使用 Defender for Cloud Apps 條件式存取應用程控

本文提供如何使用 Microsoft Defender for Cloud Apps 應用程控來建立存取和會話原則的概觀。 條件式存取應用程控可讓您即時監視和控制使用者對雲端應用程式的存取。

預覽) (條件式存取應用程控使用流程

下圖顯示設定和實作條件式存取應用程式：

您使用哪一個識別提供者？

開始使用條件式存取應用程控之前，請先瞭解您的應用程式是否由 Microsoft Entra 或其他識別提供者管理， (IdP) 。

• Microsoft Entra 應用程式會自動上線以進行條件式存取應用程控，並立即可供您在預覽) (存取和會話原則條件中使用。 在存取和會話原則條件中選取之前，可以手動上線。

• 使用非Microsoft IDP 的應用程式 必須手動上線，您才能在存取和會話原則條件中選取它們。

  • 如果您使用來自非Microsoft IdP 的目錄應用程式，請設定 IdP 與 Defender for Cloud Apps 之間的整合，以將所有目錄應用程式上線。 如需詳細資訊， 請參閱將非Microsoft IdP 目錄應用程式上線以進行條件式存取應用程控。

  • 如果您使用自定義應用程式，則需要設定 IdP 與 Defender for Cloud Apps 之間的整合，以及將每個自定義應用程式上線。 如需詳細資訊， 請參閱將條件式存取應用程控的非Microsoft IdP 自定義應用程序上線。

範例程式

下列文章提供設定非Microsoft IdP 以使用 Defender for Cloud Apps 的範例程式：

• PingOne 作為您的 IdP
• Active Directory 同盟服務 (AD FS) 作為 IdP
• Okta 作為您的 IdP

必要條件：

1. 確定您的防火牆設定允許來自 網路需求上所列之所有IP位址的流量。
2. 確認您的應用程式擁有完整的憑證鏈結。 使用條件式存取應用程控原則進行監視時，不完整或部分憑證鏈結可能會導致應用程式發生非預期的行為。

建立 Microsoft Entra ID 條件式存取原則

若要讓存取或會話原則能夠運作，您也必須擁有 Microsoft Entra ID 條件式存取原則，以建立控制流量的許可權。

我們將此程式的範例內嵌在存 取 和 會話 原則建立檔中。

如需詳細資訊，請 參閱條件式存取原則 和 建置條件式存取原則。

建立您的存取和會話原則

確認您的應用程式已上線之後，可能是因為應用程式 Microsoft Entra ID 應用程式，或是手動，而且您已準備好 Microsoft Entra ID 條件式存取原則，您可以繼續針對您需要的任何案例建立存取和會話原則。

如需詳細資訊，請參閱：

• 建立 Defender for Cloud Apps 存取原則
• 建立 Defender for Cloud Apps 會話原則

測試您的原則

請務必測試您的原則，並視需要更新任何條件或設定。 如需詳細資訊，請參閱：

• 測試您的存取原則
• 測試您的會話原則

相關內容

如需詳細資訊，請參閱使用 Microsoft Defender for Cloud Apps 條件式存取應用程控來保護應用程式。