Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье используется процесс, который вы узнали в статье Разработка политики защиты от потери данных , чтобы показать, как создать политику защиты от потери данных (DLP) Microsoft Purview, которая помогает предотвратить передачу конфиденциальной информации с управляемого устройства в приложение ИИ. Проработайте этот сценарий в тестовой среде, чтобы ознакомиться с пользовательским интерфейсом создания политики.
Важно!
В этой статье представлен гипотетический сценарий с гипотетическими значениями. Это только в иллюстративных целях. Замените собственные типы конфиденциальной информации, метки конфиденциальности, группы рассылки и пользователей.
Развертывание политики так же важно, как и ее проектирование. В этой статье показано, как использовать варианты развертывания, чтобы политика достигла вашего намерения, избегая дорогостоящих сбоев в работе.
Используйте этот сценарий, чтобы использовать Edge для блокировки кражи конфиденциальной информации из приложений, управляемых бизнесом, таких как ServiceNow и Workday. Приложения должны быть подключены к Microsoft Entra условного доступа с примененными элементами управления сеансами. Доступ к защищенным приложениям должен быть заблокирован за пределами рабочего профиля Edge.
Необходимые условия
В этой процедуре используется гипотетическая группа распространения с именем External. Дополнительные сведения о защите от потери данных, применяемой в браузере, см. в разделе Ресурсы безопасности данных браузера.
Важно!
Ознакомьтесь с разделом Сведения о защите от потери данных для облачных приложений в Edge для бизнеса, прежде чем приступить к этой процедуре. В нем содержатся важные сведения о предварительных требованиях и допущениях для этого сценария.
Настройка политики для защиты общего доступа к данным в приложениях, управляемых Microsoft Entra, в браузере выполняется на следующих этапах:
- Подключение приложений к элементу управления условным доступом.
- Создайте политику условного доступа Microsoft Entra, настроенную с включенными пользовательскими элементами управления сеансами.
- Включите защиту Edge для бизнеса в браузере, настроенную для принудительного входа в рабочий профиль Edge для бизнес-приложений на всех устройствах.
- Создайте политику защиты от потери данных Purview, предназначенную для взаимодействия пользователей с управляемыми приложениями.
Важно!
Пользователь и приложение должны находиться в область, чтобы все необходимые меры защиты политики применялись к пользователю в Edge.
Оператор намерения политики и сопоставление
Необходимо разрешить пользователям получать доступ к ресурсам в бизнес-приложениях с byOD и личных устройств, но запретить им загружать данные на эти устройства. Подрядчики и сотрудники поставщиков используют эти типы устройств для совместной работы. При попытке скачать файлы, содержащие конфиденциальную информацию, например банковскую информацию клиента, действие должно быть заблокировано. Мы также должны соответствовать требованиям к оповещениям. Наконец, мы хотим, чтобы это действие войти в силу как можно скорее.
| Statement | Ответы на вопрос о конфигурации и сопоставление конфигурации |
|---|---|
| Мы должны разрешить пользователям доступ к ресурсам в бизнес-приложениях, таких как Workdayf, с их BYOD и личных устройств, но запретить им скачивать данные на свои устройства ... | — Выберите, где применить политику: Данные в действиях браузера-Административный область: Полный каталог . Где применить политику: Управляемые приложения > Workday |
| Подрядчики и сотрудники поставщиков используют эти типы устройств для совместной работы.... | - область наряду с приложениями" конкретные пользователи и группы, Включить пользователей и группы>Внешние |
| При попытке скачать файлы, содержащие конфиденциальную информацию, например банковскую информацию клиента, действие должно быть заблокировано. | Что следует отслеживать: — используйте настраиваемый шаблон политики. Условия для соответствия: Содержимое содержит типы> конфиденциальной информации:номер маршрутизации ABA, номер банковского счета Австралии, номер банковского счета Канады, номер международного банковского счета (IBAN),номер банковского счета в Израиле, номер банковского счета в Японии, номер банковского счета Новой Зеландии, код SWIFT, номер банковского счета США— действие: Ограничение действий> браузера и сети **Загрузка файла ** >Блокировка. |
| Мы также должны соответствовать требованиям к оповещениям. Наша команда безопасности должна иметь способ исследовать и принимать меры в отношении результатов соответствия политике. | — Отчеты об инцидентах: отправка оповещения администраторам при возникновении совпадения правил включена по умолчанию. |
| ... Наконец, мы хотим, чтобы это войти в силу как можно скорее.... | Режим политики: **on ** |
Действия по настройке необходимых компонентов
- Подключение приложений к элементу управления условным доступом. Дополнительные сведения см. в разделах Подключение приложений каталога поставщика удостоверений сторонних поставщиков удостоверений для управления приложениями условного доступа и Подключение пользовательских приложений поставщика удостоверений сторонних поставщиков удостоверений для управления приложениями условного доступа. Чтобы применить политики к группам, необходимо также импортировать группы пользователей из подключенных приложений.
- Войдите в Центр администрирования Microsoft Entra.
- Создайте политику условного доступа, предназначенную для облачных приложений с элементами управления сеансами. Пользовательская политика должна быть выбрана в раскрывающемся списке элементов управления сеансом.
- На портале Microsoft Defender по адресу https://security.microsoft.com) перейдите в раздел Параметры > системы > Облачные приложения > Условный доступ к разделу > Защита пограничных приложений для бизнеса. Или, чтобы перейти непосредственно на страницу защиты Edge для бизнеса, используйте https://security.microsoft.com/cloudapps/settings?tabid=edgeIntegration.
- Настройка защиты в браузере для Edge включено, выбрав Разрешить доступ только с пограничных и всех устройств.
Действия по созданию политики
- Войдите на портал Microsoft Purview.
- ВыберитеПолитики>защиты от> потери данных + Создать политику.
- Выберите Данные в действии браузера.
- Выберите Настраиваемый в списке Категории , а затем — Настраиваемая политика в списке Правила .
- Нажмите кнопку Далее.
- Укажите имя политики и укажите описание. Инструкцию намерения политики можно использовать здесь.
- Нажмите кнопку Далее.
- Примите полный каталог по умолчанию на странице Назначение единиц администрирования .
- Нажмите кнопку Далее.
- Выберите Управляемые облачные приложения
- Выберите Определенные пользователи и группы.
- Выберите + Включить , а затем — Включить группы.
- Выберите Внешний.
- Нажмите кнопку Готово , а затем нажмите кнопку Далее.
- Выберите + Включить управляемые приложения.
- Выберите Workday
- Нажмите кнопку Готово
- На странице Определение параметров политики уже должен быть выбран параметр Создать или настроить расширенные правила защиты от потери данных .
- Нажмите кнопку Далее.
- На странице Настройка расширенных правил защиты от потери данных выберите + Создать правило.
- Присвойте правилу имя и укажите описание.
- Выберите Добавить условие и используйте следующие значения:
- Выберите Содержимое содержит.
- Выберите Добавить>типы>конфиденциальной информации. Типы> конфиденциальной информации:номер маршрутизации ABA, номер банковского счета Австралии, номер банковского счета Канады, номер международного банковского счета (IBAN),номер банковского счета в Израиле, номер банковского счета в Японии, номер банковского счета Новой Зеландии, код SWIFT, номер банковского счета США.
- Нажмите кнопку Добавить.
- В разделе Действия добавьте действие со следующими значениями:
- Ограничение действий браузера и сети
- Скачивание> файлаБлок
- В разделе Отчеты об инцидентах выберите: 2. Переключатель Отправить оповещение администраторам при совпадении правил по умолчанию имеет значение Вкл.
- Нажмите кнопку Сохранить , а затем нажмите кнопку Далее.
- На странице Режим политики выберите Включено.
- Нажмите кнопку Далее , а затем нажмите кнопку Отправить.
- Нажмите кнопку Готово.
Важно!
Политика защиты от потери данных не будет применяться в Edge до тех пор, пока не будут выполнены все требования.