使用Defender for Cloud Apps条件访问应用控件
本文概述了如何使用Microsoft Defender for Cloud Apps应用控制来创建访问和会话策略。 条件访问应用控制提供对用户对云应用的访问的实时监视和控制。
条件访问应用控制使用流 (预览版)
下图显示了配置和实现条件访问应用控制的高级过程:
你使用哪个标识提供者?
开始使用条件访问应用控制之前,请先了解应用是由Microsoft Entra还是由其他标识提供者管理, (IdP) 。
Microsoft Entra应用会自动载入条件访问应用控制,并立即可用于访问和会话策略条件 (预览版) 。 可以在访问和会话策略条件中选择它们之前手动载入。
必须先手动载入使用非Microsoft IdP 的应用,然后才能在访问和会话策略条件中选择它们。
如果使用的是来自非Microsoft IdP 的目录应用,请将 IdP 与 Defender for Cloud Apps 之间的集成配置为载入所有目录应用。 有关详细信息,请参阅 为条件访问应用控制载入非Microsoft IdP 目录应用。
如果使用的是自定义应用,则需要配置 IdP 和Defender for Cloud Apps之间的集成,还需要载入每个自定义应用。 有关详细信息,请参阅 为条件访问应用控制载入非Microsoft IdP 自定义应用。
示例过程
以下文章提供了将非Microsoft IdP 配置为使用 Defender for Cloud Apps 的示例过程:
先决条件:
- 确保防火墙配置允许来自 网络要求中列出的所有 IP 地址的流量。
- 确认应用程序拥有完整的证书链。 使用条件访问应用控制策略进行监视时,不完整或部分证书链可能会导致应用程序中出现意外行为。
创建Microsoft Entra ID条件访问策略
若要使访问或会话策略正常工作,还必须Microsoft Entra ID条件访问策略,该策略创建用于控制流量的权限。
创建访问和会话策略
确认应用已载入后,可以自动或手动Microsoft Entra ID应用,并且已准备好Microsoft Entra ID条件访问策略,可以继续为所需的任何方案创建访问和会话策略。
有关更多信息,请参阅:
测试策略
请确保测试策略并根据需要更新任何条件或设置。 有关更多信息,请参阅: