共用方式為


開始使用 Microsoft Defender for Cloud Apps

本快速入門說明如何在 Microsoft Defender 入口網站上開始使用 Microsoft Defender for Cloud Apps。

Defender for Cloud Apps 可協助您使用雲端應用程式的優點,同時維持對公司資源的控制。 Defender for Cloud Apps 可改善您對雲端活動的可見度,並協助提高對公司數據的保護。

提示

作為本文的附隨,建議您在登入 Microsoft 365 系統管理中心 時使用 Microsoft Defender for Cloud Apps 自動化設定指南。 本指南會根據您的環境自定義您的體驗。 若要檢閱最佳做法,而不登入和啟用自動化安裝功能,請移至 Microsoft 365 安裝入口網站

必要條件

若要設定 Defender for Cloud Apps,您必須至少是 Microsoft Entra ID 或 Microsoft 365 中的安全性系統管理員。

無論您在何處指派角色,具有系統管理員角色的使用者在貴組織所訂閱的任何雲端應用程式上都具有相同的系統管理員許可權。 如需詳細資訊,請參閱在 Microsoft Entra ID 中指派系統管理員角色和指派系統管理員角色

Microsoft Defender for Cloud Apps 是安全性工具,因此不需要Microsoft 365 生產力套件授權。 僅針對 Microsoft 365) Microsoft 365 雲端 App 安全性 (Microsoft Defender for Cloud Apps,請參閱 Microsoft Defender for Cloud Apps 與 Microsoft 365 雲端 App 安全性 之間的差異為何?

Microsoft Defender for Cloud Apps 取決於下列 Microsoft Entra ID 應用程式才能正常運作。 請勿在 Microsoft Entra ID 中停用這些應用程式:

  • Microsoft Defender for Cloud Apps - API
  • Microsoft Defender for Cloud Apps - 客戶體驗
  • Microsoft Defender for Cloud Apps - 資訊保護
  • Microsoft Defender for Cloud Apps - MIP 伺服器

存取 Defender for Cloud Apps

  1. 為您想要受到 Defender for Cloud Apps 保護的每個使用者取得 Defender for Cloud Apps 授權。 如需詳細資訊, 請參閱 Microsoft 365 授權數據工作表

    Defender for Cloud Apps 試用版是 Microsoft 365 E5 試用版的一部分,您可以從 Microsoft 365 系統管理中心 >Marketplace 購買授權。 如需詳細資訊,請 參閱試用或購買 Microsoft 365取得商務用 Microsoft 365 的支援

    注意事項

    Microsoft Defender for Cloud Apps 是安全性工具,因此不需要Microsoft 365 生產力套件授權。 如需詳細資訊,請參閱 Microsoft Defender for Cloud Apps 與 Microsoft 365 雲端 App 安全性 之間有何差異?

  2. 在 Microsoft Defender 入口網站上的 Cloud Apps存取 Defender for Cloud Apps。 例如:

    Defender for Cloud Apps Cloud Discovery 頁面的螢幕快照。

步驟 1:為您的應用程式設定立即可見度、保護和治理動作

如何頁面設定應用程式的立即可見度、保護和治理動作

必要工作:連線應用程式

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]
  2. 在 [ 已連線的應用程式] 底下,選取 [應用程式連接器]
  3. 選取 [+連接應用程式 ] 以新增應用程式,然後選取應用程式。
  4. 請遵循設定步驟來連線應用程式。

為什麼要連線應用程式? 線上應用程式之後,您可以取得更深入的可見度,以便調查雲端環境中應用程式的活動、檔案和帳戶。

步驟 2:使用 DLP 原則保護敏感性資訊

如何頁面使用 DLP 原則保護敏感性資訊

建議的工作:啟用檔案監視和建立檔案原則

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]
  2. [資訊保護] 底下,選取 [檔案]
  3. 取 [啟用檔案監視] ,然後選取 [ 儲存]
  4. 如果您使用來自 Microsoft Purview 資訊保護 的敏感度標籤,請在 [資訊保護] 底下選取 [Microsoft 資訊保護]
  5. 選取必要的設定,然後選取 [ 儲存]
  6. 步驟 3 中,建立 符合 組織需求的檔案原則。

提示

您可以在 Microsoft Defender 入口網站中流覽至 Cloud Apps檔案,以檢視已連線應用程式>中的檔案。

移轉建議
建議您將 Defender for Cloud Apps 敏感性資訊保護與您目前的雲端存取安全性訊息代理程式 (CASB) 解決方案平行使用。 首先,將您想要保護的應用程式連線至 Microsoft Defender for Cloud Apps。 由於 API 連接器使用頻外連線,因此不會發生衝突。 然後,將原則從目前的 CASB 解決方案逐步移轉至 Defender for Cloud Apps。

注意事項

針對第三方應用程式,請確認目前的負載未超過應用程式允許的 API 呼叫數目上限。

步驟 3:使用原則控制雲端應用程式

如何頁面使用原則控制雲端應用程式

必要工作:建立原則

若要建立原則

  1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 底下,選擇 [原則 ->原則範本]
  2. 從清單中選擇原則範本,然後選 + 取圖示以建立原則。
  3. 自定義原則 (選取篩選、動作和其他) 設定,然後選擇 [ 建立]
  4. [雲端應用程式] 底下,選擇 [原則 ->原則管理],以選擇原則,並查看相關的相符專案 (活動、檔案、警示) 。

提示

若要涵蓋所有雲端環境安全性案例,請為每個 風險類別建立原則

原則如何協助您的組織?

您可以使用原則來協助您監視趨勢、查看安全性威脅,以及產生自定義報告和警示。 透過原則,您可以建立治理動作,並設定數據外泄防護和檔案共用控件。

步驟 4:設定雲端探索

如何分頁設定雲端探索

必要工作:啟用 Defender for Cloud Apps 以檢視您的雲端應用程式使用

  1. 與適用於端點的 Microsoft Defender 整合 以自動啟用 Defender for Cloud Apps,以監視您公司內外的 Windows 10 和 Windows 11 裝置。

  2. 如果您使用 Zscaler,請將其與 Defender for Cloud Apps 整合。

  3. 若要達到完整涵蓋範圍,請建立連續的雲端探索報告

    1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]
    2. [Cloud Discovery] 底下,選擇 [自動記錄上傳]
    3. 在 [ 數據源] 索引 標籤上,新增您的來源。
    4. 在 [ 記錄收集器] 索引 標籤上,設定記錄收集器。

移轉建議
建議您將 Defender for Cloud Apps 探索與您目前的 CASB 解決方案平行使用。 首先,將自動防火牆記錄上傳設定為 Defender for Cloud Apps 記錄收集器。 如果您使用適用於端點的 Defender,請在 Microsoft Defender 全面偵測回應 中,確定開啟將訊號轉送至 Defender for Cloud Apps 的選項。 設定雲端探索不會與您目前 CASB 解決方案的記錄收集衝突。

建立快照集雲端探索報告

  1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,選擇 [雲端探索]
  2. 在右上角,選取 [動作 ->建立 Cloud Discovery 快照集報告]

為什麼要設定雲端探索報告?

瞭解貴組織影子 IT 的可見度非常重要。 分析記錄之後,您可以輕鬆地找到使用中的雲端應用程式、人員以及裝置。

步驟 5:個人化您的體驗

如何頁面個人化您的體驗

建議的工作:新增您的組織詳細數據

針對輸入電子郵件設定

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]
  2. 在 [ 系統] 底下,選取 [郵件設定]
  3. [Email 寄件者身分識別] 下,輸入您的電子郵件地址和顯示名稱。
  4. Email 設計下,上傳您組織的電子郵件範本。

針對設定系統管理員通知

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [Microsoft Defender 全面偵測回應]。
  2. Email 通知
  3. 設定您要為系統通知設定的方法。

針對自訂分數計量

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]
  2. [Cloud Discovery] 底下,選擇 [評分計量]
  3. 設定各種風險值的重要性。
  4. 選擇 [儲存]

現在,針對已發現應用程式提供的風險分數,會依據貴組織的需求和優先順序精確進行。

為什麼要個人化您的環境?

某些功能在自訂您的需求時效果最佳。 使用您自己的電子郵件範本為使用者提供更好的體驗。 決定您收到的通知,並自定義風險分數計量,以符合貴組織的喜好設定。

步驟 7:根據您的需求組織數據

如何頁面使用IP範圍和標籤

建議的工作:設定重要設定

針對建立 IP 位址標籤

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]

  2. [系統] 底下,選取 [IP 位址範圍]

  3. 取 [+ 新增 IP 位址範圍 ] 以新增 IP 位址範圍。

  4. 輸入 [IP 範圍 名稱]、 [IP 位址範圍]、[ 類別][標記]

  5. 選擇 [建立]

    現在,您可以在建立原則時,以及篩選和建立連續報告時,使用IP標籤。

針對建立連續性報告

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]
  2. [Cloud Discovery] 底下,選擇 [ 連續報告]
  3. 選擇 [建立報表]
  4. 請遵循設定步驟。
  5. 選擇 [建立]

現在您可以根據自己的喜好設定來檢視探索到的數據,例如業務單位或IP範圍。

針對新增網域

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]
  2. 在 [ 系統] 底下,選擇 [組織詳細數據]
  3. 新增組織的內部網域。
  4. 選擇 [儲存]

為什麼您應該設定這些設定?

這些設定可協助您更有效地控制控制台中的功能。 使用IP標籤,建立符合您需求的原則、精確地篩選數據等等會比較容易。 使用數據檢視將您的數據分組為邏輯類別。

後續步驟

如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證