使用 Microsoft Defender for Cloud Apps 连接应用以获取可见性和控制

应用连接器使用应用提供商的 API 来让 Microsoft Defender for Cloud Apps 能够更好地了解和控制你连接到的应用。

Microsoft Defender for Cloud Apps利用云提供商提供的 API。 Defender for Cloud Apps与连接的应用之间的所有通信都使用 HTTPS 进行加密。 每个服务都有自己的框架和 API 限制,例如限制、API 限制、动态时间转移 API 窗口等。 Microsoft Defender for Cloud Apps使用服务来优化 API 的使用并提供最佳性能。 考虑到服务对 API 施加的不同限制,Defender for Cloud Apps引擎使用允许的容量。 某些操作(例如扫描租户中的所有文件)需要大量 API,因此它们分布的时间更长。 某些策略预计会运行几个小时或几天。

重要

2024 年 9 月 1 日起,我们将从 Microsoft Defender for Cloud Apps 弃用“文件”页。 此时,创建和修改信息保护策略,并从“云应用>策略>策略管理”页查找恶意软件文件。 有关详细信息,请参阅 Microsoft Defender for Cloud Apps 中的文件策略

多实例支持

Defender for Cloud Apps支持同一连接的应用的多个实例。 例如,如果有多个 Salesforce 实例, (一个用于销售,一个用于市场营销) 则可以将这两个实例连接到Defender for Cloud Apps。 可以从同一控制台管理不同的实例,以创建精细策略和更深入的调查。 此支持仅适用于 API 连接应用,不适用于 Cloud Discovered 应用或代理连接应用。

注意

Microsoft 365 和 Azure 不支持多实例。

运作方式

Defender for Cloud Apps使用系统管理员权限进行部署,以允许对环境中所有对象进行完全访问。

应用连接器流如下所示:

  1. Defender for Cloud Apps扫描并保存身份验证权限。

  2. Defender for Cloud Apps请求用户列表。 首次完成请求时,扫描完成可能需要一段时间。 用户扫描结束后,Defender for Cloud Apps转到活动和文件。 扫描开始后,Defender for Cloud Apps中将提供一些活动。

  3. 完成用户请求后,Defender for Cloud Apps定期扫描用户、组、活动和文件。 第一次完全扫描后,所有活动都将可用。

此连接可能需要一些时间,具体取决于租户的大小、用户数量以及需要扫描的文件的大小和数量。

根据要连接到的应用,API 连接将启用以下项:

  • 帐户信息 - 用户、帐户、配置文件信息、状态 (挂起、活动、禁用) 组和特权的可见性。
  • 审核跟踪 - 查看用户活动、管理员活动和登录活动。
  • 帐户治理 - 能够暂停用户、撤销密码等。
  • 应用权限 - 可查看已颁发的令牌及其权限。
  • 应用权限治理 - 能够删除令牌。
  • 数据扫描 - 使用两个进程扫描非结构化数据 -定期 (每 12 小时) ,实时扫描 (每次检测到更改时触发) 。
  • 数据治理 - 能够隔离文件(包括回收站中的文件)和覆盖文件。

下表列出了每个云应用的功能,应用连接器支持哪些功能:

注意

由于并非所有应用连接器都支持所有功能,因此某些行可能为空。

用户和活动

应用 列出帐户 列出组 列表权限 登录活动 用户活动 管理活动
Asana
Atlassian
AWS 不适用
Azure
Box
Citrix ShareFile
DocuSign 支持 DocuSign Monitor 支持 DocuSign Monitor 支持 DocuSign Monitor 支持 DocuSign Monitor
Dropbox
Egnyte
GitHub
GCP 主题 Google 工作区连接 主题 Google 工作区连接 主题 Google 工作区连接 主题 Google 工作区连接
Google Workspace ✔ - 需要 Google Business 或 Enterprise
Microsoft 365
Miro
壁画
NetDocuments
Okta 提供程序不支持
OneLogin
ServiceNow 部分 部分
Salesforce 受 Salesforce Shield 支持 受 Salesforce Shield 支持 受 Salesforce Shield 支持 受 Salesforce Shield 支持 受 Salesforce Shield 支持 受 Salesforce Shield 支持
可宽延时间
Smartsheet
Webex 提供程序不支持
Workday 提供程序不支持 提供程序不支持 提供程序不支持
Workplace by Meta
Zendesk
缩放

用户、应用治理和安全配置可见性

应用 用户治理 查看应用权限 撤销应用权限 SaaS 安全态势管理 (SSPM)
Asana
Atlassian
AWS 不适用 不适用
Azure 提供程序不支持
Box 提供程序不支持
Citrix ShareFile
DocuSign
Dropbox
Egnyte
GitHub
GCP 主题 Google 工作区连接 不适用 不适用
Google Workspace
Microsoft 365
Miro
壁画
NetDocuments 预览
Okta 不适用 不适用
OneLogin
ServiceNow
Salesforce
可宽延时间
Smartsheet
Webex 不适用 不适用
Workday 提供程序不支持 不适用 不适用
Workplace by Meta 预览
Zendesk
缩放 预览

信息保护

应用 DLP - 定期积压工作扫描 DLP - 准实时扫描 共享控制 文件治理 从Microsoft Purview 信息保护应用敏感度标签
Asana
Atlassian
AWS ✔ - 仅 S3 存储桶发现 不适用
Azure
Box
Citrix ShareFile
DocuSign
Dropbox
Egnyte
GitHub
GCP 不适用 不适用 不适用 不适用 不适用
Google Workspace ✔ - 需要 Google Business Enterprise
Okta 不适用 不适用 不适用 不适用 不适用
Miro
壁画
NetDocuments
Okta 不适用 不适用 不适用 不适用 不适用
OneLogin
ServiceNow 不适用
Salesforce
可宽延时间
Smartsheet
Webex 不适用
Workday 提供程序不支持 提供程序不支持 提供程序不支持 提供程序不支持 不适用
Workplace by Meta
Zendesk 预览
缩放

先决条件

  • 使用 Microsoft 365 连接器时,需要针对要查看安全建议的每个服务提供许可证。 例如,若要查看Microsoft Forms的建议,需要支持Forms的许可证。

  • 对于某些应用,可能需要允许列出 IP 地址,使Defender for Cloud Apps能够收集日志并为Defender for Cloud Apps控制台提供访问权限。 有关详细信息,请参阅网络要求

注意

若要在 URL 和 IP 地址发生更改时获取更新,请订阅 RSS,如中所述: Microsoft 365 个 URL 和 IP 地址范围

ExpressRoute

Defender for Cloud Apps部署在 Azure 中,并与 ExpressRoute 完全集成。 与发送到Defender for Cloud Apps的Defender for Cloud Apps应用和流量(包括上传发现日志)的所有交互都通过 ExpressRoute 进行路由,以提高延迟、性能和安全性。 有关Microsoft对等互连的详细信息,请参阅 ExpressRoute 线路和路由域

禁用应用连接器

注意

  • 在禁用应用连接器之前,请确保提供连接详细信息,因为如果要重新启用连接器,则需要这些详细信息。
  • 这些步骤不能用于禁用条件访问应用控制应用和安全配置应用。

若要禁用连接的应用,请:

  1. “连接的应用 ”页的相关行中,选择三个点,然后选择 “禁用应用连接器”。
  2. 在弹出窗口中,单击“ 禁用应用连接器实例 ”以确认操作。

禁用后,连接器实例将停止使用连接器中的数据。

重新启用应用连接器

若要重新启用连接的应用,请:

  1. “连接的应用” 页的相关行中,选择三个点,然后选择 “编辑设置”。 这将启动添加连接器的过程。
  2. 使用相关 API 连接器指南中的步骤添加连接器。 例如,如果要重新启用 GitHub,请使用连接 GitHub Enterprise Cloud 中的步骤Microsoft Defender for Cloud Apps

后续步骤

如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证