快速入門:使用 Microsoft Defender for Cloud Apps 進行開始

注意

  • 我們已重新命名Microsoft Cloud App Security。 現在稱為Microsoft Defender for Cloud Apps。 在接下來的幾周內,我們將更新這裡和相關頁面中的螢幕擷取畫面和指示。 如需變更的詳細資訊,請參閱 此公告。 若要深入瞭解 Microsoft 安全性服務的最新重新命名,請參閱 Microsoft Ignite 安全性部落格

  • Microsoft Defender for Cloud Apps現在是Microsoft 365 Defender的一部分。 Microsoft 365 Defender入口網站可讓安全性系統管理員在一個位置執行其安全性工作。 這可簡化工作流程,並新增其他Microsoft 365 Defender服務的功能。 Microsoft 365 Defender是監視和管理 Microsoft 身分識別、資料、裝置、應用程式和基礎結構安全性的首頁。 如需這些變更的詳細資訊,請參閱Microsoft 365 Defender 中的Microsoft Defender for Cloud Apps

本快速入門提供使用 適用於雲端的 Defender Apps 啟動和執行的步驟。 Microsoft Defender for Cloud Apps可協助您利用雲端應用程式的優點,同時維持公司資源的控制權。 其運作方式是改善雲端活動的可見度,並協助提升公司資料的保護。 在本文中,我們會逐步引導您完成設定和使用Microsoft Defender for Cloud Apps的步驟。

必要條件

  • 為了讓貴組織符合授權Microsoft Defender for Cloud Apps,您必須取得受Microsoft Defender for Cloud Apps保護之每個使用者的授權。 如需定價詳細資料,請參閱適用於雲端的 Defender Apps 授權資料工作表

    如需租用戶啟用支援,請參閱連絡商務產品客戶支援的方式 - 系統管理說明

    注意

    Microsoft Defender for Cloud Apps是安全性工具,因此不需要Office 365生產力套件授權。 如需僅適用于Office 365) 的Office 365 雲端 App 安全性 (Microsoft Defender for Cloud Apps,請參閱Office 365 雲端 App 安全性授權

  • 取得 適用於雲端的 Defender Apps 的授權之後,您會收到一封電子郵件,其中包含啟用資訊和適用於雲端的 Defender Apps 入口網站的連結。

  • 若要設定 適用於雲端的 Defender Apps,您必須是全域管理員或Azure Active Directory或Office 365的安全性系統管理員。 請務必了解,獲指派系統管理員角色的使用者在您組織訂閱的所有雲端應用程式中都有相同權限。 無論您是在 Microsoft 365 系統管理中心或 Azure 傳統入口網站中指派角色,或是使用適用於 Windows PowerShell \(部分機器翻譯\) 的 Azure AD 模組來指派角色,都是如此。 如需詳細資訊,請參閱指派系統管理員角色 \(機器翻譯\) 與指派 Azure Active Directory 中的系統管理員角色

  • 若要執行 適用於雲端的 Defender Apps 入口網站,請使用 Internet Explorer 11、Microsoft Edge (最新) 、Google Chrome (最新) 、Mozilla Firefox (最新的) ,或 Apple Safari (最新的) 。

存取入口網站

若要存取 適用於雲端的 Defender Apps 入口網站,請移至 https://portal.cloudappsecurity.com 。 您也可以透過 Microsoft 365 系統管理中心 存取入口網站,如下所示:

  1. Microsoft 365 系統管理中心的側邊功能表中,選取 [全部顯示],然後選取 [安全性]。

    Access from Microsoft 365 admin center.

  2. 在 [Microsoft 365 Defender] 頁面中,選取[更多資源],然後選取[適用於雲端的 Defender應用程式]。

    Select Defender for Cloud Apps.

步驟 1: 為您的應用程式設定立即可見度、保護及治理動作

必要工作:連線應用程式

  1. 從設定齒輪中,選取 [應用程式連接器]。
  2. 選取加號 (+) 以新增應用程式並選取應用程式。
  3. 請遵循設定步驟來連結應用程式。

為什麼要連線應用程式? 連結應用程式之後,您可以取得更深的可見度,讓您可以調查您雲端環境中應用程式的活動、檔案與帳戶。

步驟 2: 使用 DLP 原則保護敏感性資訊

建議的工作:啟用檔案監視和建立檔案原則

  1. 移至[設定],然後在[資訊保護] 底下,選取 [檔案]。
  2. 選取 [啟用檔案監視 ],然後選取 [ 儲存]。
  3. 如果您使用來自Microsoft Purview 資訊保護的敏感度標籤,請在[資訊保護] 底下選取[Microsoft Purview 資訊保護]。
  4. 選取必要的設定,然後選取 [ 儲存]。
  5. 步驟 3中,建立符合組織需求的 檔案原則

提示

您可以流覽至[調查> 檔案],以檢視已連線應用程式的檔案

移轉建議
建議您搭配您目前的 Cloud Access Security Broker (CASB) 解決方案,使用 適用於雲端的 Defender Apps 敏感性資訊保護。 首先,將您想要保護的應用程式連線到Microsoft Defender for Cloud Apps。 由於 API 連接器使用頻外連線能力,因此不會發生衝突。 然後,逐漸將原則從您目前的 CASB 解決方案移轉至 適用於雲端的 Defender Apps。

注意

對於協力廠商應用程式,請確認目前的負載未超過應用程式允許的 API 呼叫數目上限。

步驟 3: 使用原則來控制雲端應用程式

必要工作:建立原則

建立原則

  1. 移至 [控制]>[範本]。
  2. 從清單中選取原則範本,然後選擇 (+) [建立原則]。
  3. 自訂原則 (選取篩選、動作與其他設定),然後選擇 [建立]。
  4. 在 [原則] 索引標籤上,選擇原則以查看相關的相符項目 (活動、檔案、警示)。

提示

為每個風險類別建立原則,以涵蓋雲端環境的所有安全性案例。

原則對組織有何幫助?

您可以使用原則來協助您監視趨勢、查看安全性威脅,以及產生自訂報表與警示。 有了原則,您就可以建立治理動作,以及設定資料外洩防護與檔案共用控制措施。

步驟 4: 設定 Cloud Discovery

必要工作:啟用 適用於雲端的 Defender Apps 以檢視雲端應用程式使用

  1. 與適用於端點的 Microsoft Defender整合,以自動啟用適用於雲端的 Defender應用程式,以監視公司內外的Windows 10和Windows 11裝置。

  2. 如果您使用Zscaler,請將它與 適用於雲端的 Defender Apps 整合。

  3. 若要達到完整的涵蓋範圍,請建立連續 Cloud Discovery 報表

    1. 從設定齒輪中,選取 [Cloud Discovery 設定]。
    2. 選擇 [自動記錄上傳]。
    3. 在 [資料來源] 索引標籤上,新增您的來源。
    4. 在 [記錄收集器] 索引標籤上,設定記錄收集器。

移轉建議
建議您搭配您目前的 CASB 解決方案平行使用 適用於雲端的 Defender Apps 探索。 首先,設定自動防火牆記錄上傳至 適用於雲端的 Defender Apps記錄收集器。 如果您使用適用于端點的 Defender,請在 Microsoft 365 Defender 中,確定您開啟將訊號轉送至 適用於雲端的 Defender Apps 的選項。 設定 Cloud Discovery 不會與目前 CASB 解決方案的記錄收集衝突。

建立 Cloud Discovery 報告快照

移至 [探索]>[快照報告] 並遵循所示的步驟。

為什麼要設定 Cloud Discovery 報告?

在您的組織中掌握影子 IT 的可見度非常重要。 分析記錄之後,您可以輕鬆地找出哪些雲端應用程式為使用中、由哪些人使用,以及在哪些裝置上使用。

步驟 5。 為類別應用程式部署條件式存取應用程式控制

建議的工作:為目錄應用程式部署條件式存取應用程式控制

  1. 將您的 IdP 設定為使用 適用於雲端的 Defender Apps。 如果您有 Azure AD,您可以利用內嵌控制項,例如 [僅限監視 ] 和 [ 封鎖下載 ],而此控制項適用于現成可用的任何類別目錄應用程式。
  2. 將應用程式上線至存取和會話控制項。
    1. 從設定齒輪中,選取 [條件式存取應用程式控制]。
    2. 使用範圍設定為原則的使用者登入每個應用程式
    3. 重新整理 條件式存取應用程式控制 頁面,並檢視應用程式。
  3. 驗證應用程式是否設定為使用存取和工作階段控制項

若要為自訂企業營運應用程式、非精選 SaaS 應用程式和內部部署應用程式設定會話控制項,請參閱 為任何應用程式上線和部署條件式存取應用程式控制

移轉建議
與另一個 CASB 解決方案平行使用條件式存取應用程式控制可能會導致應用程式進行兩次代理,導致延遲或其他錯誤。 因此,建議您在適用於雲端的 Defender應用程式中逐漸將應用程式和原則移轉至條件式存取應用程式控制,並在適用於雲端的 Defender應用程式中建立相關的會話或存取原則。

步驟 6. 您的體驗個人化

建議的工作:新增您的組織詳細資料

輸入電子郵件設定

  1. 從設定齒輪中,選取 [郵件設定]。
  2. 在 [電子郵件寄件者身分識別] 下,輸入您的電子郵件地址與顯示名稱。
  3. 在 [電子郵件設計] 下,上傳您組織的電子郵件範本。

設定管理通知

  1. 在導覽列中,選擇您的使用者名稱,然後移至 [使用者設定]。
  2. 在 [通知] 下,設定針對系統通知您想要設定的方法。
  3. 選擇 [儲存]。

自訂分數計量

  1. 從設定齒輪中,選取 [Cloud Discovery 設定]。
  2. 從設定齒輪中,選取 [Cloud Discovery 設定]。
  3. 在 [分數計量] 下,設定各種風險值的重要性。
  4. 選擇 [儲存]。

現在,對探索到的應用程式所提供的風險分數,已根據您的組織需求與優先順序精確地設定。

為什麼要將您的環境個人化?

當某些功能已根據您的需求進行自訂時,其效果最佳。 使用您自己的電子郵件範本,為您的使用者提供更好的體驗。 決定您會收到哪些通知,並自訂風險分數計量,以符合組織的喜好。

步驟 7: 根據您的需求整理資料

建議的工作:設定重要設定

建立 IP 位址標記

  1. 從設定齒輪中,選取 [Cloud Discovery 設定]。

  2. 從設定齒輪選取 [IP 位址範圍]。

  3. 按一下加號 ( + ) 以新增 IP 位址範圍。

  4. 輸入 IP 範圍詳細資料位置標籤類別

  5. 選擇 [建立]

    現在您可以在建立原則時,以及在篩選和建立連續報告時使用 IP 標籤。

建立連續報告

  1. 從設定齒輪、[Cloud Discovery 設定]。
  2. 在 [連續報告] 下,選擇 [建立報表]。
  3. 遵循設定步驟。
  4. 選擇 [建立]

現在,您可以根據自己的喜好 (例如業務單位或 IP 範圍) 來檢視探索到的資料。

新增網域

  1. 從設定齒輪中,選取 [設定]。
  2. 在 [組織詳細資料] 下,新增組織的內部網域。
  3. 選擇 [儲存]。

為什麼要進行這些設定?

這些設定可讓您更有效地控制主控台中的功能。 若使用 IP 標籤,您可以更輕鬆地建立符合您需求的原則、正確地篩選資料等等。 使用資料檢視,將您的資料分組成邏輯類別。

下一步

若您遇到任何問題,我們隨時提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證