Tutorial: Bloqueo de descargas de información confidencial con el control de aplicaciones de acceso condicional de Microsoft Cloud App Security
Los administradores de TI de hoy en día se encuentran entre la espada y la pared. Quiere permitir que los empleados sean productivos. Para ello, hay que permitirles el acceso a aplicaciones, de forma que puedan trabajar en cualquier momento y desde cualquier dispositivo. Pero quiere proteger los activos de la empresa, incluida la información propietaria y con privilegios. ¿Cómo se puede permitir el acceso de los empleados a las aplicaciones en la nube y, al mismo tiempo, proteger los datos? En este tutorial se describe cómo bloquear las descargas de los usuarios que tienen acceso a datos confidenciales en las aplicaciones en la nube de la empresa desde dispositivos no administrados o ubicaciones de red no corporativas.
En este tutorial, aprenderá a:
La amenaza
Un administrador de cuentas de la organización quiere consultar algo en Salesforce desde casa durante el fin de semana en su portátil personal. Los datos de Salesforce pueden incluir desde información de la tarjeta de crédito de un cliente hasta información de carácter personal. El equipo doméstico no está administrado. Si descarga los documentos de Salesforce en el equipo, puede estar infectado con malware. En caso de que se pierda el dispositivo o de que alguien lo robe, puede que no esté protegido por contraseña y que cualquier persona que lo encuentre tenga acceso a información confidencial.
La solución
Proteja su organización supervisando y controlando el uso de aplicaciones en la nube con cualquier solución de IdP y el control de aplicaciones de acceso condicional de Defender for Cloud Apps.
Requisitos previos
Una licencia válida para la licencia Microsoft Entra ID P1, o la licencia requerida por su solución de proveedor de identidad (IdP)
Configure una aplicación en la nube para el inicio de sesión único mediante uno de los siguientes protocolos de autenticación:
IdP Protocolos Microsoft Entra ID SAML 2.0 o OpenID Connect Otros SAML 2.0 Asegúrese de que la aplicación está implementada en Defender for Cloud Apps
Crear una directiva de bloqueo de descarga en dispositivos no administrados
Las directivas de sesión de Defender for Cloud Apps le permiten restringir una sesión según el estado del dispositivo. Para conseguir controlar una sesión mediante el dispositivo como condición, cree tanto una directiva de acceso condicional COMO una directiva de sesión.
Para crear la directiva de acceso condicional, siga los pasos descritos en Creación de una directiva de acceso de Defender for Cloud Apps. En este tutorial se explica cómo crear la directiva de sesión.
Paso 1: configure el IdP para que funcione con Defender for Cloud Apps
Asegúrese de que ha configurado la solución IdP para que funcione con Defender for Cloud Apps, como se indica a continuación:
- Para el acceso condicional de Microsoft Entra, consulte Configuración de la integración con Microsoft Entra ID.
- Para ver otras soluciones de IdP, consulte Configuración de la integración con otras soluciones de IdP.
Tras completar esta tarea, vaya al portal de Defender for Cloud Apps y cree una directiva de sesión para supervisar y controlar las descargas de archivos en la sesión.
Paso 2: cree una directiva de sesión
En el Portal de Microsoft Defender, en Aplicaciones en la nube, vaya a Directivas y, a continuación, seleccione Administración de directivas.
En la página Directivas, haga clic en Crear directiva y, después, en Directiva de sesión.
En la página Creación de directivas de sesión, especifique un nombre y una descripción para la directiva. Por ejemplo, Bloquear descargas desde Salesforce con dispositivos no administrados.
Asigne una Gravedad de directiva y una Categoría.
En Tipo de control de sesión, seleccione Control de la descarga de archivos (con inspección). Esta configuración le proporciona la capacidad de supervisar todo lo que hacen los usuarios en una sesión de Salesforce, así como control para bloquear y proteger las descargas en tiempo real.
En Origen de actividad en la sección Actividades que coinciden con todo lo siguiente, seleccione estos filtros:
Etiqueta de dispositivo: seleccione No es igual. y, a continuación, seleccione Intune compatible, Microsoft Entra híbrido unido o Certificado de cliente válido. La selección depende del método que se usa en su organización para identificar los dispositivos administrados.
Aplicación: seleccione la aplicación que quiera controlar.
Usuarios: seleccione los usuarios que quiera supervisar.
Como alternativa, puede bloquear las descargas desde ubicaciones que no forman parte de la red corporativa. En Origen de actividad en la sección Actividades que coinciden con todo lo siguiente, establezca los siguientes filtros:
- Dirección IP o Ubicación: puede usar cualquiera de estos dos parámetros para identificar las ubicaciones desconocidas o no corporativas desde las que un usuario podría estar intentando tener acceso a datos confidenciales.
Nota:
Si quiere bloquear las descargas TANTO desde dispositivos no administrados como desde ubicaciones no corporativas, tendrá que crear dos directivas de sesión. Establezca en una directiva el Origen de actividad mediante la ubicación. Establezca en la otra directiva el Origen de actividad en dispositivos no administrados.
Aplicación: seleccione la aplicación que quiera controlar.
Usuarios: seleccione los usuarios que quiera supervisar.
Establezca los siguientes filtros en la sección Archivos que coinciden con todo lo siguiente de Origen de la actividad:
Etiquetas de confidencialidad: si usa etiquetas de confidencialidad de Microsoft Purview Information Protection, filtre los archivos en función de una etiqueta de confidencialidad específica de Microsoft Purview Information Protection.
Seleccione Nombre de archivo o Tipo de archivo para aplicar restricciones basadas en el nombre o el tipo de archivo.
Habilite Inspección de contenido para permitir que la DLP interna examine los archivos en busca de contenido confidencial.
En Acciones, seleccione bloquear. Personalice el mensaje de bloqueo que verán los usuarios cuando no puedan descargar archivos.
Establezca las alertas que quiera recibir cuando coincida la directiva. Puede establecer un límite para no recibir demasiadas alertas. Seleccione si quiere obtener las alertas como un mensaje de correo electrónico.
Seleccione Crear.
Validar la directiva
Para simular la descarga de archivos bloqueada, inicie sesión en la aplicación desde un dispositivo no administrado o una ubicación de red no corporativa. Después, intente descargar un archivo.
El archivo debería estar bloqueado y debería recibir el mensaje que configuró en Personalizar el mensaje de bloqueo.
En el Portal de Microsoft Defender, en Aplicaciones en la nube, vaya a Directivas y, a continuación, seleccione Administración de directivas. A continuación, seleccione la directiva que ha creado para ver el informe de directivas. Una coincidencia de directiva de sesión debe aparecer en breve.
En el informe de directiva puede ver los inicios de sesión que se han redirigido a Microsoft Defender for Cloud Apps para someterlos a un control de sesión, así como los archivos que se han descargado o bloqueado en las sesiones supervisadas.
Pasos siguientes
Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.