使用 Microsoft Entra ID 为目录应用部署条件访问应用控制

Microsoft Defender for Cloud Apps 中的访问和会话控制可用于云应用目录中的应用程序以及自定义应用程序。有关预载入和开箱即用的应用列表，请参阅使用 Defender for Cloud Apps 条件访问应用控制保护应用。

先决条件

组织必须具有以下许可证才能使用条件访问应用控制：
- Microsoft Entra ID P1 或更高版本
- Microsoft Defender for Cloud Apps
应用必须配置单一登录
应用必须使用以下身份验证协议中的一个：

IdP 协议

Microsoft Entra ID SAML 2.0 或 OpenID Connect

其他 SAML 2.0

IdP	协议
Microsoft Entra ID	SAML 2.0 或 OpenID Connect
其他	SAML 2.0

注意

在 Microsoft Entra ID 或其他标识提供者中使用 SSO 配置应用程序时，登录 URL 设置是可能列为可选字段的一个字段。请注意，条件访问应用控制可能需要此字段才能起作用。

使用以下步骤创建 Microsoft Entra 条件访问策略，以将应用会话路由到 Defender for Cloud Apps。有关其他 IdP 解决方案，请参阅通过其他 IdP 解决方案配置集成。

在 Microsoft Entra ID 中，浏览到“安全”>“条件访问”。
在“条件访问”窗格顶部的工具栏中，单击“新建策略”-“>创建新策略”。
在“新建”窗格中的“名称”文本框中，输入策略名称。
在分配下，选择用户或工作负载标识，并分配将要加入应用（初始登录和验证）的用户和组。
在分配下，选择云应用或操作，并使用条件访问应用控制分配要控制的应用和操作。
在访问控制下，选择会话，选择使用条件访问应用控制，然后选择内置策略（仅监视（预览版）或阻止下载（预览版））或使用自定义策略在 Defender for Cloud Apps 中设置高级策略，然后选择选择。
（可选）根据需要添加条件和授予控制措施。
将“启用策略”设置为“启用”，然后选择“创建”。

注意

继续之前，请确保先注销现有会话。

创建策略后，登录到使用该策略配置的每个应用。请确保使用策略中配置的用户进行登录。

Defender for Cloud Apps 会针对登录的每个新应用将策略详细信息同步至服务器。这可能需要一分钟时间。

上述说明帮助你直接在 Microsoft Entra ID 中为目录应用创建内置的 Defender for Cloud Apps 策略。在此步骤中，验证是否为这些应用配置了访问和会话控制。

在 Microsoft Defender 门户中，选择“设置”。然后选择“云应用”。
在“连接的应用”下，选择“条件访问应用控制应用”。查看可用控件列并验证是否同时显示针对应用的会话控制和访问控制 或 Azure AD 条件访问。

如果应用未启用会话控制，请选择使用会话控制载入并选中将此应用与会话控制配合使用来添加它。例如：

准备就绪后，此过程介绍如何启用应用以便在组织的生产环境中使用。

在 Microsoft Defender 门户中，选择“设置”。然后选择“云应用”。
在“连接的应用”下，选择“条件访问应用控制应用”。在应用列表中，选择要部署应用所在行末尾的三个点，然后选择“编辑应用”。
选择让应用程序在会话控制中运行，然后选择保存。例如：
首先注销任何现有会话。然后尝试登录到已成功部署的每个应用。使用与 Microsoft Entra ID 中配置的策略匹配的用户登录，或者使用标识提供者配置的 SAML 应用登录。
在 Microsoft Defender 门户中的“云应用”下，选择“活动日志”，并确保为每个应用捕获登录活动。
通过选择“高级”，然后使用“源等于访问控件”进行筛选。例如：
我们建议从受管理设备和非管理的设备分别登录到移动和桌面应用。这是为了确保活动日志能够正确捕获活动。

要验证是否正确捕获了活动，请选择单一登录的登录活动，以打开活动抽屉。确保“用户代理标记”正确反映设备是本机客户端（即移动或桌面应用）还是受管理设备（符合、域加入或有效的客户端证书）。