教程:在执行风险操作时需要进行逐步身份验证(身份验证上下文)

当今的 IT 管理员陷入了两难境地。 想让员工变得高效。 这意味着允许员工访问应用,以便他们可随时使用任何设备工作。 但是还希望保护公司资产,其中包括专有信息和特权信息。 如何既能让员工访问云应用同时又能保护数据呢?

通过本教程,当用户在会话期间执行敏感操作时,你可以重新评估 Microsoft Entra 条件访问策略。

威胁

员工从公司办公室登录到 SharePoint Online。 在同一会话期间,他们的 IP 地址在公司网络外部注册。 原因可能是他们去了楼下的咖啡店,或者他们的令牌被恶意攻击者入侵或盗窃。

解决方案

在使用 Defender for Cloud Apps 条件访问应用控制进行敏感会话操作期间,需要重新评估 Microsoft Entra 条件访问策略,从而保护组织。

先决条件

  • Microsoft Entra ID P1 许可证的有效许可证

  • 你的应用(在本例中为 SharePoint Online)将配置为 Microsoft Entra ID 应用,并通过 SAML 2.0 或 OpenID Connect 使用 SSO

  • 确保应用已部署到 Defender for Cloud Apps

创建策略以强制实施逐步身份验证

Defender for Cloud Apps 会话策略允许你根据设备状态来限制会话。 如果要使用其设备作为条件来控制会话,请同时创建条件访问策略以及会话策略。

若要创建策略

  1. 在 Microsoft Defender 门户的“云应用”下,转到“策略”->“策略管理”。

  2. 在”策略”页面中,选择“创建策略”,然后选择“会话策略”。

  3. 在“创建会话政策”页面中,为策略提供名称和说明。 例如,对于通过非管理的设备从 SharePoint Online 进行的下载,要求进行逐步身份验证

  4. 分配“策略严重性”和“类别”

  5. 对于会话控制类型,请选择阻止活动控制文件上传(执行检查)控制文件下载(执行检查)

  6. 与以下所有内容匹配的活动部分的活动源下,选择筛选器:

    • 设备标记:选择不相等,然后选择符合 IntuneMicrosoft Entra 混合联接有效客户端证书。 具体选择取决于组织用于标识受管理设备的方法。

    • 应用:选择自动 Azure AD 加入,然后从列表中选择 SharePoint Online

    • 用户:选择想要监视的用户。

  7. 在“与以下所有项匹配的文件”中的“活动源”下,设置以下筛选器

    • 敏感度标签:如果使用来自 Microsoft Purview 信息保护的敏感度标签,请根据特定 Microsoft Purview 信息保护敏感度标签来筛选文件。

    • 选择“文件名”或“文件类型”,根据文件名或文件类型应用限制

  8. 启用“内容检查”可启用内部 DLP 来扫描文件以获取敏感内容

  9. 操作下,选择需要逐步身份验证

  10. 设置要在匹配策略时收到的警报。 可以设置限制以避免接收过多警报。 选择是否以电子邮件的形式接收警报。

  11. 选择创建

验证策略

  1. 要模拟此策略,请从非管理的设备或非企业网络位置登录应用。 然后尝试下载文件。

  2. 应该需要执行在身份验证上下文策略中配置的操作。

  3. 在 Microsoft Defender 门户的“云应用”下,转到“策略”->“策略管理”。 然后选择已创建的策略以查看策略报告。 应该很快就会出现会话策略匹配项。

  4. 在策略报告中,可以查看哪些登录被重定向到 Microsoft Cloud App Security 进行会话控制,以及哪些文件在监视会话中被下载或被阻止。

后续步骤

如何创建访问策略

如何创建会话策略

如果遇到任何问题,我们随时提供帮助。 要获取产品问题的帮助或支持,请开立支持票证