步骤 2：创建 Defender for Cloud Apps 策略

SaaS 应用在确保应用程序和资源可用且可从具有 Internet 连接的任何设备访问方面发挥关键作用。 但一些应用可能会带来安全风险，如果未发现和进行管理，可能会对组织造成重大损害。 必须了解组织中正在使用的应用，以便可以保护敏感数据和资源。

Microsoft Defender for Cloud Apps 通过对敏感数据实施全面可见性、审核和精细控制以使你处于控制之中。 Defender for Cloud Apps 提供的工具有助于发现影子 IT 并评估风险，同时支持强制实施策略并调查应用活动。 它可帮助你实时控制访问权限并阻止威胁，以便组织可以更安全地移动到云。

本文提供有关如何执行以下操作的指导：

• 发现云应用
• 批准云应用
• 配置条件访问应用控制
• 使用应用连接器
• 应用会话控制

如果尚未设置 Defender for Cloud Apps，请参阅评估 Microsoft Defender for Cloud Apps。

发现云应用

如果不了解组织中正在使用的应用，将无法正确管理和控制用户使用应用的方式以及应用如何访问敏感数据和资源。

Defender for Cloud Apps 具有名为 Cloud Discovery 的功能，可针对超过 31,000 个云应用的 Microsoft Defender for Cloud Apps 目录分析流量日志。 这些应用根据超过 90 项风险因素进行排名和评分，并让你持续了解云应用使用、影子 IT 以及未知和非托管应用构成的风险。

下图显示了云应用发现组件以及用于监视网络流量和发现组织中正在使用的云应用的两种方法

在此图中：

• 方法 1：Cloud App Discovery 与 Microsoft Defender for Endpoint 集成，它报告从 IT 管理的 Windows 10 和 Windows 11 设备访问的云应用和服务。
• 方法 2：对于连接到网络的所有设备的覆盖范围，安装在防火墙和代理上的 Defender for Cloud Apps 日志收集器会从终结点收集数据并将其发送到 Defender for Cloud Apps 以进行分析。

使用以下指南利用 Defender for Cloud 应用中的内置功能来发现组织中的应用：

• 设置 Cloud Discovery
• 发现并识别影子 IT

批准应用

查看环境中已发现的应用列表后，可以通过批准安全应用（已批准）或禁止不需要的应用（未批准）来保护环境。

详细信息，请参阅批准/取消批准应用。

配置条件访问应用控制以保护应用

使用条件访问策略，可以将控制措施分配给特定应用程序、操作或身份验证上下文。 可以定义哪些用户或用户组可以访问你的云应用、他们可以访问哪些云应用，以及用户的访问权限必须源自哪些位置和网络。 有关其他信息，请参阅此解决方案的步骤 1。

结合条件访问策略，可以通过使用条件访问应用控制来应用访问和会话控制，以进一步提高云应用的安全性。 借助 Defender for Cloud Apps 中的条件访问应用控制功能，可以根据访问和会话策略实时监视和控制用户应用访问和会话。 使用通过 Defender for Cloud Apps 门户配置的访问和会话策略，可以进一步优化筛选器并设置用户可以执行的操作。

Microsoft Defender for Cloud Apps 本机集成了 Microsoft Entra。 在 Microsoft Entra 中配置策略以使用条件访问应用控制时，云应用流量会通过 Defender for Cloud Apps 作为代理进行路由，从而支持 Defender for Cloud Apps 监视此流量并应用会话控制。

下图显示了如何通过 Microsoft Entra 和 Defender for Cloud Apps 路由云应用流量。

在此图中：

• Microsoft Entra 具有面向指定的流量和集成的 SaaS 应用的条件访问应用控制策略。 然后，Microsoft Entra ID 会通过 Defender for Cloud Apps 定向（代理）会话流量。
• Defender for Cloud Apps 会监视此流量并应用会话控制策略。

条件访问规定了用户可以访问应用之前必须满足的要求。 条件访问应用控制规定用户可访问哪些应用，以及用户获得访问权限后，在会话期间可执行的操作的集合。

有关详细信息，请参阅：

• 使用 Microsoft Defender for Cloud Apps 条件访问应用控制保护应用
• 将 Microsoft Entra ID 与条件访问应用控制集成

使用应用连接器

应用连接器使用应用提供商的 API 通过 Defender for Cloud Apps 对组织中正在使用的应用实现更高的可见性和控制。 根据要连接到的应用，应用连接会实现以下内容：

• 帐户信息 - 了解用户、帐户、配置文件信息、状态（挂起、活动、禁用）组和权限。
• 审核线索 - 了解用户活动、管理员活动和登录活动。
• 帐户治理 - 能够挂起用户、撤销密码和其他功能。
• 应用权限 - 了解颁发的令牌及其权限。
• 应用权限管理 - 能够删除令牌。
• 数据扫描 - 使用每隔 12 个小时定期扫描和在每次检测到更改时触发的实时扫描两个进程扫描非结构化数据。
• 数据治理 - 能够隔离文件，包括回收站中的文件，以及覆盖文件。

有关详细信息，请参阅连接应用。

Defender for Cloud Apps 使用云到云集成、API 连接器以及利用条件应用访问控制的实时访问和会话控件为连接的应用提供端到端保护。

应用会话控制

你可通过会话控制将参数用于设置组织使用云应用的方式上。 例如，如果你的组织使用 Salesforce，则可以配置一个会话策略，以仅允许已注册和托管设备访问组织的 Salesforce 数据。 一个更简单的示例是配置一个策略监视来自非托管设备的流量，以在应用更严格的策略之前分析该流量的风险。

Defender for Cloud Apps 文档包括以下系列教程，可帮助你发现风险和保护环境：

• 检测可疑用户活动
• 调查有风险的用户
• 调查有风险的 OAuth 应用
• 发现和保护敏感信息
• 实时保护组织中使用的任何应用
• 阻止下载敏感信息
• 通过管理员隔离区保护你的文件
• 对有风险的操作要求升级认证

下一步

继续执行步骤 3，为 SaaS 应用部署信息保护。