使用條件式存取應用程式控制保護您的資料和應用程式
Cloud Discovery 可協助了解之後雲端環境中所發生的情況。 雖然此程序很重要,但是您的主要目標是在組織面臨風險之前,即時阻止入侵和外洩。 您也需要一種方法,讓使用者攜帶自己的裝置來工作,同時仍保護貴組織避免資料外洩和資料竊取。 Microsoft Defender for Cloud Apps 與身分識別提供者 (IdP) 整合,透過條件式存取應用程式控制使用存取和工作階段控制來保護您的資料和裝置。 如果您使用 Microsoft Entra ID 作為 IdP,這些控件會直接整合到適用於雲端應用程式的 Defender 中。
條件式存取應用程式控制可讓您即時監視和控制使用者應用程式存取和工作階段。 藉由與 Microsoft Entra 條件式存取整合,您可以輕鬆地設定應用程式以使用條件式存取應用程控。 可讓您根據條件式存取的任何條件,選擇性地對組織的應用程式強制執行存取和工作階段控制。 您可以使用條件來定義誰 (使用者或使用者群組)、哪些項目 (哪些雲端應用程式) 以及位置 (哪些位置和網路) 會套用條件式存取原則。 判斷條件之後,您可以將使用者路由至 Defender for Cloud Apps,在其中您可以藉由套用存取和工作階段控制,使用條件式存取應用程式控制來保護資料。
Microsoft Entra ID 包含您可以設定的內建原則,以方便部署。 在 Microsoft Entra ID 中設定條件式存取原則的條件之後,請選取 [訪問控制] 下的 [會話],然後按兩下 [使用條件式存取應用程控]。 如果您選擇 [使用自訂控制項],您將會在 Defender for Cloud Apps 入口網站中加以定義。
您可以在 Defender for Cloud Apps 入口網站中使用存取和工作階段原則,進一步精簡篩選,並設定要對使用者採取的動作。 使用存取和工作階段原則,您可以:
- 防止資料外流:封鎖在未受管理的裝置上下載、剪下、複製及列印敏感性文件。
- 在下載時保護:您可以要求其使用 Azure 資訊保護來加上標籤和保護,而不是封鎖敏感性文件的下載。 此動作可確保文件受到保護,而且使用者存取權會在有潛在風險的工作階段中受到限制。
- 防止上傳未加上標籤的檔案:強制使用標籤。 在其他人上傳、發佈及使用敏感性檔案之前,請務必確定檔案具有正確的標籤和保護。 您可以封鎖檔案上傳,直到內容分類為止。
- 監視使用者工作階段的合規性:在有風險的使用者登入應用程式時監視使用者,並且從工作階段內記錄其動作。 您可以調查並分析使用者行為,以了解未來在什麼條件下於哪裡套用工作階段原則。
- 封鎖存取:您可以根據數個風險因素封鎖特定應用程式和使用者的存取權。 例如,如果使用者使用用戶端憑證作為裝置管理的形式,您可以封鎖使用者。
- 封鎖自訂活動:某些應用程式具有會帶有風險的唯一案例;例如,在 Microsoft Teams 或 Slack 等應用程式中傳送含敏感性內容的郵件。 在這類情況下,您可以掃描郵件中的敏感性內容,並且即時封鎖。
例如,讓我們在 Microsoft Teams 中建立工作階段原則,以封鎖包含敏感性內容的 IM 訊息。 假設我們先前已使用在 [使用條件式存取應用程式控制] 底下所設定的 [使用自訂控制項] 來建立條件式存取原則,我們會從在 Microsoft Defender for Cloud Apps 中建立新工作階段原則開始。
我們會針對新的工作階段原則使用現有範本。 選取根據即時內容檢查來阻止傳送郵件原則範本。
在工作階段原則的 [活動來源] 底下,選取 [傳送 Teams 訊息] 作為應用程式。
然後啟用 [內容檢查],您會在這裡將敏感性資訊定義為符合現用運算式、自訂運算式或任何規則運算式。 定義運算式時,選取 [動作] 底下的 [封鎖],並建立警示以通知系統管理員。
現在,當使用者嘗試在 Teams 中傳送敏感性訊息時,會看到通知。