Руководство. Блокировка скачивания конфиденциальной информации с помощью управления условным доступом к приложениям

Современные ИТ-администраторы находятся между двух огней. Им нужно позволить своим сотрудникам работать эффективно, Для этого сотрудникам требуется доступ к соответствующим рабочим приложениям в любое время и с любого устройства. а также обеспечить защиту активов организации, в число которых входит собственническая и конфиденциальная информация. Как предоставить сотрудникам доступ к облачным приложениям и при этом обеспечить защиту данных? В этом руководстве описывается блокировка скачивания для пользователей, которые имеют доступ к конфиденциальным данным в корпоративных облачных приложениях, с неуправляемых устройств или из расположений за пределами корпоративной сети.

Из этого руководства вы узнаете, как выполнять следующие задачи:

• Создание политики загрузки блоков для неуправляемых устройств
• Проверка политики

Угроза

Менеджер по работе с клиентами в вашей организации хочет проверить определенные данные в Salesforce из дома в выходные с использованием личного ноутбука. Эта информация может включать в себя сведения о кредитной карте клиента и персональные данные. Домашний компьютер является неуправляемым. Если он скачает документы из Salesforce на компьютер, компьютер может быть заражен вредоносными программами. Если устройство будет потеряно или украдено, он не может быть защищен паролем, и любой пользователь, который находит его доступ к конфиденциальной информации.

Решение

Защитите организацию, отслеживая и контролируя использование облачных приложений с любым решением поставщика удостоверений и Defender для облака приложениями условного доступа.

Необходимые компоненты

• Допустимая лицензия для лицензии Microsoft Entra ID P1 или лицензия, необходимая для решения поставщика удостоверений (IdP)

• Настройте облачное приложение для единого входа с помощью одного из следующих протоколов проверки подлинности:

  IdP	Протоколы
  Microsoft Entra ID	SAML 2.0 или OpenID Подключение
  Другие	SAML 2.0

• Убедитесь, что приложение развернуто в приложениях Defender для облака

Создание политики блокировки скачивания с неуправляемых устройств

Defender для облака политики сеансов приложений позволяют ограничить сеанс на основе состояния устройства. Если вам необходимо получить возможность управлять сеансом с учетом состояния соответствующего устройства, необходимо создать политику условного доступа и политику сеанса.

Чтобы создать политику условного доступа, выполните действия, описанные в разделе "Создание политики доступа к приложениям Defender для облака". В этом руководстве объясняется, как создать политику сеанса.

Шаг 1. Настройка поставщика удостоверений для работы с приложениями Defender для облака

Убедитесь, что вы настроили решение поставщика удостоверений для работы с Defender для облака приложениями, как показано ниже.

• Условный доступ Microsoft Entra см. в разделе "Настройка интеграции с идентификатором Microsoft Entra ID"
• Другие решения idP см. в разделе "Настройка интеграции с другими решениями поставщика удостоверений"

После выполнения этой задачи перейдите на портал приложений Defender для облака и создайте политику сеанса для мониторинга загрузки файлов и управления ими в сеансе.

Шаг 2. Создание политики сеанса

1. На портале Microsoft Defender в разделе "Облачные приложения" перейдите к политикам, а затем выберите управление политиками.

2. На странице "Политики" выберите "Создать политику", за которой следует политика сеанса.

3. На странице Создать политику сеанса присвойте политике имя и введите ее описание. Пример: Блокировка скачивания с Salesforce с неуправляемых устройств.

4. Задайте значения Серьезность политики и Категория.

5. Для типа элемента управления сеансом выберите "Файл управления" (с проверкой). Этот параметр дает возможность отслеживать все действия, выполняемые пользователями в рамках сеанса Salesforce, а также позволяет контролировать блокировку и защиту скачиваемых файлов в режиме реального времени.

6. В разделе Activities matching all of the following (Действия, соответствующие всем следующим условиям) области Источник действия выберите фильтры:

   • Тег устройства: выбор не равен. затем выберите intune, совместимый с Intune, гибридное присоединение к Microsoft Entra или допустимый сертификат клиента. Выбор зависит от метода, используемого в организации для идентификации управляемых устройств.

   • Приложение. Выберите приложение, которым вы хотите управлять.

   • Пользователи. Выберите пользователей, действия которых вы хотите отслеживать.

7. Кроме того, вы можете заблокировать скачивание из расположений, которые не входят в корпоративную сеть. В области Источник действия в разделе Activities matching all of the following (Действия, соответствующие всем следующим условиям) выберите фильтры:

   • IP-адрес или расположение. Вы можете использовать любой из этих двух параметров для идентификации не корпоративных или неизвестных расположений, из которых пользователь может пытаться получить доступ к конфиденциальным данным.

   Примечание.

   Если вы хотите заблокировать скачивание с неуправляемых устройств и из некорпоративных расположений, необходимо создать две политики сеансов. Одна политика задает источник действия с помощью расположения, а другая задает в качестве источника действий неуправляемые устройства.

   • Приложение. Выберите приложение, которым вы хотите управлять.

   • Пользователи. Выберите пользователей, действия которых вы хотите отслеживать.

8. В области Источник действия в разделе Файлы, соответствующие всем следующим условиям выберите фильтры:

   • Метки конфиденциальности: если вы используете метки конфиденциальности из Защита информации Microsoft Purview, отфильтруйте файлы на основе определенной метки конфиденциальности Защита информации Microsoft Purview.

   • Выберите Имя файла или Тип файла, чтобы применить ограничения на основе имени файла или типа.

9. Включите параметр Проверка содержимого, чтобы разрешить сканирование файлов на наличие конфиденциального содержимого с помощью встроенной функции защиты от потери данных.

10. В разделе Действия выберите Блокировать. При необходимости введите сообщение о блокировке, которое пользователи будут получать в тех случаях, когда им не удается скачать файлы.

11. Задайте оповещения, которые нужно получить при сопоставлении политики. Ограничение можно задать таким образом, чтобы не получать слишком много оповещений. Выберите, следует ли получать оповещения в виде сообщения электронной почты.

12. Нажмите кнопку создания.

Проверка политики

1. Чтобы смоделировать блокировку скачивания файла с неуправляемого устройства или из расположения за пределами корпоративной сети, войдите в приложение. Затем попробуйте скачать файл.

2. Скачивание файла должно быть заблокировано с сообщением, которое вы задали в разделе Настроить сообщение о блокировке.

3. На портале Microsoft Defender в разделе "Облачные приложения" перейдите к политикам, а затем выберите управление политиками. Затем выберите созданную политику для просмотра отчета о политике. Вскоре появится совпадение политики сеанса.

4. В отчете политики вы увидите, какие имена входа были перенаправлены в Microsoft Defender для облака Приложения для управления сеансами и какие файлы были скачаны или заблокированы из отслеживаемых сеансов.

Следующие шаги

Создание политики доступа

Создание политики сеанса

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.