使用 適用於端點的 Microsoft Defender 控管探索到的應用程式

Microsoft Defender for Cloud Apps 與 適用於端點的 Microsoft Defender整合提供順暢的影子IT可見性和控制解決方案。 我們的整合可讓 Defender for Cloud Apps 系統管理員以原生方式整合 Defender for Cloud Apps 應用程式控管控件與 適用於端點的 Microsoft Defender 的網路保護，來封鎖使用者對雲端應用程式的存取。 或者，系統管理員可以在使用者存取具風險的雲端應用程式時，採取更謹慎的警告方法。

Defender for Cloud Apps 使用內建的未批准應用程式標籤，將雲端應用程式標示為禁止使用，可在 Cloud Discovery 和 Cloud App Catalog 頁面中使用。 藉由啟用與適用於端點的Defender整合，您可以在Defender for Cloud Apps入口網站中按兩下即可順暢地封鎖對未批准應用程式的存取。

在 Defender for Cloud Apps 中標示為未批准的應用程式會自動同步至適用於端點的Defender。 更具體來說，這些未批准應用程式所使用的網域會傳播到端點裝置，以由網路保護 SLA 內的 Microsoft Defender 防病毒軟體封鎖。

注意事項

透過適用於端點的 Defender 封鎖應用程式的時間延遲，從您在裝置中將應用程式標示為未批准 Defender for Cloud Apps 到應用程式遭到封鎖的那一刻起，最多需要三個小時。 這是由於將 Defender for Cloud Apps 獲批准/未經批准的應用程式同步處理至適用於端點的 Defender 最多一小時，最多兩小時的時間將原則推送至裝置，以便在適用於端點的 Defender 中建立指標之後封鎖應用程式。

必要條件

• 下列其中一個授權：

  • Defender for Cloud Apps (E5、AAD-P1m CAS-D) 和 適用於端點的 Microsoft Defender 方案 2，端點已上線至適用於端點的 Defender
  • Microsoft 365 E5

• Microsoft Defender 防病毒軟體。 如需詳細資訊，請參閱：

  • 已啟用即時保護
  • 已啟用雲端式保護
  • 網路保護已啟用並設定為封鎖模式

• 下列其中一個支援的作業系統：

  • Windows：Windows 10 18.09 版 (RS5) 操作系統組建 1776.3、11 和更新版本
  • Android：最低版本 8.0：如需詳細資訊，請參閱：Android 上的 適用於端點的 Microsoft Defender
  • iOS：最低版本 14.0：如需詳細資訊，請參閱：在 iOS 上 適用於端點的 Microsoft Defender
  • macOS：最低版本 11：如需詳細資訊，請參閱： macOS 的網路保護
  • Linux 系統需求：如需詳細資訊，請參閱： Linux 的網路保護

• 適用於端點的 Microsoft Defender 上線。 如需詳細資訊，請參閱使用適用於端點的Defender上線 Defender for Cloud Apps。

• 系統管理員存取權以在 Defender for Cloud Apps 中進行變更。 如需詳細資訊，請 參閱管理系統管理員存取權。

使用適用於端點的Defender啟用雲端應用程式封鎖

使用下列步驟來啟用雲端應用程式的存取控制：

1. 在 Microsoft Defender 入口網站中，選取 [設定]。 然後選擇 [雲端應用程式]。 在 [Cloud Discovery] 底下，選取 [適用於端點的 Microsoft Defender]，然後選取 [強制執行應用程式存取]。

   

   注意事項

   此設定最多可能需要 30 分鐘才會生效。

2. 在 Microsoft Defender 全面偵測回應 中，移至 [設定>端點>進階功能]，然後選取 [自定義網络指標]。 如需網路指標的相關信息，請 參閱建立IP和URL/網域的指標。

   這可讓您利用 Microsoft Defender 防病毒軟體網路保護功能，藉由手動將應用程式標籤指派給特定應用程式或自動使用應用程式探索原則，來封鎖對一組預先定義 URL 的存取 Defender for Cloud Apps。

   

在存取封鎖的應用程式時教育使用者 & 自定義封鎖頁面

系統管理員現在可以設定及內嵌封鎖頁面的支援/說明 URL。 透過此設定，系統管理員可以在使用者存取封鎖的應用程式時進行教育。 系統會提示使用者輸入公司頁面的自定義重新導向連結，其中列出封鎖的應用程式以供使用，並遵循必要的步驟來保護封鎖頁面上的例外狀況。 當使用者按兩下封鎖頁面上的 [瀏覽支援頁面] 時，系統會將使用者重新導向至系統管理員所設定的此 URL。

Defender for Cloud Apps 使用內建的未批准應用程式標籤，將雲端應用程式標示為封鎖以供使用。 您可以在 Cloud Discovery 和 Cloud App Catalog 頁面上使用標記。 藉由啟用與適用於端點的Defender整合，您可以順暢地教育用戶封鎖使用應用程式，以及在 Defender for Cloud Apps入口網站中按兩下即可保護例外狀況的步驟。

標示為 未批准的 應用程式會自動同步至適用於端點的 Defender 自定義 URL 指標，通常會在幾分鐘內完成。 更具體來說，封鎖的應用程式所使用的網域會傳播至端點裝置，以在網路保護 SLA 中 Microsoft Defender 防病毒軟體提供訊息。

設定封鎖頁面的自定義重新導向 URL

使用下列步驟來設定指向公司網頁或共用點連結的自定義說明/支援 URL，您可以在其中教育員工為何遭到封鎖而無法存取應用程式，並提供步驟清單來保護例外狀況或共用公司存取原則，以遵守貴組織的風險接受。

1. 在 Microsoft Defender 入口網站中，選取 [設定>Cloud Apps>Cloud Discovery>適用於端點的 Microsoft Defender] 。
2. 在 [ 警示] 下拉式清單中，選取 [ 資訊]。
3. 在 [已封鎖應用程式的使用者警告>通知 URL] 下，輸入您的 URL。 例如：

封鎖特定裝置群組的應用程式

若要封鎖特定裝置群組的使用方式，請執行下列步驟：

1. 在 Microsoft Defender 入口網站中，選取 [設定]。 然後選擇 [雲端應用程式]。 然後在 [雲端探索] 底下，選取 [應用程式卷標 ]，然後移至 [ 限域配置檔] 索引標籤 。

2. 選取 [新增配置檔]。 配置檔會設定封鎖/解除封鎖應用程式的範圍實體。

3. 提供描述性配置檔名稱和描述。

4. 選擇設定檔應為 [ 包含 ] 或 [ 排除] 設定檔。

   • 包含：只有包含的實體集會受到存取強制執行的影響。 例如， 配置檔 myContoso 具有裝置群組 A 和 B 的 Include 。使用設定檔封鎖應用程式 Y myContoso 只會封鎖群組 A 和 B 的應用程式存取。

   • 排除：排除的實體集不會受到存取強制執行的影響。 例如， 配置檔 myContoso 具有裝置群組 A 和 B 的排除 。使用配置檔封鎖應用程式 Y myContoso 會封鎖整個組織的應用程式存取，但群組 A 和 B 除外。

5. 選取配置檔的相關裝置群組。 列出的裝置群組會從 適用於端點的 Microsoft Defender 中提取。 如需詳細資訊，請 參閱建立裝置群組。

6. 選取 [儲存]。

   

若要封鎖應用程式，請執行下列步驟：

1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 底下，移至 [Cloud Discovery]，然後移至 [探索到的應用程式] 索引標籤。

2. 選取應該封鎖的應用程式。

3. 將應用程式標記為 [未批准]。

   

4. 若要封鎖組織中的所有裝置，請在 [ 標記為未批准？ ] 對話框中，選取 [ 儲存]。 若要封鎖組織中的特定裝置群組， 請選取 [選取配置檔] 以包含或排除遭到封鎖的群組。 然後選擇要封鎖應用程式的配置檔，然後選取 [ 儲存]。

   

   只有當您的租使用者在啟用適用於端點的 Defender 的情況下封鎖雲端應用程式，且您有系統管理員存取權進行變更時，才會出現 [標記為 未批准 ？] 對話框。

注意事項

• 強制執行能力是以適用於端點的Defender自定義URL指標為基礎。
• Defender for Cloud Apps 會覆寫 Defender for Cloud Apps 在發行此功能之前，針對 Defender for Cloud Apps 所建立之指標手動設定的任何組織範圍。 您應該使用限定範圍的配置檔體驗，從 Defender for Cloud Apps 體驗中設定必要的範圍設定。
• 若要從未批准的應用程式移除選取的範圍配置檔，請移除未批准的標籤，然後使用必要的限定範圍配置檔再次標記應用程式。
• 一旦端點裝置標示相關標籤或/和範圍，應用程式網域最多可能需要兩小時的時間，才能在端點裝置中傳播和更新。
• 當應用程式標記為 [ 受監視] 時，只有在內建 的 Win10 端點用戶 數據源在過去 30 天內持續收到數據時，才會顯示套用範圍配置檔的選項。

在存取具風險的應用程式時教育使用者

系統管理員可以選擇在使用者存取具風險的應用程式時發出警告。 系統會提示他們提供自定義重新導向連結給公司頁面，列出已核准可供使用的應用程式，而不是封鎖使用者。 提示會提供選項，讓使用者略過警告並繼續前往應用程式。 系統管理員也可以監視略過警告訊息的用戶數目。

Defender for Cloud Apps 使用內建的受監視應用程式標籤，將雲端應用程式標示為有風險可供使用。 您可以在 Cloud Discovery 和 Cloud App Catalog 頁面上使用標記。 藉由啟用與適用於端點的Defender整合，您可以在 Defender for Cloud Apps入口網站中按兩下即可順暢地警告使用者存取受監視的應用程式。

標示為 受監視 的應用程式會自動同步至適用於端點的 Defender 的自定義 URL 指標，通常會在幾分鐘內完成。 更具體來說，受監視應用程式所使用的網域會傳播至端點裝置，以在網路保護 SLA 內 Microsoft Defender 防病毒軟體來提供警告訊息。

設定警告訊息的自定義重新導向 URL

使用下列步驟來設定指向公司網頁的自定義 URL，您可以在其中教育員工為何收到警告，並提供符合貴組織風險接受或已由組織管理的替代核准應用程式清單。

1. 在 Microsoft Defender 入口網站中，選取 [設定]。 然後選擇 [雲端應用程式]。 在 [Cloud Discovery] 底下，選取 [適用於端點的 Microsoft Defender]。

2. 在 [ 通知 URL] 方塊中，輸入您的 URL。

   

設定使用者略過持續時間

由於使用者可以略過警告訊息，因此您可以使用下列步驟來設定套用略過的持續時間。 經過持續時間之後，使用者會在下次存取受監視的應用程式時收到警告訊息提示。

1. 在 Microsoft Defender 入口網站中，選取 [設定]。 然後選擇 [雲端應用程式]。 在 [Cloud Discovery] 底下，選取 [適用於端點的 Microsoft Defender]。

2. 在 [ 略過持續時間] 方塊中，輸入使用者略過) 期間 (小時。

   

監視已套用的應用程式控制件

套用控件之後，您可以使用下列步驟，透過套用的控件 (存取、封鎖、略過) 來監視應用程式使用模式。

1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 底下，移至 [Cloud Discovery]，然後移至 [探索到的應用程式] 索引標籤。使用篩選來尋找相關的受監視應用程式。
2. 選取應用程式的名稱，以在應用程式的概觀頁面上檢視已套用的應用程式控制件。

後續步驟

調查 適用於端點的 Microsoft Defender 探索到的應用程式

使用原則控制雲端應用程式

Related videos

使用適用於端點的Defender探索及封鎖影子IT

公司網路以外的影子IT探索

如果您遇到任何問題，我們在這裡提供協助。 若要取得產品問題的協助或支援，請 開啟支援票證。