origem da atividade na seção Atividades que correspondem a todas as opções a seguir, selecione os filtros:

    • Etiqueta de dispositivo: selecione Não é igual e, em seguida, selecione Compatível com o Intune, Associado híbrido do Microsoft Entra ou Certificado de cliente válido. Sua seleção depende do método usado em sua organização para identificar dispositivos gerenciados.

    • Aplicativo: selecione Integração automatizada do Azure AD e, em seguida, selecione SharePoint Online na lista.

    • Usuários: selecione os usuários que você deseja monitorar.

  7. Em Origem da atividade na seção Arquivos correspondentes a todas as opções a seguir, defina os seguintes filtros:

    • Rótulos de sensibilidade: Se você usar rótulos de sensibilidade do Microsoft Purview Information Protection, filtre os arquivos com base em um rótulo de sensibilidade específico do Microsoft Purview Information Protection.

    • Selecione Nome do arquivo ou Tipo de arquivo para aplicar restrições com base no nome ou tipo de arquivo.

  8. Habilite a inspeção de conteúdo para permitir que a DLP interna analise seus arquivos em busca de conteúdo confidencial.

  9. Em Ações, selecione Exigir autenticação step-up.

    Nota

    Isso requer que o contexto de autenticação seja criado no Microsoft Entra ID.

  10. Defina os alertas que deseja receber quando a política for correspondida. Pode definir um limite para não receber demasiados alertas. Selecione se deseja receber os alertas como uma mensagem de e-mail.

  11. Selecione Criar.

Valide a sua política

  1. Para simular esta política, inicie sessão na aplicação a partir de um dispositivo não gerido ou de uma localização de rede não empresarial. Em seguida, tente baixar um arquivo.

  2. Você deve ser solicitado a executar a ação configurada na política de contexto de autenticação.

  3. No Portal do Microsoft Defender, em Cloud Apps, vá para Polices ->Policy management. Em seguida, selecione a política que você criou para exibir o relatório de política. Uma correspondência de política de sessão deve aparecer em breve.

  4. No relatório de política, você pode ver quais logons foram redirecionados para o Microsoft Defender for Cloud Apps para controle de sessão e quais arquivos foram baixados ou bloqueados das sessões monitoradas.

Próximos passos

Como criar uma política de acesso

Como criar uma política de sessão

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.