Självstudie: Kräv stegvis autentisering (autentiseringskontext) vid riskfylld åtgärd

Som IT-administratör i dag är du fast mellan en sten och en hård plats. Du vill göra det möjligt för dina anställda att vara produktiva. Det innebär att ge anställda åtkomst till appar så att de kan arbeta när som helst, från valfri enhet. Du vill dock skydda företagets tillgångar, inklusive upphovsrättsskyddad och privilegierad information. Hur gör du det möjligt för anställda att komma åt dina molnappar samtidigt som du skyddar dina data?

Med den här självstudien kan du omvärdera principer för villkorsstyrd åtkomst i Microsoft Entra när användare vidtar känsliga åtgärder under en session.

Hotet

En anställd loggade in på SharePoint Online från företagskontoret. Under samma session registrerades deras IP-adress utanför företagsnätverket. De kanske gick till kaféet där nere, eller så blev deras token komprometterad eller stulen av en angripare.

Lösningen

Skydda din organisation genom att kräva att principer för villkorsstyrd åtkomst i Microsoft Entra utvärderas på nytt under känsliga sessionsåtgärder Defender för molnet Appkontroll för villkorsstyrd åtkomst.

Förutsättningar

• En giltig licens för Microsoft Entra ID P1-licens

• Konfigurera en molnapp för enkel inloggning med något av följande autentiseringsprotokoll:

  IdP	Protokoll
  Microsoft Entra-ID	SAML 2.0 eller OpenID Anslut

• Kontrollera att appen har distribuerats till Defender för molnet-appar

Skapa en princip för att framtvinga stegvis autentisering

Defender för molnet Apps-sessionsprinciper kan du begränsa en session baserat på enhetens tillstånd. Om du vill utföra kontrollen över en session med dess enhet som ett villkor skapar du både en princip för villkorlig åtkomst och en sessionsprincip.

Steg 1: Konfigurera din IdP så att den fungerar med Defender för molnet Apps

Kontrollera att du har konfigurerat din IdP-lösning så att den fungerar med Defender för molnet-appar på följande sätt:

• Villkorsstyrd åtkomst för Microsoft Entra finns i Konfigurera integrering med Microsoft Entra-ID

• Andra IdP-lösningar finns i Konfigurera integrering med andra IdP-lösningar

När du har slutfört den här uppgiften går du till Defender för molnet Apps-portalen och skapar en sessionsprincip för att övervaka och kontrollera filnedladdningar i sessionen.

Steg 2: Skapa en sessionsprincip

1. I Microsoft Defender-portalen går du till Principhantering för Principer> under Molnappar.

2. På sidan Principer väljer du Skapa princip följt av Sessionsprincip.

3. På sidan Skapa sessionsprincip ger du principen ett namn och en beskrivning. Till exempel Kräv stegvis autentisering vid nedladdningar från SharePoint Online från ohanterade enheter.

4. Tilldela en princip allvarlighetsgrad och kategori.

5. Som sessionskontrolltyp väljer du Blockera aktiviteter,Kontrollera filuppladdning (med inspektion),Kontrollera filnedladdning (med inspektion).

6. Under Aktivitetskälla i avsnittet Aktiviteter som matchar alla följande väljer du filtren:

   • Enhetstagg: Välj Är inte lika med och välj sedan Intune-kompatibel, Microsoft Entra-hybridanslutning eller Giltigt klientcertifikat. Ditt val beror på vilken metod som används i din organisation för att identifiera hanterade enheter.

   • App: Välj den app som du vill styra.

   • Användare: Välj de användare som du vill övervaka.

7. Under Aktivitetskälla i filer som matchar alla följande avsnitt anger du följande filter:

   • Känslighetsetiketter: Om du använder känslighetsetiketter från Microsoft Purview Information Protection filtrerar du filerna baserat på en specifik känslighetsetikett för Microsoft Purview Information Protection.

   • Välj Filnamn eller Filtyp för att tillämpa begränsningar baserat på filnamn eller typ.

8. Aktivera innehållsgranskning för att aktivera den interna DLP:en för att söka igenom dina filer efter känsligt innehåll.

9. Under Åtgärder väljer du Kräv stegvis autentisering.

   Kommentar

   Detta kräver att autentiseringskontext skapas i Microsoft Entra-ID.

10. Ange de aviseringar som du vill ta emot när principen matchas. Du kan ange en gräns så att du inte får för många aviseringar. Välj om aviseringarna ska visas som ett e-postmeddelande.

11. Välj Skapa.

Verifiera din princip

1. Om du vill simulera den här principen loggar du in på appen från en ohanterad enhet eller en icke-företagsnätverksplats. Försök sedan ladda ned en fil.

2. Du bör vara skyldig att utföra åtgärden som konfigurerats i autentiseringskontextprincipen.

3. I Microsoft Defender-portalen går du till Principhantering för Principer> under Molnappar. Välj sedan den princip som du har skapat för att visa principrapporten. En sessionsprincipmatchning bör visas inom kort.

4. I principrapporten kan du se vilka inloggningar som omdirigerades till Microsoft Defender för molnet Appar för sessionskontroll och vilka filer som laddades ned eller blockerades från de övervakade sessionerna.

Nästa steg

Skapa en åtkomstprincip

Skapa en sessionsprincip

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.