步驟 1:將 SaaS 應用程式新增至 Microsoft Entra ID 和原則範圍
Microsoft Entra ID 是 Microsoft 的雲端式身分識別與存取管理服務。 Microsoft Entra ID 提供安全的驗證和授權解決方案,讓客戶、合作夥伴和員工可以存取所需的應用程式。 Microsoft Entra ID、條件式存取、多重要素驗證、單一登錄 (SSO)和自動使用者布建可讓身分識別與存取管理變得簡單且安全。
將您的 SaaS 應用程式整合到 Microsoft Entra 識別碼中,以便監視和設定其存取權。 Microsoft Entra ID 有一個應用連結庫,這是已預先整合 Microsoft Entra ID 的 SaaS 應用程式集合。 您也可以新增自己的自訂應用程式。 如需詳細資訊,請參閱 整合所有應用程式與 Microsoft Entra ID 的五個步驟。
將應用程式新增至 Microsoft Entra 識別符之後,您可以設定應用程式存取方式,並在 零信任 身分識別和裝置存取原則的範圍內納入這些應用程式,並受限於特定條件。
如果您已部署 適用於雲端的 Microsoft Defender 應用程式,您可以探索組織中所使用的 SaaS 應用程式。 如需詳細資訊,請參閱 此解決方案 的步驟 2 和 探索和管理網路中影子 IT。
在 Microsoft Entra 識別碼中新增應用程式
在 Microsoft Entra ID 中新增應用程式可協助您利用其提供的服務,包括:
- 應用程式驗證和授權。
- 使用者驗證和授權。
- 使用同盟或密碼的 SSO。
- 使用者佈建與同步處理。
- 使用 Microsoft Entra 定義應用程式角色並在應用程式中執行角色型授權檢查的角色型存取控制。
- Microsoft 365 和其他 Microsoft 應用程式用來授權存取 API 和資源的 OAuth 授權服務。
- 應用程式發佈和 Proxy,將應用程式從您的專用網發佈至因特網。
- 目錄架構擴充屬性,以將其他數據儲存在 Microsoft Entra ID 中。
有數種方式可以在 Microsoft Entra ID 中新增應用程式。 若要開始管理應用程式,最簡單的方式是使用應用連結庫。 您也可以選擇新增自訂應用程式。 本節會引導您完成這兩種方式。
從應用連結庫新增應用程式
Microsoft Entra ID 有一個應用連結庫,其中包含已預先整合 Microsoft Entra ID 的 SaaS 應用程式集合。 只要登入 Microsoft Entra 系統管理中心,然後從特定雲端平臺、精選應用程式或搜尋您想要使用的應用程式來選擇應用程式。
如需詳細資訊,請參閱 新增企業應用程式和Microsoft Entra 應用連結庫概觀。
在 Microsoft Entra 應用連結庫中新增自定義應用程式
您可以開發自己的自定義雲端應用程式,並在 Microsoft Entra ID 中註冊它們。 使用 Microsoft Entra ID 註冊它們可讓您利用 Microsoft 365 租使用者所提供的安全性功能。 在 Microsoft Entra 系統管理中心中,您可以在應用程式註冊中註冊您的應用程式,或者您可以在企業應用程式中新增應用程式時,使用 [建立您自己的應用程式] 鏈接進行註冊。
如需詳細資訊,請參閱 什麼是 Microsoft Entra ID 中的應用程式管理? 和 要求在 Microsoft Entra 應用連結庫中發佈您的應用程式。
將應用程式新增至 零信任 身分識別和裝置存取原則的範圍
條件式存取原則可讓您將控件指派給特定應用程式、動作或驗證內容。 您可以定義條件,例如裝置類型可以存取資源、用戶風險層級、信任的位置,以及其他條件,例如強式驗證。 例如,多重要素驗證 (MFA) 藉由要求第二種形式的驗證,以額外的安全性協助保護對數據和應用程式的存取。
在 Microsoft Entra ID 中新增應用程式之後,您必須將它們新增至 零信任 身分識別和裝置存取原則的範圍。
更新一般原則
下圖顯示 SaaS 和 PaaS 應用程式的 零信任 身分識別和裝置存取原則,其中反白顯示必須修改其範圍以包含 SaaS 應用程式的一組通用條件式存取原則。
針對要更新的每個原則,請確定您的應用程式及其相依服務包含在雲端應用程式的指派中。
下表列出需要檢閱的原則,其中包含一組 通用身分識別和裝置存取原則中每個原則的連結。
| 保護等級 | 原則 | 描述 |
|---|---|---|
| 起點 | 登入風險為 中 或 高時需要 MFA | 請確定您的雲端應用程式和相依服務包含在應用程式清單中。 |
| 封鎖不支援新式驗證的用戶端 | 在雲端應用程式的指派中包含您的應用程式和相依服務。 | |
| 高風險的用戶必須變更密碼 | 如果偵測到帳戶的高風險活動,強制應用程式使用者變更其密碼。 | |
| 套用APP數據保護原則 | 請確定您的雲端應用程式和相依服務包含在應用程式清單中。 更新每個平台的原則(iOS、Android、Windows)。 | |
| 企業 | 登入風險低、中或高時需要 MFA | 請確定您的雲端應用程式和相依服務包含在應用程式清單中。 |
| 需要符合規範的計算機 和 行動裝置 | 請確定您的雲端應用程式和相依服務包含在應用程式清單中。 | |
| 特製化安全性 | 一律 需要 MFA | 不論使用者身分識別為何,您的組織都會使用 MFA。 |
如需詳細資訊,請參閱 SaaS 應用程式的建議 適用於雲端的 Microsoft Defender 應用程式原則。
後續步驟
繼續進行步驟 2 以建立 適用於雲端的 Defender 應用程式原則。