使用 Microsoft Defender for Cloud Apps 和 Microsoft Entra ID 配置实时应用程序访问监视

通过 Microsoft Entra ID 中的本地应用程序使用 Microsoft Defender for Cloud Apps 进行实时监视。 Defender for Cloud Apps 使用条件访问应用控制,基于条件访问策略实时监视并控制会话。 将这些策略应用于 Microsoft Entra ID 中使用应用程序代理的本地应用程序。

以下是使用 Defender for Cloud Apps 创建的策略的一些示例:

  • 阻止或保护对非管理的设备上敏感文档的下载。
  • 当高风险用户登录到应用程序时进行监视,然后从会话中记录它们的操作。 有了此信息,即可分析用户行为以决定如何应用会话策略。
  • 使用客户端证书或设备符合性阻止非管理的设备访问特定应用程序。
  • 限制来自非公司网络的用户会话。 对于从公司外部网络访问应用程序的用户,可以限制他们的访问权限。 例如,受限制的访问权限可阻止用户下载敏感文档。

有关详细信息,请参阅使用 Microsoft Defender for Cloud Apps 条件访问应用控制保护应用

要求

EMS E5 许可证或 Microsoft Entra ID P1 和 Defender for Cloud Apps 独立版。

本地应用程序必须使用 Kerberos 约束委派 (KCD)。

将 Microsoft Entra ID 配置为使用应用程序代理。 配置应用程序代理包括准备环境并安装专用网络连接器。 有关教程,请参阅在 Microsoft Entra ID 中添加本地应用程序以通过应用程序代理进行远程访问

将本地应用程序添加到 Microsoft Entra ID

将本地应用程序添加到 Microsoft Entra ID。 有关快速入门信息,请参阅将本地应用添加到 Microsoft Entra ID。 添加应用程序时,请务必在“添加本地应用程序”页中设置以下两个设置,使其适用于 Defender for Cloud Apps:

  • 预身份验证:输入 Microsoft Entra ID
  • 转换应用程序主体中的 URL:选择“是”。

测试本地应用程序

将应用程序添加到 Microsoft Entra ID 后,使用测试应用程序中的步骤添加用于测试的用户并测试登录。

部署条件访问应用控制

若要使用条件访问应用程序控制配置应用程序,请按照为 Microsoft Entra 应用部署条件访问应用程序控制中的说明进行操作。

测试条件访问应用控制

若要使用条件访问应用程序控制测试 Microsoft Entra 应用程序的部署,请按照测试 Microsoft Entra 应用的部署中的说明进行操作。