適用於雲端的 Microsoft Defender Apps 中的存取原則
適用於雲端的 Microsoft Defender 應用程式存取原則可讓您根據使用者、位置、裝置和應用程式,即時監視和控制雲端應用程式的存取。 您可以建立任何裝置的存取原則,包括不是 Microsoft Entra 混合式聯結的裝置,以及不受 Microsoft Intune 管理的裝置,方法是將客戶端憑證推出至受管理的裝置或使用現有的憑證,例如第三方 MDM 憑證。 例如,您可以將客戶端憑證部署至受管理的裝置,然後封鎖沒有憑證的裝置存取。
注意
- 使用工作階段原則可以在允許存取的同時,監視工作階段及/或限制特定的工作階段活動,而不是完全允許或完全封鎖存取。
- 您為主應用程式建立的原則與任何相關資源應用程式之間沒有連線。 例如,您為 Teams、Exchange 或 Gmail 建立的存取原則未連線到 Sharepoint、OneDrive 或 Google Drive。 如果您需要資源應用程式的原則,以及主機應用程式,請建立個別的原則。
使用存取原則的必要條件
- Microsoft Entra ID P1 授權,或識別提供者 (IdP) 解決方案所需的授權
- 相關的應用程式應該要部署條件式存取應用程式控制
- 請確定您已將 IdP 解決方案設定為使用 適用於雲端的 Defender Apps,如下所示:
- 如需 Microsoft Entra 條件式存取,請參閱 設定與 Microsoft Entra 識別碼的整合
- 如需其他 IdP 解決方案,請參閱 設定與其他 IdP 解決方案的整合
建立 適用於雲端的 Defender 應用程式存取原則
若要建立新的存取原則,請遵循此程序︰
在 Microsoft Defender 入口網站的 [Cloud Apps] 下,移至 [原則 -> 原則管理]。 然後選取 [ 條件式存取 ] 索引標籤。
選取 [ 建立原則 ],然後選取 [ 存取原則]。
在 [存取原則] 視窗中指派原則名稱,例如「封鎖不受控裝置的存取」。
在 符合下列 所有區段的活動中,選取要套用至原則的其他活動篩選。 篩選包括下列選項:
裝置標記:用以篩選識別受管理的裝置。
位置:用以篩選識別不明 (所以有風險) 的位置。
IP 位址:使用此篩選來篩選每個IP位址,或使用先前指派的IP位址標籤。
使用者代理程式標記:用以篩選啟用啟發學習法,以識別行動裝置及桌面應用程式。 此篩選條件可以設定為等於或不相等。 針對每個雲端應用程式,應對您的行動應用程式和傳統型應用程式測試數值。
在 [動作] 下方,選取下列其中一個選項:
測試:設定此動作以根據您明確設定的原則篩選來允許存取。
封鎖:根據您明確設定的原則篩選,設定此動作以封鎖存取。
您可以使用 原則嚴重性為每個相符事件建立警示、設定警示限制,然後選取是否要警示做為電子郵件、簡訊或兩者。
相關影片
下一步
另請參閱
如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證。