共用方式為

教學課程:使用條件式存取應用程控封鎖下載敏感性資訊

  • 發行項

現今的 IT 系統管理員處於進退兩難的局面。 您想要讓員工更具生產力。 這表示允許員工存取應用程式,讓他們可以透過任何裝置隨時工作。 不過,您想保護公司的資產,包括專屬和特殊權限資訊。 您該如何讓員工存取雲端應用程式,同時又能保護資料? 對於可以從非受控裝置或非公司網路位置存取企業雲端應用程式中敏感性資料的使用者,本教學課程可讓您防止他們下載資料。

在本教學課程中,您將了解如何:

威脅

貴組織的帳戶管理員於週末時,想要在家用他個人的膝上型電腦檢查 Salesforce 的內容。 此 Salesforce 資料可能包括用戶端的信用卡資訊或個人資訊。 家用電腦非受控。 如果從 Salesforce 將文件下載至電腦,可能會受惡意程式碼感染。 如果裝置遺失或遭竊,它可能不會受到密碼保護,而且任何發現裝置的人都可以存取機密資訊。

在此情況下,您的使用者會透過 Microsoft Entra 識別碼,使用其公司認證登入 Salesforce。

解決方案

透過監視及控制雲端應用程式搭配 適用於雲端的 Defender 應用程式條件式存取應用程控,保護您的組織。

必要條件

  • Microsoft Entra ID P1 授權的有效授權,或識別提供者 (IdP) 解決方案所需的授權
  • Salesforce 的Microsoft條件式存取原則
  • Salesforce 已設定為 Microsoft Entra ID 應用程式

建立未受管理裝置的封鎖下載原則

此程式描述如何只建立 適用於雲端的 Defender Apps 會話原則,這可讓您根據裝置的狀態來限制會話。

若要使用裝置作為條件來控制會話,您也必須建立 適用於雲端的 Defender Apps 存取原則。 如需詳細資訊,請參閱建立 適用於雲端的 Microsoft Defender 應用程式存取原則

建立會話原則

  1. Microsoft Defender 入口網站的 [Cloud Apps] 底下,選取 [原則>原則管理]。

  2. 在 [原則] 頁面中,選取 [建立原則>會話原則]。

  3. 在 [建立工作階段原則] 頁面上,為您的原則提供名稱和描述。 例如,封鎖未受管理裝置的 Salesforce 下載

  4. 指派 [原則嚴重性] 和 [類別]

  5. 針對 [工作階段] 控制檔案下載】 (檢查時)。 此設定可讓您監視使用者在 Salesforce 工作階段中執行的所有作業,並讓您即時控制封鎖與保護下載。

  6. 在 [符合下列所有條件的活動] 區段的 [活動來源] 下,選取篩選:

    • 裝置標籤:選取 [不相等]。 然後選取 [ Intune 兼容]、 [已加入混合式 Azure AD] 或 [有效的客戶端憑證]。 選取內容取決於貴組織中用來識別受控裝置的方法。

    • 應用程式:選取 [自動化 Azure AD 上線>等於>Salesforce]。

  7. 或者,您可以封鎖不屬於貴公司網路位置的下載。 在 [符合下列所有條件的活動] 區段的 [活動來源] 下,設定下列篩選:

    • IP 位址位置:使用這兩個參數之一來識別使用者可能嘗試存取敏感數據的非公司或未知位置。

    注意

    如果您要封鎖從非受控裝置和非公司位置的下載,則必須建立兩個工作階段原則。 其中一個原則使用位置來設定 [活動來源]。 另一個原則將 [活動來源] 設定為非受控裝置。

    • 應用程式:選取 [自動化 Azure AD 上線>等於>Salesforce]。

  8. 在 [符合下列所有條件的檔案] 區段的 [活動來源] 下,設定下列篩選條件:

    • 敏感度標籤:如果您使用來自 Microsoft Purview 資訊保護 的敏感度標籤,請根據特定 Microsoft Purview 資訊保護 敏感度標籤篩選檔案。

    • 選取 [檔案名稱] 或 [檔案類型],以根據檔案名稱或類型套用限制。

  9. 啟用 [內容檢查],以啟用內部 DLP 來掃描檔案中是否有敏感內容。

  10. 在 [動作] 下,選取 [封鎖]。 自訂使用者在無法下載檔案時將收到的封鎖訊息。

  11. 設定您想要在符合原則時收到的警示,例如限制,讓您不會收到太多警示,以及是否要以電子郵件的形式取得警示。

  12. 選取 建立

驗證原則

  1. 若要模擬封鎖的檔案下載,請從非受控裝置或非公司網路位置,登入應用程式。 然後,嘗試下載檔案。

  2. 檔案應該遭到封鎖,您應該會在 [自定義封鎖訊息] 底下 收到您稍早定義的訊息

  3. Microsoft Defender 入口網站的 [Cloud Apps] 底下,移至 [原則],然後選取 [原則管理]。 然後選取您已建立的原則,以檢視原則報告。 工作階段原則相符項目應該很快就會出現。

  4. 在原則報告中,您可以看到哪些登入已重新導向至 適用於雲端的 Microsoft Defender Apps 以進行會話控制,以及哪些檔案已從受監視的會話下載或封鎖。

下一步

如何建立存取原則

如何建立會話原則

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證