Руководство. Блокировка скачивания конфиденциальной информации с помощью управления приложением условного доступа
Современные ИТ-администраторы находятся между двух огней. Им нужно позволить своим сотрудникам работать эффективно, Для этого сотрудникам требуется доступ к соответствующим рабочим приложениям в любое время и с любого устройства. а также обеспечить защиту активов организации, в число которых входит собственническая и конфиденциальная информация. Как предоставить сотрудникам доступ к облачным приложениям и при этом обеспечить защиту данных? В этом руководстве описывается блокировка скачивания для пользователей, которые имеют доступ к конфиденциальным данным в корпоративных облачных приложениях, с неуправляемых устройств или из расположений за пределами корпоративной сети.
Из этого руководства вы узнаете, как выполнять следующие задачи:
Угроза
Менеджер по работе с клиентами в вашей организации хочет проверить определенные данные в Salesforce из дома в выходные с использованием личного ноутбука. Эта информация может включать в себя сведения о кредитной карте клиента и персональные данные. Домашний компьютер является неуправляемым. Если он скачает документы из Salesforce на компьютер, компьютер может быть заражен вредоносными программами. Если устройство будет потеряно или украдено, он не может быть защищен паролем, и любой пользователь, который находит его доступ к конфиденциальной информации.
В этом случае пользователи войдите в Salesforce с помощью корпоративных учетных данных с помощью идентификатора Microsoft Entra.
Решение
Защита организации путем мониторинга и контроля использования облачных приложений с помощью управления Defender для облака приложениями условного доступа.
Необходимые компоненты
- Допустимая лицензия для лицензии Microsoft Entra ID P1 или лицензия, необходимая для решения поставщика удостоверений (IdP)
- Политика условного доступа Microsoft Entra для Salesforce
- Salesforce, настроенное как приложение идентификатора Microsoft Entra
Создание политики блокировки скачивания с неуправляемых устройств
В этой процедуре описывается, как создать только политику сеанса Defender для облака Apps, которая позволяет ограничить сеанс на основе состояния устройства.
Чтобы управлять сеансом с помощью устройства в качестве условия, необходимо также создать политику доступа к приложениям Defender для облака. Дополнительные сведения см. в статье "Создание политик доступа к приложениям Microsoft Defender для облака".
Создание политики сеанса
На портале Microsoft Defender в разделе "Облачные приложения" выберите управление политиками>.
На странице "Политики" выберите "Создать политику сеанса политики>".
На странице Создать политику сеанса присвойте политике имя и введите ее описание. Пример: Блокировка скачивания с Salesforce с неуправляемых устройств.
Задайте значения Серьезность политики и Категория.
Для типа элемента управления сеансом выберите "Файл управления" (с проверкой). Этот параметр дает возможность отслеживать все действия, выполняемые пользователями в рамках сеанса Salesforce, а также позволяет контролировать блокировку и защиту скачиваемых файлов в режиме реального времени.
В разделе Activities matching all of the following (Действия, соответствующие всем следующим условиям) области Источник действия выберите фильтры:
Тег устройства: выбор не равен. а затем выберите "Совместимый с Intune", "Гибридное присоединение к Azure AD" или "Допустимый сертификат клиента". Выбор зависит от метода, используемого в организации для идентификации управляемых устройств.
Приложение. Выберите автоматическое подключение>Azure AD Equals>Salesforce.
Кроме того, вы можете заблокировать скачивание из расположений, которые не входят в корпоративную сеть. В области Источник действия в разделе Activities matching all of the following (Действия, соответствующие всем следующим условиям) выберите фильтры:
- IP-адрес или расположение. Используйте один из этих двух параметров для идентификации не корпоративных или неизвестных расположений, из которых пользователь может пытаться получить доступ к конфиденциальным данным.
Примечание.
Если вы хотите заблокировать скачивание с неуправляемых устройств и из некорпоративных расположений, необходимо создать две политики сеансов. Одна политика задает источник действия с помощью расположения, а другая задает в качестве источника действий неуправляемые устройства.
- Приложение. Выберите автоматическое подключение>Azure AD Equals>Salesforce.
В области Источник действия в разделе Файлы, соответствующие всем следующим условиям выберите фильтры:
Метки конфиденциальности: если вы используете метки конфиденциальности из Защита информации Microsoft Purview, отфильтруйте файлы на основе определенной метки конфиденциальности Защита информации Microsoft Purview.
Выберите Имя файла или Тип файла, чтобы применить ограничения на основе имени файла или типа.
Включите параметр Проверка содержимого, чтобы разрешить сканирование файлов на наличие конфиденциального содержимого с помощью встроенной функции защиты от потери данных.
В разделе Действия выберите Блокировать. При необходимости введите сообщение о блокировке, которое пользователи будут получать в тех случаях, когда им не удается скачать файлы.
Настройте оповещения, которые вы хотите получить при сопоставлении политики, например ограничение, чтобы не получать слишком много оповещений и получать оповещения в виде сообщения электронной почты.
Нажмите кнопку создания.
Проверка политики
Чтобы смоделировать блокировку скачивания файла с неуправляемого устройства или из расположения за пределами корпоративной сети, войдите в приложение. Затем попробуйте скачать файл.
Файл должен быть заблокирован, и вы должны получить сообщение, определенное ранее, в разделе "Настройка блочных сообщений".
На портале Microsoft Defender в разделе "Облачные приложения" перейдите к политикам, а затем выберите управление политиками. Затем выберите созданную политику для просмотра отчета о политике. Вскоре появится совпадение политики сеанса.
В отчете политики вы увидите, какие входы были перенаправлены в Microsoft Defender для облака Приложения для управления сеансами и какие файлы были скачаны или заблокированы из отслеживаемых сеансов.
Следующие шаги
Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.