教程:使用条件访问应用控制来阻止下载敏感信息
当今的 IT 管理员陷入了两难境地。 想让员工变得高效。 这意味着允许员工访问应用,以便他们可随时使用任何设备工作。 但是还希望保护公司资产,其中包括专有信息和特权信息。 如何既能让员工访问云应用同时又能保护数据呢? 通过此教程,可以阻止可访问企业云应用中的敏感数据的用户从非管理的设备或非企业网络位置进行下载。
本教程介绍以下操作:
威胁
组织中的帐户管理员希望周末在家中通过个人笔记本电脑查看 Salesforce 中的内容。 Salesforce 数据可能包括客户信用卡信息或个人信息。 家用电脑是非管理的。 如果他们从 Salesforce 将文档下载到电脑上,可能会感染恶意软件。 设备丢失或被盗时,可能会失去密码保护,任何找到该计算机的人都能访问敏感信息。
在此情况下,用户会通过 Microsoft Entra ID 并使用其公司凭据登录到 Salesforce。
解决方案
借助 Defender for Cloud Apps 条件访问应用控制来监视和控制云应用的使用情况,从而保护你的组织。
先决条件
- Microsoft Entra ID P1 许可证的有效许可证,或标识提供者 (IdP) 解决方案要求的许可证
- Salesforce 的 Microsoft Entra 条件访问策略
- 配置为 Microsoft Entra ID 应用的 Salesforce
为非管理的设备创建块下载策略
此过程介绍如何仅创建 Defender for Cloud Apps 会话策略,以便根据设备的状态来限制会话。
若要将设备用作条件来控制会话,则还须创建 Defender for Cloud Apps 访问策略。 有关详细信息,请参阅创建 Microsoft Defender for Cloud Apps 访问策略。
若要创建会话策略
在 Microsoft Defender 门户的云应用下,选择策略>策略管理。
在策略页面上,选择创建策略>会话策略。
在“创建会话政策”页面中,为策略提供名称和说明。 例如,“阻止非管理的设备从 Salesforce 下载”。
分配“策略严重性”和“类别”。
对于“会话控制类型”,选择“控制文件下载(含检查)”。 此设置能监视用户在 Salesforce 会话中执行的所有操作,还能通过实时控制来阻止和保护下载。
在“与以下所有内容匹配的活动”部分的“活动源”下,选择筛选器:
设备标记:选择“不等于”。 然后,选择符合 Intune、混合 Azure AD 联接或有效客户端证书。 具体选择取决于组织用于标识受管理设备的方法。
应用:选择自动 Azure AD 加入>等于>Salesforce。
此外,也可以阻止公司网络以外的位置的下载操作。 在“与以下所有项匹配的活动”中的“活动源”下,设置以下筛选器:
- IP 地址或位置:使用这两个参数中的任何一个来标识用户尝试访问敏感数据的非企业位置或未知位置。
注意
如果要同时阻止从非管理的设备和非企业位置下载,则必须创建两个会话策略。 一个使用该位置设置“活动源”。 另一个策略将“活动源”设置到非管理的设备。
- 应用:选择自动 Azure AD 加入>等于>Salesforce。
在“与以下所有项匹配的文件”中的“活动源”下,设置以下筛选器:
敏感度标签:如果使用来自 Microsoft Purview 信息保护的敏感度标签,请根据特定 Microsoft Purview 信息保护敏感度标签来筛选文件。
选择“文件名”或“文件类型”,根据文件名或文件类型应用限制。
启用“内容检查”可启用内部 DLP 来扫描文件以获取敏感内容。
在“操作”下,选择“阻止”。 自定义当用户无法下载文件时获得的阻止消息。
配置在匹配策略(例如设置某一限制,以免收到过多警报)时要接收的警报,以及是否要以电子邮件的形式接收这些警报。
选择创建。
验证策略
要模拟阻止从非管理的设备或非企业网络位置下载文件,请登录到应用。 然后尝试下载文件。
此文件应会被阻止,且你应收到在自定义阻止消息下先前定义的消息。
在 Microsoft Defender 门户的“云应用”下,转到“策略”,然后选择“策略管理”。 然后选择已创建的策略以查看策略报告。 应该很快就会出现会话策略匹配项。
在策略报告中,可查看哪些登录被重定向到 Microsoft Defender for Cloud Apps 进行会话控制,以及哪些文件在监视会话中被下载或被阻止。
后续步骤
如果遇到任何问题,我们随时提供帮助。 要获取产品问题的帮助或支持,请开立支持票证。