在 Microsoft Defender for Cloud Apps 中访问策略
Microsoft Defender for Cloud Apps 访问策略会基于用户、位置、设备和应用,启用对云应用的访问的实时监视和控制。 你可以通过将客户端证书推广到受管理设备,或使用现有证书(例如第三方 MDM 证书),为任何设备(包括未混合联接 Microsoft Entra 且不受 Microsoft Intune 管理的设备)创建访问策略。 例如,可以将客户端证书部署到受管理设备,然后阻止来自不具备证书的设备的访问。
注意
- 使用会话策略不能完全允许或阻止访问,但可在监视会话时允许访问和/或限制特定会话活动。
- 为主机应用创建的策略与其他相关资源应用之间没有关联。 例如,为 Teams、Exchange 或 Gmail 创建的访问策略不会影响 Sharepoint、OneDrive 或 Google Drive。 如果需要为主机应用外的资源应用的设置策略,请单独创建。
使用访问策略的先决条件
- Microsoft Entra ID P1 许可证,或标识提供者 (IdP) 解决方案要求的许可证
- 相关应用应使用条件访问应用控制进行部署
- 确认已将 IdP 解决方案配置为使用 Defender for Cloud Apps,如下所示:
- 有关 Microsoft Entra 条件访问,请参阅配置与 Microsoft Entra ID 的集成
- 有关其他 IdP 解决方案,请参阅配置与其他 IdP 解决方案的集成
创建 Defender for Cloud Apps 访问策略
若要新建访问策略,请执行以下步骤:
在 Microsoft Defender 门户的“云应用”下,转到“策略”->“策略管理”。 然后选择“条件访问”选项卡。
选择“创建策略”,然后选择“访问策略”。
在“访问策略”窗口中,为策略分配一个名称,如“阻止来自非管理的设备的访问”。
在“与以下所有内容匹配的活动”部分中,选择要应用于策略其他活动筛选器。 筛选器包括以下选项:
设备标记:使用此筛选器标识非管理的设备。
位置:使用此筛选器标识未知(因此有危险的)位置。
“IP 地址”:使用此筛选器按每个 IP 地址筛选或使用以前分配的 IP 地址标记。
用户代理标记:使用此筛选器启用启发模式来标识移动和桌面应用。 可将此筛选器设置为等于或不等于。 应在每个云应用的移动和桌面应用上测试值。
在“操作”下,选择以下项之一:
“测试”:根据已显示设置的策略筛选器,将此操作设置为允许访问。
“阻止”:根据已显示设置策略筛选器,将此操作设置为阻止访问。
你可以为与策略的严重性匹配的每个事件创建一个警报并设置警报限制,选择是否通过电子邮件和/或短信接收警报。
相关视频
后续步骤
另请参阅
如果遇到任何问题,我们可随时提供帮助。 要获取产品问题的帮助或支持,请开立支持票证。