適用於雲端的 Microsoft Defender Apps 中的存取原則

發行項
01/23/2024

適用於雲端的 Microsoft Defender 應用程式存取原則可讓您根據使用者、位置、裝置和應用程式，即時監視和控制雲端應用程式的存取。您可以建立任何裝置的存取原則，包括不是 Microsoft Entra 混合式聯結的裝置，以及不受 Microsoft Intune 管理的裝置，方法是將客戶端憑證推出至受管理的裝置或使用現有的憑證，例如第三方 MDM 憑證。例如，您可以將客戶端憑證部署至受管理的裝置，然後封鎖沒有憑證的裝置存取。

注意

使用工作階段原則可以在允許存取的同時，監視工作階段及/或限制特定的工作階段活動，而不是完全允許或完全封鎖存取。
您為主應用程式建立的原則與任何相關資源應用程式之間沒有連線。例如，您為 Teams、Exchange 或 Gmail 建立的存取原則未連線到 Sharepoint、OneDrive 或 Google Drive。如果您需要資源應用程式的原則，以及主機應用程式，請建立個別的原則。

使用存取原則的必要條件

Microsoft Entra ID P1 授權，或識別提供者（IdP）解決方案所需的授權
相關的應用程式應該要部署條件式存取應用程式控制
請確定您已將 IdP 解決方案設定為使用適用於雲端的 Defender Apps，如下所示：
- 如需 Microsoft Entra 條件式存取，請參閱設定與 Microsoft Entra 識別碼的整合
- 如需其他 IdP 解決方案，請參閱設定與其他 IdP 解決方案的整合

建立適用於雲端的 Defender 應用程式存取原則

若要建立新的存取原則，請遵循此程序︰

在 Microsoft Defender 入口網站的 [Cloud Apps] 下，移至 [原則 -> 原則管理]。 然後選取 [ 條件式存取 ] 索引標籤。
選取 [ 建立原則 ]，然後選取 [ 存取原則]。
在 [存取原則] 視窗中指派原則名稱，例如「封鎖不受控裝置的存取」。
在 符合下列 所有區段的活動中，選取要套用至原則的其他活動篩選。篩選包括下列選項：
- 裝置標記：用以篩選識別受管理的裝置。
- 位置：用以篩選識別不明 (所以有風險) 的位置。
- IP 位址：使用此篩選來篩選每個IP位址，或使用先前指派的IP位址標籤。
- 使用者代理程式標記：用以篩選啟用啟發學習法，以識別行動裝置及桌面應用程式。此篩選條件可以設定為等於或不相等。針對每個雲端應用程式，應對您的行動應用程式和傳統型應用程式測試數值。
在 [動作] 下方，選取下列其中一個選項：
- 測試：設定此動作以根據您明確設定的原則篩選來允許存取。
- 封鎖：根據您明確設定的原則篩選，設定此動作以封鎖存取。
您可以使用 原則嚴重性為每個相符事件建立警示、設定警示限制，然後選取是否要警示做為電子郵件、簡訊或兩者。