使用Defender for Cloud Apps条件访问应用控件

本文概述了如何使用Microsoft Defender for Cloud Apps应用控制来创建访问和会话策略。 条件访问应用控制提供对用户对云应用的访问的实时监视和控制。

条件访问应用控制使用流 (预览版)

下图显示了配置和实现条件访问应用控制的高级过程:

条件访问应用控制流程的示意图。

你使用哪个标识提供者?

开始使用条件访问应用控制之前,请先了解应用是由Microsoft Entra还是由其他标识提供者管理, (IdP) 。

  • Microsoft Entra应用会自动载入条件访问应用控制,并立即可用于访问和会话策略条件 (预览版) 。 可以在访问和会话策略条件中选择它们之前手动载入。

  • 必须先手动载入使用非Microsoft IdP 的应用,然后才能在访问和会话策略条件中选择它们。

示例过程

以下文章提供了将非Microsoft IdP 配置为使用 Defender for Cloud Apps 的示例过程:

先决条件:

  1. 确保防火墙配置允许来自 网络要求中列出的所有 IP 地址的流量。
  2. 确认应用程序拥有完整的证书链。 使用条件访问应用控制策略进行监视时,不完整或部分证书链可能会导致应用程序中出现意外行为。

创建Microsoft Entra ID条件访问策略

若要使访问或会话策略正常工作,还必须Microsoft Entra ID条件访问策略,该策略创建用于控制流量的权限。

我们在 访问会话 策略创建文档中嵌入了此过程的示例。

有关详细信息,请参阅 条件访问策略构建条件访问策略

创建访问和会话策略

确认应用已载入后,可以自动或手动Microsoft Entra ID应用,并且已准备好Microsoft Entra ID条件访问策略,可以继续为所需的任何方案创建访问和会话策略。

有关更多信息,请参阅:

测试策略

请确保测试策略并根据需要更新任何条件或设置。 有关更多信息,请参阅:

有关详细信息,请参阅使用Microsoft Defender for Cloud Apps条件访问应用控制保护应用