教學課程:需要在有風險的動作時 (驗證內容) 進行逐步驗證
身為現今的IT系統管理員,您停留在岩石與硬地之間。 您想要讓員工提高生產力。 這表示允許員工存取應用程式,讓他們可以隨時從任何裝置工作。 不過,您想要保護公司的資產,包括專屬和特殊許可權資訊。 如何讓員工存取您的雲端應用程式,同時保護您的數據?
本教學課程可讓您在使用者於會話期間採取敏感性動作時,重新評估 Microsoft Entra 條件式存取原則。
威脅
員工從公司辦公室登入 SharePoint Online。 在相同的會話期間,其IP位址會在公司網路外部註冊。 也許他們前往咖啡廳,或可能是他們的令牌遭到惡意攻擊者入侵或竊取。
解決辦法
在 Defender for Cloud Apps 條件式存取應用程控的敏感性會話動作期間,要求重新評估 Microsoft Entra 條件式存取原則,以保護您的組織。
必要條件
Microsoft Entra ID P1 授權的有效授權
您的雲端應用程式,在此案例中為 SharePoint Online,設定為 Microsoft Entra ID 應用程式,並透過 SAML 2.0 或 OpenID Connect 使用 SSO
建立原則以強制執行逐步驗證
Defender for Cloud Apps 工作階段原則可讓您根據裝置狀態限制會話。 若要使用其裝置做為條件來完成會話的控制,請建立條件式存取原則 和 會話原則。
若要建立原則:
在 Microsoft Defender 入口網站的 [雲端應用程式] 下,移至 [原則 ->原則管理]。
在 [ 原則] 頁面中,選取 [ 建立原則 ],後面接著 [會話原則]。
在 [ 建立會話原則 ] 頁面中,為您的原則提供名稱和描述。 例如, 從非受控裝置下載 SharePoint Online 時需要進行逐步驗證。
指派原則嚴重性和類別目錄。
針對 [工作階段] 控制檔案類型,選取 [ 封鎖活動]、[使用檢查) 控制檔案上傳 (]、[使用檢查來控制檔案下載 () 。
在 [符合下列所有活動] 區段的 [活動來源] 底下,選取篩選條件:
裝置標籤:選取 [不等於],然後選取 Intune 符合規範、Microsoft Entra 混合式聯結或有效的客戶端憑證。 您的選擇取決於組織中用來識別受控裝置的方法。
應用程式:選取 [自動化 Azure AD 上線 ],然後從列表中選取 [SharePoint Online ]。
用戶:選取您要監視的使用者。
在 [符合下列所有項目的檔案] 區段中的 [活動來源] 下,設定下列篩選條件:
敏感度標籤:如果您使用來自 Microsoft Purview 資訊保護 的敏感度標籤,請根據特定的 Microsoft Purview 資訊保護 敏感度標籤來篩選檔案。
選 取 [檔案名 ] 或 [檔案類型] ,以根據檔名或類型套用限制。
啟用 內容檢查 ,讓內部 DLP 掃描檔案中的敏感性內容。
在 [ 動作] 底下,選取 [需要逐步驗證]。
注意事項
設定您想要在符合原則時收到的警示。 您可以設定限制,以免收到太多警示。 選取是否要取得警示做為電子郵件訊息。
選取 [建立]。
驗證您的原則
若要模擬此原則,請從非受控裝置或非公司網路位置登入應用程式。 然後,嘗試下載檔案。
您應該必須執行驗證內容原則中設定的動作。
在 Microsoft Defender 入口網站的 [雲端應用程式] 下,移至 [原則 ->原則管理]。 然後選取您已建立的原則以檢視原則報告。 會話原則相符項目應該很快就會出現。
在原則報告中,您可以查看哪些登入已重新導向至 Microsoft Defender for Cloud Apps 進行會話控制,以及哪些檔案已從受監視的會話下載或封鎖。
後續步驟
如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。