建立 Microsoft Defender for Cloud Apps 存取原則
Microsoft Defender for Cloud Apps 存取原則會使用條件式存取應用程控來提供對雲端應用程式存取的即時監視和控制。 存取原則會根據使用者、位置、裝置和應用程式來控制存取權,並且支援任何裝置。
針對主應用程式建立的原則不會連線到任何相關的資源應用程式。 例如,您為 Teams、Exchange 或 Gmail 建立的存取原則不會連線到 SharePoint、OneDrive 或 Google 雲端硬碟。 如果您除了主應用程式之外,還需要資源應用程式的原則,請建立個別的原則。
提示
如果您通常想要在監視會話或限制特定會話活動時允許存取,請改為建立會話原則。 如需詳細資訊,請參 閱會話原則。
必要條件
開始之前,請確定您有下列必要條件:
Defender for Cloud Apps 授權,作為獨立授權或另一個授權的一部分。
Microsoft Entra ID P1 的授權,可作為獨立授權或另一個授權的一部分。
如果您使用非Microsoft IdP,則身分識別提供者所需的授權 (IdP) 解決方案。
已上線至條件式存取應用程控的相關應用程式。 Microsoft Entra ID 應用程式會自動上線,而非Microsoft IdP 應用程式則必須手動上線。
如果您使用非Microsoft IdP,請確定您也已將IdP設定為使用 Microsoft Defender for Cloud Apps。 如需詳細資訊,請參閱:
若要讓存取原則能夠運作,您也必須具有 Microsoft Entra ID 條件式存取原則,以建立控制流量的許可權。
範例:建立 Microsoft Entra ID 條件式存取原則以搭配 Defender for Cloud Apps
此程式提供如何建立條件式存取原則以與 Defender for Cloud Apps 搭配使用的高階範例。
在 [Microsoft Entra ID 條件式存取] 中,選取 [建立新原則]。
輸入您原則有意義的名稱,然後選取 [ 會話 ] 底下的連結,將控件新增至原則。
在 [ 工作階段] 區域中,選取 [ 使用條件式存取應用程控]。
在 [ 使用者] 區域中,選取 [僅包含所有使用者] 或 [特定使用者和群組]。
在 [ 條件 和 用戶端應用程式] 區域中,選取您想要包含在原則中的條件和用戶端應用程式。
將 [ 僅限報表 ] 切換為 [ 開啟],然後選取 [ 建立],以儲存原則。
Microsoft Entra ID 支援瀏覽器型和非瀏覽器型原則。 建議您建立這兩種類型,以提高安全性涵蓋範圍。
重複此程式以建立以非中斷者為基礎的條件式存取原則。 在 [ 用戶端應用程式] 區域中,將 [ 設定] 選項 切換為 [ 是]。 然後,在 [ 新式驗證客戶端] 下,清除 [瀏覽器] 選項。 讓所有其他預設選取專案保持選取狀態。
如需詳細資訊,請 參閱條件式存取原則 和 建置條件式存取原則。
建立 Defender for Cloud Apps 存取原則
此程式描述如何在 Defender for Cloud Apps 中建立新的存取原則。
在 Microsoft Defender 全面偵測回應 中,選取 [雲端應用程式原則>>原則管理>條件式存取] 索引標籤。
選 取 [建立原則>存取原則]。 例如:
在 [ 建立存取原則 ] 頁面上,輸入下列基本資訊:
名稱 描述 原則名稱 原則的有意義名稱,例如 封鎖來自非受控裝置的存取 原則重要性 選取您要套用至原則的嚴重性。 類別 保留訪問控制的預設值 描述 為您的原則輸入選擇性且有意義的描述,以協助您的小組瞭解其用途。 在 符合下列所有區域的活動 中,選取要套用至原則的其他活動篩選條件。 篩選包括下列選項:
名稱 描述 應用程式 篩選要包含在原則中的特定應用程式。 選取應用程式,方法是先針對非Microsoft IdP 應用程式選取其是否使用自動化 Azure AD 上線、Microsoft Entra ID 應用程式或手動上線。 然後,從清單中選取您想要包含在篩選中的應用程式。
如果您的非Microsoft清單中遺漏 IdP 應用程式,請確定您已將它完全上線。 如需詳細資訊,請參閱:
- 將非Microsoft IdP 目錄應用程式上線以進行條件式存取應用程控
- 將非Microsoft的IdP自訂應用程式上線以進行條件式存取應用程控
如果您選擇不使用應用程式篩選,原則會套用至 [設定雲端應用程式連線>應用程式>] [條件式存取應用程控應用程式] 頁面上>標示為 [已啟用] 的所有應用程式。
注意:您可能會看到已上線的應用程式與需要手動上線的應用程式之間有一些重疊。 如果您的篩選器在應用程式之間發生衝突,手動上線的應用程式會優先。用戶端應用程式 篩選瀏覽器或行動/桌面應用程式。 裝置 篩選裝置標籤,例如特定裝置管理方法或裝置類型,例如電腦、行動裝置或Tablet。 IP 位址 篩選每個IP位址,或使用先前指派的IP位址標籤。 位置 依地理位置篩選。 缺少明確定義的位置可能會識別出有風險的活動。 已註冊的 ISP 篩選來自特定 ISP 的活動。 使用者 篩選特定用戶或使用者群組。 使用者代理字串 篩選特定使用者代理程式字串。 使用者代理程式標籤 篩選使用者代理程式標籤,例如過期的瀏覽器或作業系統。 例如:
選取 [編輯並預覽結果 ],以取得隨您目前選取專案傳回的活動類型預覽。
在 [ 動作] 區域 中,選取下列其中一個選項:
稽核:設定此動作以根據您明確設定的原則篩選條件來允許存取。
封鎖:設定此動作以根據您明確設定的原則篩選來封鎖存取。
在 [ 警示] 區域中,視需要設定下列任何動作:
- 針對每個符合原則嚴重性的事件建立警示
- 以電子郵件傳送警示
- 每個原則的每日警示限制
- 將警示傳送至 Power Automate
完成後,請選取 [建立]。
測試您的原則
建立存取原則之後,請向原則中設定的每個應用程式重新驗證,以進行測試。 確認您的應用程式體驗如預期般,然後檢查您的活動記錄。
我們建議您:
- 為您專為測試建立的使用者建立原則。
- 在重新驗證您的應用程式之前,先註銷所有現有的會話。
- 從受控和非受控裝置登入行動和桌面應用程式,以確保活動會完全擷取在活動記錄中。
請務必以符合您原則的使用者登入。
若要在您的應用程式中測試您的原則:
- 瀏覽應用程式中屬於使用者工作程式一部分的所有頁面,並確認頁面轉譯正確。
- 執行下載和上傳檔案等常見動作,確認應用程式的行為和功能不會受到負面影響。
- 如果您使用自定義、非Microsoft IdP 應用程式,請檢查您 為應用程式手動新增的每個網域。
若要檢查活動記錄:
在 Microsoft Defender 全面偵測回應 中,選取 [雲端應用程式>活動記錄],並檢查每個步驟所擷取的登入活動。 您可以選取 [ 進階篩選] 並篩選 [來源等於訪問控制],以進行篩選。
單一登錄 活動是條件式存取應用程控事件。
選取要展開的活動以取得詳細數據。 檢查 使用者代理程式 標籤是否正確反映裝置是內建客戶端、行動裝置或桌面應用程式,或裝置是相容且已加入網域的受控裝置。
如果您遇到錯誤或問題,請使用 [管理員 檢視] 工具列來收集檔案和錄製的會話等.Har資源,然後提出支援票證。
建立受身分識別管理裝置的存取原則
使用客戶端憑證來控制未 Microsoft Entra 混合式聯結且不受 Microsoft Intune 管理之裝置的存取權。 將新的憑證推出至受控裝置,或使用現有的憑證,例如第三方 MDM 憑證。 例如,您可能想要將用戶端憑證部署到受控裝置,然後封鎖沒有憑證的裝置存取。
如需詳細資訊,請 參閱使用條件式存取應用程控識別受控裝置。
相關內容
如需詳細資訊,請參閱:
如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。