使用 Microsoft Entra ID 為目錄應用程式部署條件式存取應用程控

  • 發行項

適用於雲端的 Microsoft Defender Apps 中的存取和工作階段控制項會使用來自雲端應用程式類別目錄和自定義應用程式的應用程式。 如需預先上線且現成可用的應用程式清單,請參閱使用 適用於雲端的 Defender Apps 條件式存取應用程控來保護應用程式。

必要條件

  • 您的組織必須具有下列授權,才能使用條件式存取應用程控:

  • 應用程式必須設定為單一登錄

  • 應用程式必須使用下列其中一種驗證通訊協定:

    IdP 通訊協定
    Microsoft Entra ID SAML 2.0 或 OpenID 連線
    其他 SAML 2.0

設定 Microsoft Entra ID 整合

注意

在 Microsoft Entra ID 或其他識別提供者中設定 SSO 的應用程式時,可能列為選擇性的一個字段是登入 URL 設定。 請注意,條件式存取應用程控可能需要此欄位才能運作。

使用下列步驟建立 Microsoft Entra 條件式存取原則,以將應用程式會話路由傳送至 適用於雲端的 Defender Apps。 如需其他 IdP 解決方案,請參閱 設定與其他 IdP 解決方案的整合。

  1. 在 Microsoft Entra 識別符中,流覽至 [安全性>條件式存取]。

  2. 在 [ 條件式存取 ] 窗格的頂端工具列中,選取 [新增原則 -> 建立新原則]。

  3. 在 [新增] 窗格的 [名稱] 文本框中,輸入原則名稱。

  4. 在 [指派],選取 [使用者或工作負載身分識別],並指派要上線的使用者和群組(初始登入和驗證)應用程式。

  5. 在 [指派],選取 [雲端應用程式或動作],然後指派您想要使用條件式存取應用程控來控制的應用程式和動作。

  6. 在 [訪問控制] 底下,選取 [會話],選取 [使用條件式存取應用程控],然後選擇內建原則 (僅監視 [預覽] 或 [封鎖下載] 或 [封鎖下載] 或 [使用自定義原則] 在 [適用於雲端的 Defender Apps] 中設定進階原則,然後選取 [選取]。

    Microsoft Entra 條件式存取頁面的螢幕快照。

  7. 選擇性地新增條件,並視需要授與控件。

  8. 將 [啟用原則] 設定[開啟],然後選取 [建立]。

注意

繼續之前,請務必先註銷現有的會話。

在您建立原則之後,登入該原則中設定的每個應用程式。 確定您以原則中設定的使用者身分登入。

適用於雲端的 Defender 應用程式會針對您登入的每個新應用程式,將您的原則詳細資料同步至其伺服器。 最多可能需要一分鐘。

確認已設定存取和工作階段控制項

上述指示可協助您直接在 Microsoft Entra ID 中建立目錄應用程式的內建 適用於雲端的 Defender Apps 原則。 在此步驟中,確認已針對這些應用程式設定存取和會話控件。

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。

  2. 連線 的應用程式下,選取 [條件式存取應用程控應用程式]。 查看 [ 可用的控件 ] 數據行,並確認 [存取控制 ] 或 [Azure AD 條件式存取] 和 [會話] 控制項 都會針對您的應用程式顯示。

    如果應用程式未啟用會話控件,請選取 [使用會話控件 上線] 並檢查 [將此應用程式與會話控件搭配使用] 來新增它。 例如:

    使用會話控件上線的螢幕快照。

啟用您的應用程式以用於生產環境

當您準備好時,此程式說明如何啟用應用程式以在組織的生產環境中使用。

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。

  2. 連線 的應用程式下,選取 [條件式存取應用程控應用程式]。 在應用程式清單中,在您部署的應用程式出現所在的數據列上,選擇數據列結尾的三個點,然後選擇 [ 編輯應用程式]。

  3. 選取 [ 啟用應用程式以處理會話控件 ],然後選取 [ 儲存]。 例如:

    編輯此應用程式的螢幕快照?對話框。

  4. 首先,登出任何現有的工作階段。 接著,嘗試登入已順利部署的每個應用程式。 使用符合 Microsoft Entra ID 中所設定原則的使用者,或針對使用身分識別提供者設定的 SAML 應用程式登入。

  5. 在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,選取 [活動記錄],並確定已針對每個應用程式擷取登入活動。

  6. 您可以選取 [進階],然後使用 [來源] 等於 [訪問控制] 進行篩選。 例如:

    使用 Microsoft Entra 條件式存取篩選的螢幕快照。

  7. 建議您從受控和非受控裝置登入行動裝置和傳統型應用程式。 這可確保活動記錄正確擷取活動。

    若要確認活動已正確擷取,請選取單一登錄登入活動,讓它開啟活動選單。 確定 [使用者代理程式標籤] 正確反映出裝置是原生用戶端 (表示是行動或傳統型應用程式) 或裝置是受控裝置 (符合規範、已加入網域或有效的用戶端憑證)。

注意

部署之後,您無法從 [條件式存取應用程控] 頁面移除應用程式。 只要您未在應用程式上設定會話或存取原則,條件式存取應用程控將不會變更應用程式的任何行為。

下一步

« 上一頁:條件式存取應用程控簡介

下一步:為任何應用程式部署條件式存取應用程式程式設計控 »

針對存取和會話控件進行疑難解答

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證