教學課程:在有風險的動作時需要逐步驗證(驗證內容)
身為IT系統管理員,您目前被困在岩石和硬地之間。 您想要讓員工更具生產力。 這表示允許員工存取應用程式,讓他們可以透過任何裝置隨時工作。 不過,您想保護公司的資產,包括專屬和特殊權限資訊。 您該如何讓員工存取雲端應用程式,同時又能保護資料?
本教學課程可讓您在會話期間採取敏感性動作時,重新評估Microsoft Entra 條件式存取原則。
威脅
從公司辦公室登入 SharePoint Online 的員工。 在同一個會話期間,其IP位址會在公司網路外部註冊。 也許他們去樓下的咖啡店,或者他們的令牌被惡意攻擊者入侵或竊取。
解決方案
藉由要求Microsoft Entra 條件式存取原則在敏感性會話動作期間重新評估 適用於雲端的 Defender Apps 條件式存取應用程控,以保護您的組織。
必要條件
Microsoft Entra ID P1 授權的有效授權
在此案例中,您的雲端應用程式 SharePoint Online 已設定為 Microsoft Entra ID 應用程式,並透過 SAML 2.0 或 OpenID Connect 使用 SSO
建立原則以強制執行逐步驗證
適用於雲端的 Defender Apps 會話原則可讓您根據裝置狀態限制會話。 若要使用其裝置作為條件來完成會話的控制,請建立條件式存取原則 和 會話原則。
若要建立您的原則:
在 Microsoft Defender 入口網站的 Cloud Apps 下,移至 [原則>管理]。
在 [ 原則] 頁面中,選取 [建立原則 ],然後選取 [ 會話原則]。
在 [建立工作階段原則] 頁面上,為您的原則提供名稱和描述。 例如, 從 Unmanaged 裝置從 SharePoint Online 下載時需要逐步驗證。
指派 [原則嚴重性] 和 [類別]。
針對 [工作階段] 控件類型,選取 [封鎖活動]、[控制檔案上傳]、[檢查]、[控制檔案下載] (檢查時)。
在 [符合下列所有區段的活動來源] 底下,選取篩選:
裝置卷標:選取 [不等於],然後選取 [Intune 兼容]、 Microsoft [已加入混合式] 或 [有效的用戶端憑證]。 選取內容取決於貴組織中用來識別受控裝置的方法。
應用程式:選取 [ 自動化 Azure AD 上線] ,然後從列表中選取 [SharePoint Online ]。
使用者:選取您想要監視的使用者。
在 [符合下列所有條件的檔案] 區段的 [活動來源] 下,設定下列篩選條件:
敏感度標籤:如果您使用來自 Microsoft Purview 資訊保護 的敏感度標籤,請根據特定 Microsoft Purview 資訊保護 敏感度標籤篩選檔案。
選取 [檔案名稱] 或 [檔案類型],以根據檔案名稱或類型套用限制。
啟用 [內容檢查],以啟用內部 DLP 來掃描檔案中是否有敏感內容。
在 [動作] 底下,選取 [需要逐步驗證]。
注意
這需要 Microsoft Entra ID 中建立驗證內容。
設定符合原則時想要收到的警示。 您可以設定限制,以免收到過多警示。 選取是否要以電子郵件訊息的形式取得警示。
選取 建立。
驗證原則
若要模擬此原則,請從非受控裝置或非公司網路位置登入應用程式。 然後,嘗試下載檔案。
您必須執行驗證內容原則中設定的動作。
在 Microsoft Defender 入口網站的 Cloud Apps 下,移至 [原則>管理]。 然後選取您已建立的原則,以檢視原則報告。 工作階段原則相符項目應該很快就會出現。
在原則報告中,您可以看到哪些登入重新導向至 適用於雲端的 Microsoft Defender Apps 以進行會話控制,以及哪些檔案已從受監視的會話下載或封鎖。
下一步
如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證。