通过

创建Microsoft Defender for Cloud Apps访问策略

  • 项目

Microsoft Defender for Cloud Apps访问策略使用条件访问应用控制来提供对云应用的访问的实时监视和控制。 访问策略基于用户、位置、设备和应用控制访问权限,并且支持任何设备。

为主机应用创建的策略未连接到任何相关的资源应用。 例如,为 Teams、Exchange 或 Gmail 创建的访问策略未连接到 SharePoint、OneDrive 或 Google Drive。 如果除主机应用外还需要资源应用的策略,请创建单独的策略。

提示

如果希望在监视会话或限制特定会话活动时通常允许访问,请改为创建会话策略。 有关详细信息,请参阅 会话策略

先决条件

在开始之前,请确保满足以下先决条件:

  • Defender for Cloud Apps许可证,可以是独立许可证,也可以是另一个许可证的一部分。

  • Microsoft Entra ID P1 的许可证,作为独立许可证或其他许可证的一部分。

  • 如果使用非Microsoft IdP,则标识提供者所需的许可证 (IdP) 解决方案。

  • 载入到条件访问应用控制的相关应用。 Microsoft Entra ID应用会自动载入,而非Microsoft IdP 应用必须手动载入。

    如果使用的是非Microsoft IdP,请确保还已将 IdP 配置为使用 Microsoft Defender for Cloud Apps。 有关更多信息,请参阅:

为了使访问策略正常工作,还必须具有Microsoft Entra ID条件访问策略,该策略创建用于控制流量的权限。

示例:创建Microsoft Entra ID条件访问策略以用于Defender for Cloud Apps

此过程提供有关如何创建条件访问策略以用于Defender for Cloud Apps的高级示例。

  1. 在“Microsoft Entra ID条件访问”中,选择“创建新策略”。

  2. 为策略输入有意义的名称,然后选择 “会话 ”下的链接以向策略添加控件。

  3. “会话” 区域中,选择“ 使用条件访问应用控制”。

  4. “用户” 区域中,选择以仅包括所有用户或特定用户和组。

  5. “条件 ”和 “客户端应用” 区域中,选择要包含在策略中的条件和客户端应用。

  6. 通过将“ 仅报告” 切换为“ 打开”,然后选择“ 创建”来保存策略。

Microsoft Entra ID支持基于浏览器和非基于浏览器的策略。 建议创建这两种类型以增加安全覆盖范围。

重复此过程以创建基于非浏览程序的条件访问策略。 在 “客户端应用” 区域中,将 “配置” 选项切换为 “是”。 然后,在“ 新式身份验证客户端”下,清除 “浏览器 ”选项。 将所有其他默认选择保留为选中状态。

注意:企业应用程序“Microsoft Defender for Cloud Apps - 会话控件”由条件访问应用控制服务在内部使用。 请确保 CA 策略不会限制对 目标资源中此应用程序的访问。

有关详细信息,请参阅 条件访问策略构建条件访问策略

创建Defender for Cloud Apps访问策略

此过程介绍如何在 Defender for Cloud Apps 中创建新的访问策略。

  1. 在“Microsoft Defender XDR”中,选择“云应用>策略>策略管理>条件访问”选项卡。

  2. 选择 “创建策略>访问策略”。 例如:

    创建条件访问策略。

  3. “创建访问策略 ”页上,输入以下基本信息:

    名称 说明
    策略名称 策略的有意义的名称,例如 阻止来自非托管设备的访问
    策略严重性 选择要应用于策略的严重性。
    类别 保留访问控制的默认值
    说明 输入策略的可选且有意义的说明,以帮助团队了解其用途。

  4. “与以下所有项匹配的活动 ”区域中,选择要应用于策略的其他活动筛选器。 筛选器包括以下选项:

    名称 说明
    应用 要包含在策略中的特定应用的筛选器。 选择应用,方法是首先选择对Microsoft Entra ID应用使用自动 Azure AD 载入,还是对非Microsoft IdP 应用使用手动载入。 然后,从列表中选择要包含在筛选器中的应用。

    如果列表中缺少非Microsoft IdP 应用,请确保已将其完全载入。 有关更多信息,请参阅:
    - 载入用于条件访问应用控制的非Microsoft IdP 目录应用
    - 为条件访问应用控制载入非Microsoft IdP 自定义应用

    如果选择不使用应用筛选器,该策略将应用于“设置云应用>连接>应用条件访问应用控制应用”>页上标记为“已启用”的所有应用程序。

    注意:你可能会看到已加入的应用与需要手动载入的应用之间存在一些重叠。 如果应用之间的筛选器发生冲突,则手动载入的应用优先。
    客户端应用 筛选浏览器或移动/桌面应用。
    设备 筛选设备标记(例如特定设备管理方法)或设备类型(如电脑、移动设备或平板电脑)。
    IP 地址 按 IP 地址进行筛选或使用以前分配的 IP 地址标记。
    Location 按地理位置筛选。 如果没有明确定义的位置,可能会识别有风险的活动。
    已注册的 ISP 筛选来自特定 ISP 的活动。
    用户 筛选特定用户或用户组。
    用户代理字符串 筛选特定用户代理字符串。
    用户代理标记 筛选用户代理标记,例如针对过时的浏览器或操作系统。

    例如:

    创建访问策略时的示例筛选器的屏幕截图。

    选择 “编辑并预览结果 ”,获取将随当前所选内容一起返回的活动类型的预览。

  5. “操作” 区域中,选择以下选项之一:

    • 审核:将此操作设置为根据显式设置的策略筛选器允许访问。

    • 阻止:根据显式设置的策略筛选器,将此操作设置为阻止访问。

  6. “警报” 区域中,根据需要配置以下任何操作:

    • 为每个具有策略严重性的匹配事件创建警报
    • 通过电子邮件发送警报
    • 每个策略的每日警报限制
    • 向 Power Automate 发送警报

  7. 完成操作后,选择“创建”。

测试策略

创建访问策略后,通过对策略中配置的每个应用重新进行身份验证来测试该策略。 验证应用体验是否按预期运行,然后检查活动日志。

我们建议你:

  • 为专门为测试而创建的用户创建策略。
  • 在对应用重新进行身份验证之前,请注销所有现有会话。
  • 从托管和非托管设备登录到移动应用和桌面应用,以确保活动日志中完全捕获活动。

请确保使用与策略匹配的用户登录。

若要在应用中测试策略,请执行以下操作

  • 访问应用内属于用户工作流程的所有页面,并验证页面是否正确呈现。
  • 验证应用的行为和功能是否不受执行常见操作(例如下载和上传文件)的不利影响。
  • 如果你使用的是自定义的非Microsoft IdP 应用,检查你为应用手动添加的每个域。

若要检查活动日志,请执行以下操作

  1. 在“Microsoft Defender XDR”中,选择“云应用>活动日志”,并为每个步骤捕获的登录活动检查。 你可能希望通过选择“ 高级筛选器 ”进行筛选,并为 “源等于访问控制”进行筛选。

    单一登录登录 活动是条件访问应用控制事件。

  2. 选择要展开的活动以获取更多详细信息。 检查 用户代理 标记是否正确反映了设备是内置客户端、移动或桌面应用,还是设备是合规且已加入域的托管设备。

如果遇到错误或问题,请使用“管理员视图”工具栏收集文件和录制的会话等.Har资源,然后提交支持票证。

为标识管理的设备创建访问策略

使用客户端证书控制未Microsoft Entra混合联接且不受Microsoft Intune管理的设备的访问权限。 向托管设备推出新证书,或使用现有证书,例如第三方 MDM 证书。 例如,你可能希望将客户端证书部署到托管设备,然后阻止从没有证书的设备进行访问。

有关详细信息,请参阅 使用条件访问应用控制标识托管设备

相关内容

有关更多信息,请参阅:

如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证