適用於 SaaS 應用程式的 Microsoft Defender for Cloud Apps 原則建議
Microsoft Defender for Cloud Apps 建置在 Microsoft Entra 條件式存取原則上,以使用 SaaS 應用程式實時監視和控制細微動作,例如封鎖下載、上傳、複製和貼上和列印。 這項功能會將安全性新增至具有固有風險的會話,例如從非受控裝置或來賓存取公司資源時。
適用於 Cloud Apps 的 Defender 也會原生整合 Microsoft Purview 資訊保護,提供即時內容檢查,以根據敏感性資訊類型和敏感度卷標尋找敏感數據,並採取適當的動作。
本指南包含下列案例的建議:
- 將 SaaS 應用程式帶入 IT 管理
- 調整特定 SaaS 應用程式的保護
- 設定 Microsoft Purview 數據外洩防護 (DLP) 以協助遵守數據保護法規
將 SaaS 應用程式帶入 IT 管理
使用適用於 Cloud Apps 的 Defender 來管理 SaaS 應用程式的第一個步驟是探索這些應用程式,然後將這些應用程式新增至您的 Microsoft Entra 組織。 如果您需要探索方面的協助,請參閱 探索和管理網路中的 SaaS 應用程式。 探索應用程式之後,將它們新增至您的 Microsoft Entra 組織。
您可以執行下列步驟,開始管理這些應用程式:
- 在 Microsoft Entra ID 中,建立新的條件式存取原則,並將其設定為使用 條件式存取應用程控。 此設定會將要求重新導向至適用於 Cloud Apps 的 Defender。 您可以建立一個原則,並將所有 SaaS 應用程式新增至此原則。
- 在適用於 Cloud Apps 的 Defender 中,建立會話原則。 為每個您想要套用的控制項建立一個原則。
SaaS 應用程式的許可權通常是根據企業對應用程式的存取需求。 這些許可權可以是高度動態的。 不論使用者是否已指派給與起點、企業或特製化安全性保護相關聯的 Microsoft Entra 群組,使用適用於 Cloud Apps 的 Defender 原則可確保對應用程式數據的保護。
為了保護您的 SaaS 應用程式集合中的數據,下圖說明所需的 Microsoft Entra 條件式存取原則,以及可在 Defender for Cloud Apps 中建立的建議原則。 在此範例中,在適用於Cloud Apps的Defender中建立的原則會套用至您要管理的所有 SaaS 應用程式。 這些原則的設計目的是根據裝置是否受管理以及已套用至檔案的敏感度標籤來套用適當的控制件。
下表列出您必須在 entra ID Microsoft 中建立的新條件式存取原則:
| 保護層級 | 政策 | 詳細資訊 |
|---|---|---|
| 所有保護層級 | 在適用於 Cloud Apps 的 Defender 中使用條件式存取應用程控 | 設定您的 IdP (Microsoft Entra ID) 與適用於 Cloud Apps 的 Defender 搭配運作。 |
下表列出上一個數據表中可用來保護所有 SaaS 應用程式的範例原則。 請務必評估您的商務、安全性和合規性目標,然後建立原則,為您的環境提供最適當的保護。
| 保護層級 | 政策 |
|---|---|
| 起點 | 監視來自非受控裝置的流量 對於從非受控裝置下載的檔案新增保護 |
| 企業 | 封鎖從非受控裝置下載標示為敏感性或分類的檔案(只導致瀏覽器存取權) |
| 專門安全 | 封鎖從所有裝置下載標示為已分類的檔案(導致僅瀏覽器存取) |
如需設定條件式存取應用程控的端對端指示,請參閱 Microsoft Defender 適用於 Cloud Apps 中的 條件式存取應用程控。 本文將逐步引導您在 Microsoft Entra ID 中建立必要的條件式存取原則,並測試您的 SaaS 應用程式。
如需詳細資訊,請參閱 使用 Microsoft Defender for Cloud Apps 的條件式存取應用程式控制來保護應用程式。
調整特定SaaS應用程式的保護設置
您可能想要將其他監視和控件套用至特定的 SaaS 應用程式,您可以在適用於 Cloud Apps 的 Defender 中執行此動作。 例如,如果您的組織大量使用 Box,則套用更多控件是合理的。 或者,如果您的法律或財務部門使用特定 SaaS 應用程式進行機密商務數據,您可以針對這些應用程式設定額外的保護。
例如,您可以使用下列類型的 內建異常偵測原則範本來保護 Box 環境,:
- 來自匿名IP位址的活動
- 來自罕見國家/地區的活動
- 來自可疑IP位址的活動
- 不可能的旅行
- 由終止使用者執行的活動(需要Microsoft Entra ID 作為 IdP)
- 惡意代碼偵測
- 多次失敗的登入嘗試
- 勒索軟體活動
- 具風險的 OAuth 應用程式
- 不尋常的檔案共享活動
異常偵測原則範本會定期新增。 如需如何將更多保護套用至特定應用程式的範例,請參閱 Connect 應用程式,以透過 Microsoft Defender for Cloud Apps取得可見度和控制。
Microsoft Defender for Cloud Apps 如何協助保護您的 Box 環境 展示了可協助您在包含敏感數據的 Box 和其他應用程式中保護商務數據的控件類型。
設定 DLP 以協助遵守數據保護法規
適用於 Cloud Apps 的 Defender 是設定合規性法規保護的重要工具。 您可以建立特定原則來尋找受管制的數據,並設定每個原則採取適當的動作。
下圖和表格提供數個原則範例,您可以設定這些原則來協助遵守一般數據保護規定 (GDPR)。 根據數據的敏感度,每個原則都會設定為採取適當的動作。
| 保護層級 | 範例原則 |
|---|---|
| 起點 | 當包含 信用卡號碼 敏感性資訊類型的檔案在組織外部共享時發出警示。 封鎖將包含 信用卡號碼 敏感性資訊類型的檔案下載到非受控裝置。 |
| 企業 | 保護包含 信用卡號碼的檔案下載, 受控裝置的敏感性信息類型。 封鎖將包含 信用卡號碼 敏感性資訊類型的檔案下載到非受控裝置。 將具有其中一個標籤的檔案上傳至 OneDrive 或 Box 時發出警示:客戶數據、人力資源:薪資數據或 人力資源、員工數據。 |
| 專業化安全 | 當具有 高度分類 標籤的檔案下載到受管理的裝置時發出警示。 封鎖將標籤為 高度分類 的檔案下載到非受控裝置。 |
後續步驟
如需有關 Microsoft Defender for Cloud Apps 的詳細資訊,請參閱 Microsoft Defender for Cloud Apps 文件。