Comment contrôler les données sensibles sur des appareils non gérés avec MCAS

De nos jours, la protection des données sensibles de votre organisation est devenue extrêmement difficile. Là où le travail à distance est devenu la nouvelle norme, vous verrez probablement de nombreux utilisateurs finaux utiliser leurs propres appareils non gérés pour accéder aux informations de l'entreprise. Cela entraîne le risque que des appareils non gérés envoient / partagent des informations sensibles sans la capacité de contrôler ou de surveiller ces types d'activité. Heureusement, il existe des moyens de contrôler et de lutter contre cela avec l'utilisation de MCAS. Dans le blog d'aujourd'hui, je vais vous montrer comment vous pouvez bloquer le téléchargement de fichiers contenant des données sensibles sur des appareils non gérés à l'aide de stratégies de session dans Microsoft Cloud App Security (MCAS).

Contrôle des utilisateurs finaux à l'aide de données sensibles sur des appareils non gérés

Disons que nous avons une utilisatrice, Megan B., qui travaille depuis chez elle sur son ordinateur portable personnel. Megan travaille sur un fichier qui a plusieurs numéros de sécurité sociale différents d'employés de son organisation. Bien que nous souhaitons que Megan ait la possibilité d'accéder à ces données à partir de son appareil personnel, nous voulons limiter sa capacité à télécharger ce fichier car il contient des informations sensibles qui pourraient être nuisibles pour l'organisation si elles sont téléchargées sur un appareil non géré et envoyées / partagées. ailleurs. C'est là que nos règles de session entrent en jeu au sein de MCAS. Avec une politique de session, nous serons en mesure de définir les types d'informations sensibles que nous voulons bloquer de sorte que lorsque Megan B. va télécharger un fichier sur son ordinateur portable personnel avec un numéro de sécurité sociale, elle sera empêchée de le faire. et une alerte sera générée dans MCAS. Pour créer la stratégie de session, nous allons procéder comme suit:

1. Accédez à portal.cloudappsecurity.com
2. Sur le côté gauche, recherchez le menu déroulant Contrôle et sélectionnez Stratégies
3. Recherchez la liste déroulante Créer une stratégie et sélectionnez Stratégie de session
4. Sur la page "Créer une stratégie de session", sélectionnez le modèle de stratégie ] et choisissez le Bloquer le téléchargement basé sur l'inspection du contenu en temps réel
5. Sélectionnez Appliquer le modèle
6. Recherchez Type de contrôle de session et dans le pour sélectionner le type de contrôle que vous souhaitez activer, sélectionnez Téléchargement du fichier de contrôle (avec inspection).
   • Note : Vous devriez voir plusieurs options à votre disposition, surveiller uniquement, bloquer les activités, contrôler le téléchargement du fichier (avec inspection) et contrôler le téléchargement du fichier (avec inspection). Dans ce cas d'utilisation, nous contrôlerons le téléchargement du fichier et inspecterons le contenu.
7. Sous Activity Source nous choisirons les filtres correspondants auxquels nous voulons faire correspondre. Pour ce cas d'utilisation, nous souhaitons rechercher tous les appareils qui ne sont pas compatibles avec Intune ou qui ne sont pas joints à Azure AD hybride. En outre, nous n'allons examiner que Teams, OneDrive et SharePoint Online pour nos applications. Votre filtre doit ressembler à ceci:
8. Maintenant que nous avons défini nos filtres d'activité, nous allons spécifier la méthode d'inspection que nous souhaitons utiliser pour rechercher les numéros de sécurité sociale présents dans les fichiers. Pour ce faire, recherchez la liste déroulante Méthode d'inspection et sélectionnez Service de classification des données .
9. Nous devons maintenant spécifier notre type d'inspection, dans ce scénario, nous recherchons SSN, nous choisirons donc Type d'informations sensibles .
10. Vous devriez voir une nouvelle boîte vous demandant de sélectionner les types d'informations sensibles que vous souhaitez rechercher. Dans notre cas, nous voulons des numéros de sécurité sociale afin que nous puissions simplement rechercher SSN dans la barre de recherche en haut et appuyer sur Entrée. Pour ce scénario, nous rechercherons uniquement les numéros de sécurité sociale américains.
11. Sélectionnez Done une fois que vous avez coché la case US Social Security Number (SSN).
12. Maintenant, nous pouvons choisir comment nous voulons gouverner ce temps réel politique. Nous pouvons soit bloquer le téléchargement du fichier, soit protéger le fichier en lui appliquant une étiquette de classification. Puisque nous voulons bloquer ces données sensibles, nous choisirons l'option Bloquer qui bloquera le téléchargement du fichier et surveillera toutes les activités. De plus, si nous voulions informer l'utilisateur par e-mail et / ou personnaliser le message de blocage qui apparaît, nous pouvons le faire ici.
13. Enfin, nous pouvons choisir de créer une alerte pour chaque événement correspondant avec la gravité de la politique . Notre limite quotidienne par défaut est fixée à 5, cependant, cela peut être augmenté jusqu'à 1000 alertes quotidiennes! De plus, nous pouvons envoyer l'alerte sous forme d'e-mail et / ou de SMS. Nous pouvons même envoyer les alertes à Power Automate si vous le souhaitez!
14. Une fois que vous avez examiné votre politique, allez-y et sélectionnez Créer.

Maintenant que la politique a été créée, testons! [19659002] Expérience de l'utilisateur final

Revenons sur notre scénario. Megan B tente de télécharger un fichier contenant des SSN à partir de son ordinateur portable personnel. Étant donné que nous bloquons maintenant le téléchargement de tout fichier contenant un SSN américain, nous devrions voir cela bloqué pour Megan car elle tente de télécharger ce fichier sur un appareil non géré. Du point de vue de Megan, lorsqu'elle navigue vers SharePoint Online, elle voit immédiatement un écran lui indiquant que son accès à SharePoint Online est surveillé et que l'accès ne sera disponible qu'à partir d'un navigateur Web. Une fois qu'elle aura sélectionné Continuer vers Microsoft SharePoint Online elle sera mandatée via MCAS, mais du point de vue des utilisateurs finaux, tout se ressemblera exactement.

Un bon moyen de savoir que cela a été forcé avec succès via MCAS est de regarder dans la barre d'adresse une fois la page chargée. Vous devriez voir mcas.ms dans l'adresse.

Megan B a maintenant atteint le site SharePoint depuis son ordinateur portable personnel et procède à l'ouverture du fichier Excel qui contient plusieurs SSN différents. [19659027] Mcas6  » width= »1049″ height= »586″ srcset= »https://i0.wp.com/blogs.perficient.com/files/MCAS6.png?w=1366&ssl=1 1366w, https://i0.wp.com/blogs.perficient.com/files/MCAS6.png?resize=300%2C168&ssl=1 300w, https://i0.wp.com/blogs.perficient.com/files/MCAS6.png?resize=1024%2C572&ssl=1 1024w, https://i0.wp.com/blogs.perficient.com/files/MCAS6.png?resize=768%2C429&ssl=1 768w, https://i0.wp.com/blogs.perficient.com/files/MCAS6.png?resize=500%2C279&ssl=1 500w, https://i0.wp.com/blogs.perficient.com/files/MCAS6.png?resize=800%2C447&ssl=1 800w, https://i0.wp.com/blogs.perficient.com/files/MCAS6.png?resize=1280%2C715&ssl=1 1280w, https://i0.wp.com/blogs.perficient.com/files/MCAS6.png?resize=276%2C155&ssl=1 276w, https://i0.wp.com/blogs.perficient.com/files/MCAS6.png?resize=750%2C419&ssl=1 750w, https://i0.wp.com/blogs.perficient.com/files/MCAS6.png?resize=600%2C335&ssl=1 600w, https://i0.wp.com/blogs.perficient.com/files/MCAS6.png?resize=640%2C357&ssl=1 640w » sizes= »(max-width: 1000px) 100vw, 1000px » data-recalc-dims= »1″/>

Auparavant, Megan B. pouvait télécharger ce fichier sur son appareil personnel et à ce moment-là, vous pourriez dire adieu à ces informations sensibles car elles ont quitté définitivement votre organisation. Cependant, avec la nouvelle politique de session en place, lorsque Megan B. tente de télécharger une copie de ce fichier sur son appareil personnel, elle sera empêchée de le faire et recevra une fenêtre contextuelle l'informant que le téléchargement de ce fichier a été bloqué en raison à la politique de sécurité de l'organisation.

C'est aussi simple que cela, et cela ne fait qu'effleurer la surface de ce que MCAS peut faire pour protéger vos données au repos et en transit! J'espère que vous avez trouvé cette présentation rapide utile et je vous encourage à revenir sous peu pour plus de scénarios liés au MCAS!

À propos de l'auteur

Brian est un consultant technique pour la pratique des communications unifiées de Perficient qui se concentre principalement sur Skype pour Charges de travail Business et Microsoft Teams. Il occupe ce poste depuis décembre 2017 et a une présence active dans les blogs sur tout ce qui concerne Teams. Actuellement, Brian réside dans la banlieue de Chicago et aime courir, nager, faire de l'haltérophilie et jouer au football pendant son temps libre.

Plus de cet auteur