Självstudie: Blockera nedladdning av känslig information med appkontroll för villkorsstyrd åtkomst

Dagens IT-administratör har fastnat mellan en sten och en hård plats. Du vill göra det möjligt för dina anställda att vara produktiva. Det innebär att ge anställda åtkomst till appar så att de kan arbeta när som helst, från valfri enhet. Du vill dock skydda företagets tillgångar, inklusive upphovsrättsskyddad och privilegierad information. Hur gör du det möjligt för anställda att komma åt dina molnappar samtidigt som du skyddar dina data? Med den här självstudien kan du blockera nedladdningar av användare som har åtkomst till dina känsliga data i företagsmolnappar från antingen ohanterade enheter eller platser utanför företagets nätverk.

I den här självstudien får du lära dig att:

• Skapa en blockhämtningsprincip för ohanterade enheter
• Verifiera din princip

Hotet

En kontoansvarig i din organisation vill kontrollera något i Salesforce hemifrån under helgen, på sin personliga bärbara dator. Salesforce-data kan innehålla information om klientkreditkort eller personlig information. Hemdatorn är ohanterad. Om de laddar ned dokument från Salesforce till datorn kan det vara infekterat med skadlig kod. Om enheten tappas bort eller blir stulen kanske den inte är lösenordsskyddad och alla som hittar den har åtkomst till känslig information.

Lösningen

Skydda din organisation genom att övervaka och kontrollera användningen av molnappar med valfri IdP-lösning och Defender för molnet Apps Villkorlig åtkomstappkontroll.

Förutsättningar

• En giltig licens för Microsoft Entra ID P1-licens eller den licens som krävs av din identitetsproviderlösning (IdP)

• Konfigurera en molnapp för enkel inloggning med något av följande autentiseringsprotokoll:

  IdP	Protokoll
  Microsoft Entra ID	SAML 2.0 eller OpenID Anslut
  Övrigt	SAML 2.0

• Kontrollera att appen har distribuerats till Defender för molnet-appar

Skapa en blockhämtningsprincip för ohanterade enheter

Defender för molnet Apps-sessionsprinciper kan du begränsa en session baserat på enhetens tillstånd. Om du vill utföra kontrollen över en session med dess enhet som ett villkor skapar du både en princip för villkorlig åtkomst och en sessionsprincip.

Om du vill skapa principen för villkorlig åtkomst följer du stegen i Skapa en åtkomstprincip för Defender för molnet-appar. I den här självstudien beskrivs hur du skapar sessionsprincipen.

Steg 1: Konfigurera din IdP så att den fungerar med Defender för molnet Apps

Kontrollera att du har konfigurerat din IdP-lösning så att den fungerar med Defender för molnet-appar på följande sätt:

• Villkorsstyrd åtkomst för Microsoft Entra finns i Konfigurera integrering med Microsoft Entra-ID
• Andra IdP-lösningar finns i Konfigurera integrering med andra IdP-lösningar

När du har slutfört den här uppgiften går du till Defender för molnet Apps-portalen och skapar en sessionsprincip för att övervaka och kontrollera filnedladdningar i sessionen.

Steg 2: Skapa en sessionsprincip

1. I Microsoft Defender-portalen går du till Molnappar, går till Principer och väljer sedan Principhantering.

2. På sidan Principer väljer du Skapa princip följt av Sessionsprincip.

3. På sidan Skapa sessionsprincip ger du principen ett namn och en beskrivning. Till exempel Blockera nedladdningar från Salesforce för ohanterade enheter.

4. Tilldela en princip allvarlighetsgrad och kategori.

5. Som sessionskontrolltyp väljer du Kontrollera filnedladdning (med kontroll). Den här inställningen ger dig möjlighet att övervaka allt dina användare gör i en Salesforce-session och ger dig kontroll över att blockera och skydda nedladdningar i realtid.

6. Under Aktivitetskälla i avsnittet Aktiviteter som matchar alla följande väljer du filtren:

   • Enhetstagg: Välj Är inte lika med. och välj sedan Intune-kompatibel, Microsoft Entra-hybridanslutning eller Giltigt klientcertifikat. Ditt val beror på vilken metod som används i din organisation för att identifiera hanterade enheter.

   • App: Välj den app som du vill styra.

   • Användare: Välj de användare som du vill övervaka.

7. Du kan också blockera nedladdningar för platser som inte ingår i företagets nätverk. Under Aktivitetskälla i avsnittet Aktiviteter som matchar alla följande filter anger du följande filter:

   • IP-adress eller plats: Du kan använda någon av dessa två parametrar för att identifiera icke-företags- eller okända platser, från vilka en användare kanske försöker komma åt känsliga data.

   Kommentar

   Om du vill blockera nedladdningar från både ohanterade enheter och icke-företagsplatser måste du skapa två sessionsprinciper. En princip anger aktivitetskällan med hjälp av platsen. Den andra principen anger aktivitetskällan till ohanterade enheter.

   • App: Välj den app som du vill styra.

   • Användare: Välj de användare som du vill övervaka.

8. Under Aktivitetskälla i filer som matchar alla följande avsnitt anger du följande filter:

   • Känslighetsetiketter: Om du använder känslighetsetiketter från Microsoft Purview Information Protection filtrerar du filerna baserat på en specifik känslighetsetikett för Microsoft Purview Information Protection.

   • Välj Filnamn eller Filtyp för att tillämpa begränsningar baserat på filnamn eller typ.

9. Aktivera innehållsgranskning för att aktivera den interna DLP:en för att söka igenom dina filer efter känsligt innehåll.

10. Under Åtgärder väljer du blockera. Anpassa blockeringsmeddelandet som användarna får när de inte kan ladda ned filer.

11. Ange de aviseringar som du vill ta emot när principen matchas. Du kan ange en gräns så att du inte får för många aviseringar. Välj om aviseringarna ska visas som ett e-postmeddelande.

12. Välj Skapa.

Verifiera din princip

1. Om du vill simulera den blockerade filnedladdningen, från en ohanterad enhet eller en nätverksplats som inte tillhör företaget, loggar du in på appen. Försök sedan ladda ned en fil.

2. Filen ska blockeras och du bör få meddelandet som du anger under Anpassa blockmeddelanden.

3. I Microsoft Defender-portalen går du till Molnappar, går till Principer och väljer sedan Principhantering. Välj sedan den princip som du har skapat för att visa principrapporten. En sessionsprincipmatchning bör visas inom kort.

4. I principrapporten kan du se vilka inloggningar som omdirigerades till Microsoft Defender för molnet Appar för sessionskontroll och vilka filer som laddades ned eller blockerades från de övervakade sessionerna.

Nästa steg

Skapa en åtkomstprincip

Skapa en sessionsprincip

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.