Поделиться через

Создание политик доступа Microsoft Defender for Cloud Apps

  • Статья

Microsoft Defender for Cloud Apps политики доступа используют элемент управления условным доступом к приложениям для мониторинга в режиме реального времени и управления доступом к облачным приложениям. Политики доступа управляют доступом на основе пользователя, расположения, устройства и приложения и поддерживаются для любого устройства.

Политики, созданные для ведущего приложения, не подключены ни к одному связанному приложению с ресурсами. Например, политики доступа, созданные для Teams, Exchange или Gmail, не подключены к SharePoint, OneDrive или Google Диску. Если вам нужна политика для приложения ресурсов в дополнение к ведущему приложению, создайте отдельную политику.

Совет

Если вы предпочитаете, как правило, разрешать доступ во время мониторинга сеансов или ограничивать определенные действия сеансов, создайте политики сеансов. Дополнительные сведения см. в разделе Политики сеансов.

Предварительные условия

Перед началом работы убедитесь, что у вас есть следующие предварительные требования:

Чтобы политика доступа работала, необходимо также иметь политику условного доступа Microsoft Entra ID, которая создает разрешения для управления трафиком.

Пример. Создание политик условного доступа Microsoft Entra ID для использования с Defender for Cloud Apps

Эта процедура представляет собой общий пример создания политики условного доступа для использования с Defender for Cloud Apps.

  1. В Microsoft Entra ID условный доступ выберите Создать политику.

  2. Введите понятное имя политики, а затем щелкните ссылку в разделе Сеанс , чтобы добавить элементы управления в политику.

  3. В области Сеанс выберите Использовать управление условным доступом к приложениям.

  4. В области Пользователи выберите , чтобы включить всех пользователей или только определенных пользователей и групп.

  5. В областях Условия и Клиентские приложения выберите условия и клиентские приложения, которые вы хотите включить в политику.

  6. Сохраните политику, переключив параметр Только отчет в значение Включено, а затем выберите Создать.

Microsoft Entra ID поддерживает как браузерные, так и не браузерные политики. Рекомендуется создать оба типа для повышенного покрытия безопасности.

Повторите эту процедуру, чтобы создать политику условного доступа на основе неброузера. В области Клиентские приложения установите переключатель Настроить в положение Да. Затем в разделе Современные клиенты проверки подлинности снимите флажок Браузер . Оставьте все остальные значения по умолчанию выбранными.

Примечание. Корпоративное приложение "Microsoft Defender for Cloud Apps — элементы управления сеансом" используется внутри службы управления условным доступом к приложениям. Убедитесь, что политика ЦС не ограничивает доступ к этому приложению в целевых ресурсах.

Дополнительные сведения см. в разделах Политики условного доступа и Создание политики условного доступа.

Создание политики доступа Defender for Cloud Apps

В этой процедуре описывается создание новой политики доступа в Defender for Cloud Apps.

  1. В Microsoft Defender XDR выберите вкладку Управление условным доступом > политики облачных > приложений>.

  2. Выберите Create policyAccess policy (Создать политику >доступа). Например:

    Создайте политику условного доступа.

  3. На странице Создание политики доступа введите следующие основные сведения:

    Имя Описание
    Имя политики Понятное имя для политики, например Блокировать доступ с неуправляемых устройств.
    Серьезность политики Выберите уровень серьезности, который вы хотите применить к политике.
    Категория Сохраните значение по умолчанию управления доступом
    Описание Введите необязательное понятное описание политики, чтобы помочь вашей команде понять ее назначение.

  4. В области Действия, соответствующие всем приведенным ниже , выберите дополнительные фильтры действий для применения к политике. Фильтры включают следующие параметры:

    Имя Описание
    Приложение Фильтры для определенного приложения для включения в политику. Выберите приложения, сначала выбрав, используется ли автоматическое подключение Azure AD для приложений Microsoft Entra ID или подключение вручную для приложений поставщика удостоверений, отличных от Майкрософт. Затем выберите приложение, которое вы хотите включить в фильтр, в списке.

    Если приложение поставщика удостоверений, отличное от Майкрософт, отсутствует в списке, убедитесь, что оно полностью подключено. Дополнительные сведения см. в разделе:
    - Подключение приложений каталога поставщика удостоверений сторонних поставщиков удостоверений для управления условным доступом
    - Подключение пользовательских приложений поставщика удостоверений сторонних поставщиков удостоверений для управления условным доступом

    Если вы решили не использовать фильтр приложений , политика применяется ко всем приложениям, которые помечены как включенные на странице Параметры > Облачные приложения > Подключенные приложения > условного доступа к приложениям управления приложениями .

    Примечание. Вы можете увидеть некоторое перекрытие между подключенными приложениями и приложениями, которым требуется подключение вручную. В случае конфликта в фильтре между приложениями приоритет имеют подключенные вручную приложения.
    Клиентское приложение Фильтр для браузерных или мобильных или классических приложений.
    Устройство Фильтрация тегов устройств, например для определенного метода управления устройствами, или типов устройств, таких как компьютер, мобильный телефон или планшет.
    IP-адрес. Фильтрация по IP-адресу или использование назначенных ранее тегов IP-адресов.
    Location Фильтрация по географическому расположению. Отсутствие четко определенного расположения может указывать на рискованные действия.
    Зарегистрированный поставщик услуг Интернета Фильтрация действий, поступающих от определенного поставщика услуг Интернета.
    Пользователь Фильтр для определенного пользователя или группы пользователей.
    Строка агента пользователя Фильтр по определенной строке агента пользователя.
    Тег агента пользователя Фильтрация по тегам агента пользователя, например для устаревших браузеров или операционных систем.

    Например:

    Снимок экрана: пример фильтра при создании политики доступа.

    Выберите Изменить и просмотреть результаты , чтобы получить предварительный просмотр типов действий, которые будут возвращены с текущим выбором.

  5. В области Действия выберите один из следующих параметров:

    • Аудит. Задайте для этого действия разрешение доступа в соответствии с фильтрами политики, заданными явно.

    • Блокировать. Задайте для этого действия блокировку доступа в соответствии с фильтрами политики, заданными явно.

  6. В области Оповещения при необходимости настройте любое из следующих действий:

    • Создание оповещений для каждого соответствующего события с уровнем серьезности политики
    • Отправка оповещения по электронной почте
    • Ежедневное ограничение оповещений на политику
    • Отправка оповещений в Power Automate

  7. После завершения нажмите Создать.

Тестирование политики

После создания политики доступа протестируйте ее, повторно выполнив проверку подлинности для каждого приложения, настроенного в политике. Убедитесь, что приложение работает должным образом, а затем проверка журналы действий.

Вот несколько рекомендаций.

  • Создайте политику для пользователя, созданного специально для тестирования.
  • Выйдите из всех существующих сеансов перед повторной проверкой подлинности в приложениях.
  • Войдите в мобильные и классические приложения как с управляемых, так и с неуправляемых устройств, чтобы убедиться, что действия полностью фиксируются в журнале действий.

Убедитесь, что войдите с пользователем, который соответствует вашей политике.

Чтобы протестировать политику в приложении, выполните следующие действия:

  • Посетите все страницы в приложении, которые являются частью рабочего процесса пользователя, и убедитесь, что страницы отображаются правильно.
  • Убедитесь, что на поведение и функциональность приложения не влияет выполнение общих действий, таких как скачивание и отправка файлов.
  • Если вы работаете с пользовательскими приложениями поставщика удостоверений, не относящихся к Корпорации Майкрософт, проверка каждый из доменов, добавленных вручную для приложения.

Чтобы проверка журналы действий, выполните приведенные далее действия.

  1. В Microsoft Defender XDR выберите Журнал действий облачных приложений >и проверка для действий входа, записываемых для каждого шага. Вы можете выполнить фильтрацию, выбрав Расширенные фильтры и фильтрацию для параметра Источник равно управление доступом.

    Действия единого входа — это события управления условным доступом к приложениям.

  2. Выберите действие для развертывания для получения дополнительных сведений. Убедитесь, что тег агента пользователя правильно отражает, является ли устройство встроенным клиентом, мобильным или классическим приложением или является ли устройство управляемым устройством, которое соответствует требованиям и присоединено к домену.

При возникновении ошибок или проблем используйте панель инструментов Администратор View для сбора ресурсов, таких как .Har файлы и записанные сеансы, а затем отправьте запрос в службу поддержки.

Создание политик доступа для устройств, управляемых удостоверениями

Используйте сертификаты клиента для управления доступом для устройств, которые не Microsoft Entra гибридного присоединения и не управляются Microsoft Intune. Развертывание новых сертификатов на управляемых устройствах или использование существующих сертификатов, таких как сторонние сертификаты MDM. Например, может потребоваться развернуть сертификат клиента на управляемых устройствах, а затем заблокировать доступ с устройств без сертификата.

Дополнительные сведения см. в разделе Устройства, управляемые удостоверениями, с помощью управления условным доступом для приложений.

Связанные материалы

Дополнительные сведения см. в разделе:

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.