Tutorial: Bloquear o download de informações confidenciais com o Controle de Aplicativo de Acesso Condicional
O administrador de TI de hoje está preso entre uma pedra e outra. Você quer permitir que seus funcionários sejam produtivos. Isso significa permitir que os funcionários acessem aplicativos para que possam trabalhar a qualquer momento, de qualquer dispositivo. No entanto, você deseja proteger os ativos da empresa, incluindo informações proprietárias e privilegiadas. Como você pode permitir que os funcionários acessem seus aplicativos na nuvem enquanto protegem seus dados? Este tutorial permite que você bloqueie downloads de usuários que têm acesso aos seus dados confidenciais em aplicativos corporativos na nuvem de dispositivos não gerenciados ou locais de rede fora da empresa.
Neste tutorial, irá aprender a:
A ameaça
Um gerente de conta em sua organização deseja verificar algo no Salesforce em casa no fim de semana, em seu laptop pessoal. Os dados do Salesforce podem incluir informações de cartão de crédito do cliente ou informações pessoais. O PC doméstico não é gerido. Se eles baixarem documentos do Salesforce para o PC, ele pode estar infetado com malware. Se o dispositivo for perdido ou roubado, ele pode não ser protegido por senha e qualquer pessoa que o encontre tem acesso a informações confidenciais.
Nesse caso, os usuários entram no Salesforce usando suas credenciais corporativas, por meio do Microsoft Entra ID.
A solução
Proteja sua organização monitorando e controlando o uso de aplicativos na nuvem com o controle de aplicativo de Acesso Condicional do Defender for Cloud Apps.
Pré-requisitos
- Uma licença válida para a licença do Microsoft Entra ID P1 ou a licença exigida pela sua solução de provedor de identidade (IdP)
- Uma política de acesso condicional do Microsoft Entra para Salesforce
- Salesforce configurado como um aplicativo Microsoft Entra ID
Criar uma política de download de bloqueio para dispositivos não gerenciados
Este procedimento descreve como criar apenas uma política de sessão do Defender for Cloud Apps, que permite restringir uma sessão com base no estado de um dispositivo.
Para controlar uma sessão usando um dispositivo como condição, você também deve criar uma política de acesso do Defender for Cloud Apps. Para obter mais informações, consulte Criar políticas de acesso do Microsoft Defender for Cloud Apps.
Para criar sua política de sessão
No Portal do Microsoft Defender, em Aplicativos na Nuvem, selecione Gerenciamento de políticas>de políticas.
Na página Políticas, selecione Criar política de sessão de política>.
Na página Criar política de sessão, dê um nome e uma descrição à sua política. Por exemplo, bloqueie downloads do Salesforce para dispositivos não gerenciados.
Atribua uma severidade e uma categoria de política.
Para o tipo de controle de sessão, selecione Download de arquivo de controle (com inspeção). Essa configuração oferece a capacidade de monitorar tudo o que seus usuários fazem em uma sessão do Salesforce e oferece controle para bloquear e proteger downloads em tempo real.
Em Origem da atividade na seção Atividades correspondentes a todas as seguintes opções, selecione os filtros:
Tag do dispositivo: Selecione Não é igual. e, em seguida, selecione Compatível com o Intune, Azure AD híbrido ingressado ou Certificado de cliente válido. Sua seleção depende do método usado em sua organização para identificar dispositivos gerenciados.
Aplicativo: selecione Integração>automatizada do Azure AD igual ao>Salesforce.
Como alternativa, você pode bloquear os downloads para locais que não fazem parte da sua rede corporativa. Em Origem da atividade na seção Atividades que correspondem a todas as opções a seguir, defina os seguintes filtros:
- Endereço IP ou localização: use qualquer um desses dois parâmetros para identificar locais não corporativos ou desconhecidos, a partir dos quais um usuário pode estar tentando acessar dados confidenciais.
Nota
Se você quiser bloquear downloads de dispositivos não gerenciados e locais não corporativos, será necessário criar duas políticas de sessão. Uma política define a fonte de atividade usando o local. A outra política define a origem da atividade como dispositivos não gerenciados.
- Aplicativo: selecione Integração>automatizada do Azure AD igual ao>Salesforce.
Em Origem da atividade na seção Arquivos correspondentes a todas as opções a seguir, defina os seguintes filtros:
Rótulos de sensibilidade: Se você usar rótulos de sensibilidade do Microsoft Purview Information Protection, filtre os arquivos com base em um rótulo de sensibilidade específico do Microsoft Purview Information Protection.
Selecione Nome do arquivo ou Tipo de arquivo para aplicar restrições com base no nome ou tipo de arquivo.
Habilite a inspeção de conteúdo para permitir que a DLP interna analise seus arquivos em busca de conteúdo confidencial.
Em Ações, selecione bloquear. Personalize a mensagem de bloqueio que os utilizadores recebem quando não conseguem transferir ficheiros.
Configure os alertas que deseja receber quando a política for correspondida, como um limite para que você não receba muitos alertas e se deseja receber os alertas como um e-mail.
Selecione Criar.
Valide a sua política
Para simular o download do arquivo bloqueado, de um dispositivo não gerenciado ou de um local de rede não corporativo, entre no aplicativo. Em seguida, tente baixar um arquivo.
O arquivo deve ser bloqueado e você deve receber a mensagem definida anteriormente, em Personalizar mensagens de bloqueio.
No Portal do Microsoft Defender, em Aplicativos na Nuvem, vá para Políticas e selecione Gerenciamento de políticas. Em seguida, selecione a política que você criou para exibir o relatório de política. Uma correspondência de política de sessão deve aparecer em breve.
No relatório de políticas, você pode ver quais entradas foram redirecionadas para o Microsoft Defender for Cloud Apps para controle de sessão e quais arquivos foram baixados ou bloqueados das sessões monitoradas.
Próximos passos
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários