创建 Microsoft Defender for Cloud Apps 访问策略
Microsoft Defender for Cloud Apps 访问策略使用条件访问应用控制来提供对云应用访问的实时监控和控制。 访问策略根据用户、位置、设备和应用程序控制访问,并且任何设备都支持访问策略。
为主机应用创建的策略未连接到任何相关资源应用。 例如,为 Teams、Exchange 或 Gmail 创建的访问策略不会影响 SharePoint、OneDrive 或 Google Drive。 如果需要为主机应用外的资源应用的设置策略,请单独创建。
提示
如果希望在监视会话或限制特定会话活动时允许访问,请改为创建会话策略。 有关详细信息,请参阅会话策略。
先决条件
在开始之前,请确保满足以下先决条件:
Defender for Cloud Apps 许可证,可以作为独立许可证,也可以作为另一个许可证的一部分。
Microsoft Entra ID P1 的许可证,可以作为独立许可证,也可以作为另一个许可证的一部分。
如果使用的是非 Microsoft IdP,则是你的标识提供者 (IdP) 解决方案所需的许可证。
相关应用已加入条件访问应用控制。 Microsoft Entra ID 应用会自动加入,而非 Microsoft IdP 应用必须手动加入。
如果使用的是非 Microsoft IdP,请确保还已将 IdP 配置为使用 Microsoft Defender for Cloud Apps。 有关详细信息,请参阅:
为了使访问策略有效,还必须具有 Microsoft Entra ID 条件访问策略,该策略可以创建控制流量的权限。
示例:创建用于 Defender for Cloud Apps 的 Microsoft Entra ID 条件访问策略
此过程提供了一个高级示例,说明如何创建用于 Defender for Cloud Apps 的条件访问策略。
在 Microsoft Entra ID 条件访问中,选择创建新策略。
为策略输入有意义的名称,然后选择会话下的链接,将控件添加到策略。
在会话区域中,选择使用条件访问应用控制。
在用户区域中,选择包含所有用户,或仅包含特定用户和组。
在条件和客户端应用区域中,选择要包含在策略中的条件和客户端应用。
通过将仅限报告切换为打开,然后选择创建,来保存策略。
Microsoft Entra ID 支持基于浏览器的策略和非基于浏览器的策略。 建议同时创建这两种类型,以提高安全覆盖率。
重复此过程以创建基于非浏览器的条件访问策略。 在客户端应用区域中,将配置选项切换为是。 然后,在新式身份验证客户端下,清除浏览器选项。 将所有其他默认选项保持选中状态。
注意:条件访问应用控制服务在内部使用企业应用程序“Microsoft Defender for Cloud Apps – 会话控制”。 请确保 CA 策略不会限制对目标资源中此应用程序的访问。
创建 Defender for Cloud Apps 访问策略
此过程介绍如何在 Defender for Cloud Apps 中创建新的访问策略。
在 Microsoft Defender XDR 中,选择云应用 > 策略 > 策略管理 > 条件访问选项卡。
选择创建策略>访问策略。 例如:
在创建访问策略页面上,输入以下基本信息:
名称 描述 策略名称 为策略提供有意义的名称,例如阻止来自非管理的设备的访问 策略严重性 选择要应用于策略的严重性。 类别 保留访问控制的默认值 描述 为策略输入一个可选的、有意义的说明,以帮助团队了解其用途。 在符合以下所有条件的活动区域中,选择要应用于策略的其他活动筛选器。 筛选器包括以下选项:
名称 描述 应用 筛选要包含在策略中的特定应用。 选择应用,首先选择是对 Microsoft Entra ID 应用使用自动 Azure AD 加入,还是对非 Microsoft IdP 应用使用手动加入。 然后,从列表中选择要包含在筛选器中的应用。
如果非 Microsoft IdP 应用没有出现在列表中,请确保已将其完全加入。 有关详细信息,请参阅。
- 加入非 Microsoft IdP 目录应用以进行条件访问应用控制
- 加入非 Microsoft IdP 自定义应用以进行条件访问应用控制
如果选择不使用应用筛选器,则该策略适用于所有在设置 > 云应用 > 已连接的应用 > 条件访问应用控制应用页面上标记为已启用的所有应用程序。
注意:你可能会发现,自动加入的应用和需要手动加入的应用之间存在一些重叠。 如果应用之间的筛选器发生冲突,请优先考虑手动加入的应用。客户端应用 筛选浏览器或移动/桌面应用。 设备 筛选设备标记,例如特定设备管理方法或设备类型,例如电脑、移动设备或平板电脑。 IP 地址 按 IP 地址筛选或使用以前分配的 IP 地址标记。 位置 按地理位置进行筛选。 没有明确定义的地点可能会识别出有风险的活动。 已注册的 ISP 筛选来自特定 ISP 的活动。 用户 筛选特定用户或用户组。 用户代理字符串 筛选特定用户代理字符串。 用户代理标记 筛选用户代理标记,例如过时的浏览器或操作系统。 例如:
选择编辑并预览结果,以获得将随当前选择返回的活动类型的预览。
在操作区域中,选择以下选项之一:
审核:根据已明确设置的策略筛选器,将此操作设置为允许访问。
“阻止”:根据已显示设置策略筛选器,将此操作设置为阻止访问。
在警报区域中,根据需要配置以下任一操作:
- 为每个具有策略严重性的匹配事件创建警报
- 通过电子邮件发送警报
- 每个策略的每日警报限制
- 向 Power Automate 发送警报
完成操作后,选择“创建”。
测试策略
创建访问策略后,通过对策略中配置的每个应用重新进行身份验证来对其进行测试。 验证应用体验是否符合预期,然后检查活动日志。
建议:
- 为专门为测试创建的用户创建策略。
- 请先注销所有现有会话,然后再对应用进行重新身份验证。
- 从受管理和非管理的设备登录移动应用和桌面应用,以确保在活动日志中完全捕获活动。
请确保使用与策略匹配的用户登录。
若要在应用中测试策略,请执行以下操作:
- 访问应用内涉及用户工作过程的所有页面,验证页面是否正确渲染。
- 执行常见操作(例如下载和上传文件),验证应用的行为和功能是否没有受到负面影响。
- 如果使用的是自定义的非 Microsoft IdP 应用,请检查为应用手动添加的每个域。
若要检查活动日志,请执行以下操作:
在 Microsoft Defender XDR 中,选择云应用 > 活动日志,并检查为每个步骤捕获的登录活动。 可能需要通过选择高级筛选器进行筛选,并使用源等于访问控件进行筛选。
单一登录活动是条件访问应用控制事件。
选择要展开的活动,以获取更多详细信息。 检查用户代理标记是否正确反映设备是内置客户端(移动应用或桌面应用),还是兼容并加入域的受管理设备。
如果遇到错误或问题,请使用管理员视图工具栏收集 .Har
文件和记录的会话等资源,然后提交支持票证。
为身份管理设备创建访问策略
使用客户端证书控制未加入 Microsoft Entra 混合且未由 Microsoft Intune 管理的设备的访问权限。 向受管理设备推出新证书,或使用现有证书,例如第三方 MDM 证书。 例如,需要将客户端证书部署到受管理设备,然后阻止来自不具备证书的设备的访问。
有关详细信息,请参阅使用条件访问应用控制的身份管理设备。
相关内容
有关详细信息,请参阅:
如果遇到任何问题,我们可随时提供帮助。 要获取产品问题的帮助或支持,请开立支持票证。