教程：使用条件访问应用控制来阻止下载敏感信息

当今的 IT 管理员陷入了两难境地。 想让员工变得高效。 这意味着允许员工访问应用，以便他们可随时使用任何设备工作。 但是还希望保护公司资产，其中包括专有信息和特权信息。 如何既能让员工访问云应用同时又能保护数据呢？ 通过此教程，可以阻止可访问企业云应用中的敏感数据的用户从非管理的设备或非企业网络位置进行下载。

本教程介绍以下操作：

• 为非管理的设备创建块下载策略
• 验证策略

威胁

组织中的帐户管理员希望周末在家中通过个人笔记本电脑查看 Salesforce 中的内容。 Salesforce 数据可能包括客户信用卡信息或个人信息。 家用电脑是非管理的。 如果他们从 Salesforce 将文档下载到电脑上，可能会感染恶意软件。 设备丢失或被盗时，可能会失去密码保护，任何找到该计算机的人都能访问敏感信息。

解决方案

通过使用任何 IdP 解决方案和 Defender for Cloud Apps 条件访问应用控制，来监视和控制云应用的使用情况，从而保护组织。

先决条件

• Microsoft Entra ID P1 许可证的有效许可证，或标识提供者 (IdP) 解决方案要求的许可证

• 使用以下身份验证协议之一，配置用于 SSO 的云应用：

  IdP	协议
  Microsoft Entra ID	SAML 2.0 或 OpenID Connect
  其他	SAML 2.0

• 确保应用已部署到 Defender for Cloud Apps

为非管理的设备创建块下载策略

Defender for Cloud Apps 会话策略允许你根据设备状态来限制会话。 如果要使用其设备作为条件来控制会话，请同时创建条件访问策略以及会话策略。

要创建条件访问策略，请按照创建 Defender for Cloud Apps 访问策略中的步骤操作。 本教程将介绍如何创建会话策略。

步骤 1：将 IdP 配置为使用 Defender for Cloud Apps

确保你已将 IdP 解决方案配置为使用 Defender for Cloud Apps，如下所示：

• 有关 Microsoft Entra 条件访问，请参阅配置与 Microsoft Entra ID 的集成
• 有关其他 IdP 解决方案，请参阅配置与其他 IdP 解决方案的集成

完成此任务后，进入 Defender for Cloud Apps 门户并创建会话策略，以监视和控制会话中的文件下载。

步骤 2：创建会话策略

1. 在 Microsoft Defender 门户的“云应用”下，转到“策略”，然后选择“策略管理”。

2. 在“策略”页面中，选择“创建策略”，然后选择“会话策略”。

3. 在“创建会话政策”页面中，为策略提供名称和说明。 例如，“阻止非管理的设备从 Salesforce 下载”。

4. 分配“策略严重性”和“类别”。

5. 对于“会话控制类型”，选择“控制文件下载（含检查）”。 此设置能监视用户在 Salesforce 会话中执行的所有操作，还能通过实时控制来阻止和保护下载。

6. 在“与以下所有内容匹配的活动”部分的“活动源”下，选择筛选器：

   • 设备标记：选择“不等于”。 然后选择“符合 Intune”、“Microsoft Entra 混合联接”或“有效客户端证书”。 具体选择取决于组织用于标识受管理设备的方法。

   • 应用：选择想要控制的应用。

   • 用户：选择想要监视的用户。

7. 此外，也可以阻止公司网络以外的位置的下载操作。 在“与以下所有项匹配的活动”中的“活动源”下，设置以下筛选器：

   • IP 地址或位置：可使用这两个参数中的任何一个来标识用户尝试访问敏感数据的非企业位置或未知位置。

   注意

   如果要同时阻止从非管理的设备和非企业位置下载，则必须创建两个会话策略。 一个使用该位置设置“活动源”。 另一个策略将“活动源”设置到非管理的设备。

   • 应用：选择想要控制的应用。

   • 用户：选择想要监视的用户。

8. 在“与以下所有项匹配的文件”中的“活动源”下，设置以下筛选器：

   • 敏感度标签：如果使用来自 Microsoft Purview 信息保护的敏感度标签，请根据特定 Microsoft Purview 信息保护敏感度标签来筛选文件。

   • 选择“文件名”或“文件类型”，根据文件名或文件类型应用限制。

9. 启用“内容检查”可启用内部 DLP 来扫描文件以获取敏感内容。

10. 在“操作”下，选择“阻止”。 自定义当用户无法下载文件时获得的阻止消息。

11. 设置要在匹配策略时收到的警报。 可以设置限制以避免接收过多警报。 选择是否以电子邮件的形式接收警报。

12. 选择创建。

验证策略

1. 要模拟阻止从非管理的设备或非企业网络位置下载文件，请登录到应用。 然后尝试下载文件。

2. 文件应该会被阻止，并且你应收到在“自定义阻止消息”下设置的消息。

3. 在 Microsoft Defender 门户的“云应用”下，转到“策略”，然后选择“策略管理”。 然后选择已创建的策略以查看策略报告。 应该很快就会出现会话策略匹配项。

4. 在策略报告中，可查看哪些登录重定向到 Microsoft Defender for Cloud Apps 以进行会话控制，以及从监视会话下载或阻止了哪些文件。

后续步骤

如何创建访问策略

如何创建会话策略

如果遇到任何问题，我们随时提供帮助。 要获取产品问题的帮助或支持，请开立支持票证。