教程:在执行风险操作时需要进行逐步身份验证(身份验证上下文)
当今的 IT 管理员陷入了两难境地。 想让员工变得高效。 这意味着允许员工访问应用,以便他们可随时使用任何设备工作。 但是还希望保护公司资产,其中包括专有信息和特权信息。 如何既能让员工访问云应用同时又能保护数据呢?
通过本教程,当用户在会话期间执行敏感操作时,你可以重新评估 Microsoft Entra 条件访问策略。
威胁
员工从公司办公室登录到 SharePoint Online。 在同一会话期间,他们的 IP 地址在公司网络外部注册。 原因可能是他们去了楼下的咖啡店,或者他们的令牌被恶意攻击者入侵或盗窃。
解决方案
在使用 Defender for Cloud Apps 条件访问应用控制进行敏感会话操作期间,需要重新评估 Microsoft Entra 条件访问策略,从而保护组织。
先决条件
Microsoft Entra ID P1 许可证的有效许可证
你的应用(在本例中为 SharePoint Online)将配置为 Microsoft Entra ID 应用,并通过 SAML 2.0 或 OpenID Connect 使用 SSO
创建策略以强制实施逐步身份验证
Defender for Cloud Apps 会话策略允许你根据设备状态来限制会话。 如果要使用其设备作为条件来控制会话,请同时创建条件访问策略以及会话策略。
若要创建策略:
在 Microsoft Defender 门户的“云应用”下,转到“策略”->“策略管理”。
在”策略”页面中,选择“创建策略”,然后选择“会话策略”。
在“创建会话政策”页面中,为策略提供名称和说明。 例如,对于通过非管理的设备从 SharePoint Online 进行的下载,要求进行逐步身份验证。
分配“策略严重性”和“类别”。
对于会话控制类型,请选择阻止活动、控制文件上传(执行检查)、控制文件下载(执行检查)。
在与以下所有内容匹配的活动部分的活动源下,选择筛选器:
设备标记:选择不相等,然后选择符合 Intune、Microsoft Entra 混合联接或有效客户端证书。 具体选择取决于组织用于标识受管理设备的方法。
应用:选择自动 Azure AD 加入,然后从列表中选择 SharePoint Online。
用户:选择想要监视的用户。
在“与以下所有项匹配的文件”中的“活动源”下,设置以下筛选器:
敏感度标签:如果使用来自 Microsoft Purview 信息保护的敏感度标签,请根据特定 Microsoft Purview 信息保护敏感度标签来筛选文件。
选择“文件名”或“文件类型”,根据文件名或文件类型应用限制。
启用“内容检查”可启用内部 DLP 来扫描文件以获取敏感内容。
在操作下,选择需要逐步身份验证。
注意
设置要在匹配策略时收到的警报。 可以设置限制以避免接收过多警报。 选择是否以电子邮件的形式接收警报。
选择创建。
验证策略
要模拟此策略,请从非管理的设备或非企业网络位置登录应用。 然后尝试下载文件。
应该需要执行在身份验证上下文策略中配置的操作。
在 Microsoft Defender 门户的“云应用”下,转到“策略”->“策略管理”。 然后选择已创建的策略以查看策略报告。 应该很快就会出现会话策略匹配项。
在策略报告中,可以查看哪些登录被重定向到 Microsoft Cloud App Security 进行会话控制,以及哪些文件在监视会话中被下载或被阻止。
后续步骤
如果遇到任何问题,我们随时提供帮助。 要获取产品问题的帮助或支持,请开立支持票证。