Руководство. Требовать поэтапной проверки подлинности (контекст проверки подлинности) при рискованном действии
Как ИТ-администратор сегодня, вы застряли между роком и жестким местом. Им нужно позволить своим сотрудникам работать эффективно, Для этого сотрудникам требуется доступ к соответствующим рабочим приложениям в любое время и с любого устройства. а также обеспечить защиту активов организации, в число которых входит собственническая и конфиденциальная информация. Как предоставить сотрудникам доступ к облачным приложениям и при этом обеспечить защиту данных?
В этом руководстве вы можете повторно оценить политики условного доступа Microsoft Entra, когда пользователи принимают конфиденциальные действия во время сеанса.
Угроза
Сотрудник вошел в SharePoint Online из корпоративного офиса. Во время того же сеанса ip-адрес, зарегистрированный за пределами корпоративной сети. Может быть, они пошли в кафе внизу, или, возможно, их токен был скомпрометирован или украден злоумышленником.
Решение
Защита организации путем повторного анализа политик условного доступа Microsoft Entra во время конфиденциальных действий сеанса Defender для облака приложения условного доступа.
Необходимые компоненты
Допустимая лицензия для лицензии Microsoft Entra ID P1
Облачное приложение, в данном случае SharePoint Online, настроенное как приложение идентификатора Microsoft Entra и использование единого входа с помощью SAML 2.0 или OpenID Connect
Убедитесь, что приложение развернуто в приложениях Defender для облака
Создание политики для принудительной проверки подлинности на этапе
Defender для облака политики сеансов приложений позволяют ограничить сеанс на основе состояния устройства. Для управления сеансом с помощью своего устройства в качестве условия создайте политику условного доступа и политику сеанса.
Чтобы создать политику, выполните следующие действия.
На портале Microsoft Defender в разделе "Облачные приложения" перейдите в раздел "Полиция -> Управление политиками".
На странице "Политики" выберите "Создать политику", за которой следует политика сеанса.
На странице Создать политику сеанса присвойте политике имя и введите ее описание. Например, требуется шаг проверки подлинности при скачивании из SharePoint Online с неуправляемых устройств.
Задайте значения Серьезность политики и Категория.
Для типа элемента управления сеансом выберите "Блокировать действия", "Управление отправкой файлов" (с проверкой), скачивание файла управления (с проверкой).
В разделе "Источник действий" в разделе "Действия", соответствующий всему следующему разделу, выберите фильтры:
Тег устройства: выберите "Не равно", а затем выберите "Совместимый с Intune", "Microsoft Entra hybrid joined" или "Допустимый сертификат клиента". Выбор зависит от метода, используемого в организации для идентификации управляемых устройств.
Приложение. Выберите автоматическое подключение Azure AD и выберите SharePoint Online из списка.
Пользователи. Выберите пользователей, действия которых вы хотите отслеживать.
В области Источник действия в разделе Файлы, соответствующие всем следующим условиям выберите фильтры:
Метки конфиденциальности: если вы используете метки конфиденциальности из Защита информации Microsoft Purview, отфильтруйте файлы на основе определенной метки конфиденциальности Защита информации Microsoft Purview.
Выберите Имя файла или Тип файла, чтобы применить ограничения на основе имени файла или типа.
Включите параметр Проверка содержимого, чтобы разрешить сканирование файлов на наличие конфиденциального содержимого с помощью встроенной функции защиты от потери данных.
В разделе "Действия" выберите "Требовать проверку подлинности на шаге".
Примечание.
Для этого требуется создать контекст проверки подлинности в идентификаторе Microsoft Entra.
Задайте оповещения, которые нужно получить при сопоставлении политики. Ограничение можно задать таким образом, чтобы не получать слишком много оповещений. Выберите, следует ли получать оповещения в виде сообщения электронной почты.
Нажмите кнопку создания.
Проверка политики
Чтобы имитировать эту политику, войдите в приложение с неуправляемого устройства или не корпоративного сетевого расположения. Затем попробуйте скачать файл.
Необходимо выполнить действие, настроенное в политике контекста проверки подлинности.
На портале Microsoft Defender в разделе "Облачные приложения" перейдите в раздел "Полиция -> Управление политиками". Затем выберите созданную политику для просмотра отчета о политике. Вскоре появится совпадение политики сеанса.
В отчете политики вы увидите, какие имена входа перенаправляются в Microsoft Defender для облака Apps для управления сеансами и какие файлы были скачаны или заблокированы из отслеживаемых сеансов.
Следующие шаги
Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.