Udostępnij za pośrednictwem

Tworzenie zasad dostępu Microsoft Defender for Cloud Apps

  • Artykuł

Microsoft Defender for Cloud Apps zasady dostępu korzystają z kontroli aplikacji dostępu warunkowego, aby zapewnić monitorowanie w czasie rzeczywistym i kontrolę nad dostępem do aplikacji w chmurze. Zasady dostępu kontrolują dostęp na podstawie użytkownika, lokalizacji, urządzenia i aplikacji i są obsługiwane dla każdego urządzenia.

Zasady utworzone dla aplikacji hosta nie są połączone z żadnymi powiązanymi aplikacjami zasobów. Na przykład zasady dostępu utworzone dla aplikacji Teams, Exchange lub Gmail nie są połączone z programem SharePoint, oneDrive ani Dyskami Google. Jeśli oprócz aplikacji hosta potrzebujesz zasad dla aplikacji zasobów, utwórz oddzielne zasady.

Porada

Jeśli wolisz ogólnie zezwalać na dostęp podczas monitorowania sesji lub ograniczać określone działania sesji, zamiast tego utwórz zasady sesji. Aby uzyskać więcej informacji, zobacz Zasady sesji.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz następujące wymagania wstępne:

Aby zasady dostępu działały, musisz mieć również Tożsamość Microsoft Entra zasad dostępu warunkowego, które tworzą uprawnienia do kontrolowania ruchu.

Przykład: tworzenie zasad dostępu warunkowego Tożsamość Microsoft Entra do użytku z Defender for Cloud Apps

Ta procedura zawiera ogólny przykład tworzenia zasad dostępu warunkowego do użycia z Defender for Cloud Apps.

  1. W Tożsamość Microsoft Entra dostępu warunkowego wybierz pozycję Utwórz nowe zasady.

  2. Wprowadź znaczącą nazwę zasad, a następnie wybierz link w obszarze Sesja , aby dodać kontrolki do zasad.

  3. W obszarze Sesja wybierz pozycję Użyj kontroli aplikacji dostępu warunkowego.

  4. W obszarze Użytkownicy wybierz opcję uwzględniania wszystkich użytkowników lub tylko określonych użytkowników i grup.

  5. W obszarach Warunki i aplikacje klienckie wybierz warunki i aplikacje klienckie, które chcesz uwzględnić w zasadach.

  6. Zapisz zasady, przełączając pozycję Tylko raport do pozycji Włączone, a następnie wybierając pozycję Utwórz.

Tożsamość Microsoft Entra obsługuje zasady oparte na przeglądarce i nie oparte na przeglądarce. Zalecamy utworzenie obu typów w celu zwiększenia pokrycia zabezpieczeń.

Powtórz tę procedurę, aby utworzyć zasady dostępu warunkowego oparte na programie nonbrowser. W obszarze Aplikacje klienckie przełącz opcję Konfiguruj na tak. Następnie w obszarze Klienci nowoczesnego uwierzytelniania wyczyść opcję Przeglądarka . Pozostaw zaznaczone wszystkie inne opcje domyślne.

Uwaga: aplikacja przedsiębiorstwa "Microsoft Defender for Cloud Apps — kontrolki sesji" jest używana wewnętrznie przez usługę kontroli aplikacji dostępu warunkowego. Upewnij się, że zasady urzędu certyfikacji nie ograniczają dostępu do tej aplikacji w zasobach docelowych.

Aby uzyskać więcej informacji, zobacz Zasady dostępu warunkowego i Tworzenie zasad dostępu warunkowego.

Tworzenie zasad dostępu Defender for Cloud Apps

W tej procedurze opisano sposób tworzenia nowych zasad dostępu w Defender for Cloud Apps.

  1. W Microsoft Defender XDR wybierz kartę Dostęp warunkowy zarządzania > zasadami usługi > Cloud Apps>.

  2. Wybierz pozycję Utwórz zasady>Zasady dostępu. Przykład:

    Utwórz zasady dostępu warunkowego.

  3. Na stronie Tworzenie zasad dostępu wprowadź następujące podstawowe informacje:

    Name (Nazwa) Opis
    Nazwa zasad Znacząca nazwa zasad, na przykład Blokuj dostęp z urządzeń niezarządzanych
    Ważność zasad Wybierz ważność, którą chcesz zastosować do zasad.
    Kategoria Zachowaj wartość domyślną kontroli dostępu
    Opis Wprowadź opcjonalny, zrozumiały opis zasad, aby ułatwić zespołowi zrozumienie ich przeznaczenia.

  4. W obszarze Działania pasujące do wszystkich następujących obszarów wybierz dodatkowe filtry działań, które mają zostać zastosowane do zasad. Filtry obejmują następujące opcje:

    Name (Nazwa) Opis
    Aplikacja Filtry dla określonej aplikacji do uwzględnienia w zasadach. Wybierz aplikacje, wybierając najpierw, czy korzystają z funkcji automatycznego dołączania Azure AD, aplikacji Tożsamość Microsoft Entra, czy dołączania ręcznego dla aplikacji innych niż Microsoft IdP. Następnie wybierz aplikację, którą chcesz uwzględnić w filtrze z listy.

    Jeśli na liście brakuje aplikacji innej niż Microsoft IdP, upewnij się, że została ona w pełni dołączona. Więcej informacji można znaleźć w następujących artykułach:
    - Dołączanie aplikacji wykazu innych niż Microsoft IdP na potrzeby kontroli aplikacji dostępu warunkowego
    - Dołączanie niestandardowych aplikacji innych niż Microsoft IdP na potrzeby kontroli aplikacji dostępu warunkowego

    Jeśli nie chcesz używać filtru Aplikacji , zasady mają zastosowanie do wszystkich aplikacji oznaczonych jako Włączone na stronie Ustawienia > Aplikacje połączone aplikacje >> w chmurze — dostęp warunkowy — aplikacje kontroli aplikacji .

    Uwaga: mogą wystąpić pewne nakładanie się dołączanych aplikacji i aplikacji wymagających ręcznego dołączania. W przypadku konfliktu w filtrze między aplikacjami pierwszeństwo mają ręcznie dołączone aplikacje.
    Aplikacja kliencka Filtruj pod kątem przeglądarek lub aplikacji mobilnych/klasycznych.
    Urządzenie Filtruj pod kątem tagów urządzeń, takich jak dla określonej metody zarządzania urządzeniami lub typów urządzeń, takich jak komputer, urządzenie przenośne lub tablet.
    Adres IP Filtruj według adresu IP lub użyj wcześniej przypisanych tagów adresów IP.
    Lokalizacja Filtruj według lokalizacji geograficznej. Brak jasno zdefiniowanej lokalizacji może identyfikować ryzykowne działania.
    Zarejestrowany usługodawca sieciowy Filtruj pod kątem działań pochodzących od określonego usługodawcy isp.
    Użytkownik Filtruj dla określonego użytkownika lub grupy użytkowników.
    Ciąg agenta użytkownika Filtruj pod kątem określonego ciągu agenta użytkownika.
    Tag agenta użytkownika Filtruj pod kątem tagów agenta użytkownika, takich jak nieaktualne przeglądarki lub systemy operacyjne.

    Przykład:

    Zrzut ekranu przedstawiający przykładowy filtr podczas tworzenia zasad dostępu.

    Wybierz pozycję Edytuj i wyświetl podgląd wyników , aby uzyskać podgląd typów działań, które zostaną zwrócone wraz z bieżącym wyborem.

  5. W obszarze Akcje wybierz jedną z następujących opcji:

    • Inspekcja: ustaw tę akcję, aby zezwolić na dostęp zgodnie z ustawionymi jawnie filtrami zasad.

    • Blokuj: ustaw tę akcję, aby blokować dostęp zgodnie z ustawionymi jawnie filtrami zasad.

  6. W obszarze Alerty skonfiguruj dowolną z następujących akcji w razie potrzeby:

    • Tworzenie alertu dla każdego pasującego zdarzenia o ważności zasad
    • Wysyłanie alertu jako wiadomości e-mail
    • Dzienny limit alertów dla zasad
    • Wysyłanie alertów do usługi Power Automate

  7. Po zakończeniu wybierz pozycję Utwórz.

Testowanie zasad

Po utworzeniu zasad dostępu przetestuj je, ponownie uwierzytelniając się w każdej aplikacji skonfigurowanej w zasadach. Sprawdź, czy środowisko aplikacji jest zgodnie z oczekiwaniami, a następnie sprawdź dzienniki aktywności.

Zalecamy:

  • Utwórz zasady dla utworzonego użytkownika specjalnie na potrzeby testowania.
  • Wyloguj się ze wszystkich istniejących sesji przed ponownym uwierzytelnieniem w aplikacjach.
  • Zaloguj się do aplikacji mobilnych i klasycznych z urządzeń zarządzanych i niezarządzanych, aby upewnić się, że działania są w pełni przechwytywane w dzienniku aktywności.

Pamiętaj, aby zalogować się przy użyciu użytkownika zgodnego z zasadami.

Aby przetestować zasady w aplikacji:

  • Odwiedź wszystkie strony w aplikacji, które są częścią procesu roboczego użytkownika, i sprawdź, czy strony są prawidłowo renderowane.
  • Sprawdź, czy na zachowanie i funkcjonalność aplikacji nie ma negatywnego wpływu wykonywanie typowych akcji, takich jak pobieranie i przekazywanie plików.
  • Jeśli pracujesz z niestandardowymi aplikacjami innych niż Microsoft IdP, sprawdź wszystkie domeny dodane ręcznie dla aplikacji.

Aby sprawdzić dzienniki aktywności:

  1. W Microsoft Defender XDR wybierz pozycję Dziennik aktywności aplikacji > w chmurze i sprawdź działania logowania przechwycone dla każdego kroku. Możesz chcieć filtrować, wybierając pozycję Filtry zaawansowane i filtrowanie dla pozycji Źródło jest równe kontroli dostępu.

    Działania logowania jednokrotnego to zdarzenia kontroli aplikacji dostępu warunkowego.

  2. Wybierz działanie, które chcesz rozwinąć, aby uzyskać więcej szczegółów. Sprawdź, czy tag Agent użytkownika prawidłowo odzwierciedla, czy urządzenie jest wbudowanym klientem, aplikacją mobilną lub klasyczną, czy urządzenie jest urządzeniem zarządzanym zgodnym i przyłączonym do domeny.

Jeśli wystąpią błędy lub problemy, użyj paska narzędzi Administracja Wyświetl, aby zebrać zasoby, takie jak .Har pliki i zarejestrowane sesje, a następnie złożyć bilet pomocy technicznej.

Tworzenie zasad dostępu dla urządzeń zarządzanych przez tożsamość

Użyj certyfikatów klienta, aby kontrolować dostęp do urządzeń, które nie są przyłączone Microsoft Entra hybrydowo i nie są zarządzane przez Microsoft Intune. Wdróż nowe certyfikaty na urządzeniach zarządzanych lub użyj istniejących certyfikatów, takich jak certyfikaty MDM innych firm. Na przykład można wdrożyć certyfikat klienta na urządzeniach zarządzanych, a następnie zablokować dostęp z urządzeń bez certyfikatu.

Aby uzyskać więcej informacji, zobacz Identity managed devices with Conditional Access app control (Urządzenia zarządzane tożsamościami z kontrolą aplikacji dostępu warunkowego).

Zawartość pokrewna

Więcej informacji można znaleźć w następujących artykułach:

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.