Freigeben über

Verhindern, dass Benutzer vertrauliche Informationen für Cloud-Apps in Edge for Business freigeben

In diesem Artikel wird anhand des Prozesses, den Sie unter Entwerfen einer Richtlinie zur Verhinderung von Datenverlust gelernt haben, gezeigt, wie Sie eine Microsoft Purview-Richtlinie zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) erstellen, die die Freigabe vertraulicher Informationen von einem verwalteten Gerät für eine KI-App verhindert. Arbeiten Sie dieses Szenario in Ihrer Testumgebung durch, um sich mit der Benutzeroberfläche für die Richtlinienerstellung vertraut zu machen.

Wichtig

In diesem Artikel wird ein hypothetisches Szenario mit hypothetischen Werten vorgestellt. Dies dient nur zur Veranschaulichung. Ersetzen Sie Ihre eigenen Typen vertraulicher Informationen, Vertraulichkeitsbezeichnungen, Verteilergruppen und Benutzer.

Wie Sie eine Richtlinie bereitstellen, ist genauso wichtig wie der Richtlinienentwurf. In diesem Artikel erfahren Sie, wie Sie die Bereitstellungsoptionen verwenden, damit die Richtlinie Ihre Absicht erreicht und gleichzeitig kostspielige Geschäftsunterbrechungen vermeidet.

Verwenden Sie dieses Szenario, um Edge zu verwenden, um die Exfiltration vertraulicher Informationen aus unternehmensseitig verwalteten Apps wie ServiceNow und Workday zu blockieren. Die Apps müssen mit angewendeten Sitzungssteuerelementen in Microsoft Entra bedingten Zugriff integriert werden. Der Zugriff auf die geschützten Apps muss außerhalb des Edge-Arbeitsprofils blockiert werden.

Voraussetzungen und Annahmen

In diesem Verfahren wird eine hypothetische Verteilergruppe mit dem Namen External verwendet. Weitere Informationen zum DLP-Schutz, der im Browser angewendet wird, finden Sie unter Browser-Sicherheitsressourcen.

Wichtig

Lesen Sie Informationen zur Verhinderung von Datenverlust für Cloud-Apps in Edge for Business , bevor Sie mit diesem Verfahren beginnen. Sie enthält wichtige Informationen zu den Voraussetzungen und Annahmen für dieses Szenario.

Das Einrichten einer Richtlinie zum Schutz der Datenfreigabe mit Microsoft Entra verwalteten Apps im Browser umfasst die folgenden Phasen:

  1. Integrieren sie Apps in die App-Steuerung für bedingten Zugriff.
  2. Erstellen Sie eine Microsoft Entra Richtlinie für bedingten Zugriff, die mit aktivierten benutzerdefinierten Sitzungssteuerelementen konfiguriert ist.
  3. Aktivieren Sie den Browserschutz von Edge for Business, der so konfiguriert ist, dass die Edge-Arbeitsprofilanmeldung für Geschäfts-Apps auf allen Geräten erzwungen wird.
  4. Erstellen Sie eine Purview-DLP-Richtlinie für Benutzerinteraktionen mit verwalteten Apps.

Wichtig

Der Benutzer und die App müssen sich im Bereich aller erforderlichen Schutzmaßnahmen befinden, damit die Richtlinie auf den Benutzer in Edge angewendet werden kann.

Richtlinienabsichtsanweisung und Zuordnung

Wir müssen Benutzern den Zugriff auf Ressourcen in Geschäfts-Apps von ihren BYOD- und persönlichen Geräten aus ermöglichen, aber verhindern, dass sie die Daten auf diese Geräte herunterladen. Auftragnehmer und Lieferantenmitarbeiter verwenden diese Arten von Geräten, um für ihre Arbeitsaktivitäten zusammenzuarbeiten. Wenn sie versuchen, Dateien herunterzuladen, die vertrauliche Informationen enthalten, z. B. Kundenbankinformationen, sollte die Aktion blockiert werden. Wir müssen auch die Anforderungen an Warnungen erfüllen. Schließlich wollen wir, dass dies so bald wie möglich wirksam wird.

Statement Antwort zur Konfigurationsfrage und Konfigurationszuordnung
Wir müssen Benutzern den Zugriff auf Ressourcen in Geschäfts-Apps wie Workday von ihren BYOD- und persönlichen Geräten ermöglichen, aber sie daran hindern, die Daten auf ihre Geräte herunterzuladen ... – Wählen Sie aus, wo die Richtlinie angewendet werden soll: Daten in Browseraktivität-Verwaltungsbereich
: Vollständiges Verzeichnis
- Wo die Richtlinie angewendet werden soll: Verwaltete Apps > Workday
Auftragnehmer und Lieferantenmitarbeiter verwenden diese Arten von Geräten, um für ihre Arbeitsaktivitäten zusammenzuarbeiten.... - Bereich neben Apps" bestimmte Benutzer und Gruppen, Benutzer und Gruppen>einschließen Extern
Wenn sie versuchen, Dateien herunterzuladen, die vertrauliche Informationen enthalten, z. B. Kundenbankinformationen, sollte die Aktion blockiert werden. Zu überwachende Elemente: - Verwenden Sie die benutzerdefinierte Richtlinienvorlage
- Bedingungen für eine Übereinstimmung: Inhalt enthält Typen> vertraulicher InformationenABA-Routingnummer, Australische Bankkontonummer, Kanada Bankkontonummer, Internationale Bankkontonummer (IBAN),Israel Bank Account Number, Japan Bank Account Number, New Zealand Bankkontonummer, SWIFT-Code, US-Bankkontonummer
- Aktion: Einschränken von Browser- und Netzwerkaktivitäten> **Dateidownload ** >Blockieren.
Wir müssen auch die Anforderungen an Warnungen erfüllen. Unser Sicherheitsteam muss über eine Möglichkeit verfügen, die Ergebnisse der Richtlinienmatches zu untersuchen und maßnahmen zu ergreifen. - Incidentberichte: Senden einer Warnung an Administratoren, wenn eine Regeleinstimmung auftritt , ist standardmäßig aktiviert.
... Schließlich möchten wir, dass dies so bald wie möglich wirksam wird.... Richtlinienmodus: **on **

Schritte zum Einrichten der Erforderlichen Komponenten

  1. Integrieren sie Apps in die App-Steuerung für bedingten Zugriff. Weitere Informationen finden Sie unter Onboarding von Nicht-Microsoft IdP-Katalog-Apps für die App-Steuerung für bedingten Zugriff und Integrieren von benutzerdefinierten Apps ohne Microsoft IdP für die App-Steuerung für bedingten Zugriff.  Um Richtlinien auf Gruppen anzuwenden, müssen Sie auch Benutzergruppen aus verbundenen Apps importieren.
  2. Melden Sie sich beim Microsoft Entra Admin Center an.
  3. Erstellen Sie eine neue Richtlinie für bedingten Zugriff, die auf Cloud-Apps mit Sitzungssteuerelementen ausgerichtet ist. Benutzerdefinierte Richtlinie muss in der Dropdownliste sitzungssteuerelemente ausgewählt werden.
  4. Navigieren Sie im Microsoft Defender-Portal unter zum https://security.microsoft.comAbschnitt > Systemeinstellungen >> Cloud-Apps > Bedingter Zugriff App-Steuerung Edge for Business-Schutz. Oder verwenden Sie https://security.microsoft.com/cloudapps/settings?tabid=edgeIntegration, um direkt zur Edge for Business-Schutzseite zu wechseln.
  5. Konfigurieren Des In-Browser-Schutzes für Edge ein, und wählen Sie Zugriff nur von Edge und allen Geräten zulassen aus.

Schritte zum Erstellen der Richtlinie

  1. Melden Sie sich beim Microsoft Purview-Portal an.
  2. Wählen SieRichtlinien>zur Verhinderung von> Datenverlust + Richtlinie erstellen aus.
  3. Wählen Sie Daten in Browseraktivität aus.
  4. Wählen Sie in der Liste Kategorien die Option Benutzerdefiniert und dann benutzerdefinierte Richtlinie aus der Liste Vorschriften aus.
  5. Wählen Sie Weiter aus.
  6. Geben Sie einen Richtliniennamen an, und geben Sie eine Beschreibung an. Sie können hier die Richtlinienabsichtsanweisung verwenden.
  7. Wählen Sie Weiter aus.
  8. Übernehmen Sie das Standardverzeichnis Vollständig auf der Seite Administratoreinheiten zuweisen .
  9. Wählen Sie Weiter aus.
  10. Wählen Sie Verwaltete Cloud-Apps aus.
  11. Wählen Sie Bestimmte Benutzer und Gruppen aus.
  12. Wählen Sie + Einschließen und dann Gruppen einschließen aus.
  13. Wählen Sie Extern aus.
  14. Wählen Sie Fertig und dann Weiter aus.
  15. Wählen Sie + Verwaltete Apps einschließen aus.
  16. Wählen Sie Workday aus.
  17. Wählen Sie Fertig aus.
  18. Auf der Seite Richtlinieneinstellungen definieren sollte die Option Erweiterte DLP-Regeln erstellen oder anpassen bereits ausgewählt sein.
  19. Wählen Sie Weiter aus.
  20. Wählen Sie auf der Seite Erweiterte DLP-Regeln anpassendie Option + Regel erstellen aus.
  21. Benennen Sie die Regel, und geben Sie eine Beschreibung an.
  22. Wählen Sie Bedingung hinzufügen aus, und verwenden Sie die folgenden Werte:
    1. Wählen Sie Inhalt enthält aus.
    2. Wählen SieVertrauliche Informationstypen>Hinzufügen>Vertraulicher Informationstypen>ABA-Routingnummer, Australische Bankkontonummer, Kanadische Bankkontonummer, Internationale Bankkontonummer (IBAN),Israel Bank Account Number, Japan Bank Account Number, New Zealand Bankkontonummer, SWIFT-Code, US-Bankkontonummer.
  23. Wählen Sie Hinzufügen aus.
  24. Fügen Sie unter Aktionen eine Aktion mit den folgenden Werten hinzu:
    1. Einschränken von Browser- und Netzwerkaktivitäten
    2. Dateidownload>Block
  25. Wählen Sie unter Incidentberichte Folgendes aus: 2. Der Umschalter für Warnung an Administratoren senden, wenn eine Regeleinstimmung auftritt , ist standardmäßig auf Ein festgelegt.
  26. Wählen Sie Speichern und dann Weiter aus.
  27. Wählen Sie auf der Seite Richtlinienmodus die Option Ein aus.
  28. Wählen Sie Weiter und dann Absenden aus.
  29. Klicken Sie auf Fertig.

Wichtig

Die DLP-Richtlinie wird in Edge erst angewendet, wenn alle Anforderungen erfüllt sind.