教學課程：即時保護組織中使用中的任何應用程式

您批准員工使用的應用程式，通常會儲存一些最敏感的公司數據和秘密。 在現代工作場所中，使用者會在許多有風險的情況下存取這些應用程式。 這些使用者可能是貴組織中您幾乎無法看見的合作夥伴，或使用非受控裝置或來自公用IP位址的員工。 由於此環境有各種風險，因此必須採用零信任策略。 通常，瞭解這些應用程式在事實之後的缺口和數據遺失並不夠。因此，必須實時解決或防止許多資訊保護和網路威脅案例。

在本教學課程中，您將瞭解如何使用存取和會話控件來監視和控制應用程式及其數據的存取。 以彈性方式管理數據的存取權，並降低威脅的風險，可讓 Defender for Cloud Apps 保護您最敏感的資產。 具體而言，我們將討論下列案例：

• 監視用戶活動是否有異常狀況
• 在數據外泄時保護數據
• 防止未受保護的數據上傳至您的應用程式

如何即時保護貴組織免於任何應用程式

使用此程式在您的組織中推出即時控制件。

階段 1：監視用戶活動是否有異常

Microsoft Entra ID 應用程式會自動部署以進行條件式存取應用程控，並即時受到監視，以立即深入瞭解其活動和相關信息。 使用此資訊來識別異常行為。

使用 Defender for Cloud Apps 的活動記錄檔來監視及描述您環境中的應用程式使用方式，並瞭解其風險。 使用 搜尋、篩選和查詢 來快速識別有風險的活動，以縮小列出的活動範圍。

階段 2：在數據外泄時保護數據

許多組織的主要考慮是如何防止數據在發生前外洩。 其中兩個最大的風險是 Unmanaged 裝置 (可能未受到針腳保護，或可能包含惡意應用程式) 以及 IT 部門幾乎無法看見和控制的來賓使用者。

既然您的應用程式已部署，您可以利用我們的原生整合與裝置管理的 Microsoft Intune、使用者群組的 Microsoft Entra ID，以及數據保護的 Microsoft Purview 資訊保護，輕鬆地設定原則來降低這兩種風險。

• 降低非受控裝置的風險：建立 會話原則，以標記 和保護僅供組織中使用者使用的高度機密檔案。
• 減輕來賓用戶的風險：建立 會話原則，將自定義許可權 套用至來賓用戶下載的任何檔案。 例如，您可以設定許可權，讓來賓使用者只能存取受保護的檔案。

階段3：防止未受保護的數據上傳至您的應用程式

除了防止數據外泄，組織通常會想要確保滲透到雲端應用程式的數據也是安全的。 常見的使用案例是當用戶嘗試上傳未正確標示的檔案時。

針對您在上面設定的任何應用程式，您可以設定會話原則，以防止上傳未正確標記的檔案，如下所示：

1. 建立會話原則來 封鎖上傳標記不正確的檔案。

2. 設定原則以顯示 區塊訊息，其中包含如何更正標籤標的指示，然後再試一次。

以這種方式保護檔案上傳，可確保儲存至雲端的數據已套用正確的訪問許可權。 如果檔案是共用或遺失，則只能由授權的使用者存取。

深入了解

• 試用我們的互動式指南：使用 Microsoft Defender for Cloud Apps 保護和控制資訊