使用 Azure AD 為類別目錄應用程式部署條件式存取應用程式控制

注意

  • 我們已重新命名Microsoft Cloud App Security。 現在稱為Microsoft Defender for Cloud Apps。 在接下來的幾周內,我們將更新這裡和相關頁面中的螢幕擷取畫面和指示。 如需變更的詳細資訊,請參閱 此公告。 若要深入瞭解 Microsoft 安全性服務的最新重新命名,請參閱 Microsoft Ignite 安全性部落格

  • Microsoft Defender for Cloud Apps現在是Microsoft 365 Defender的一部分。 Microsoft 365 Defender入口網站可讓安全性系統管理員在一個位置執行其安全性工作。 這可簡化工作流程,並新增其他Microsoft 365 Defender服務的功能。 Microsoft 365 Defender是監視和管理 Microsoft 身分識別、資料、裝置、應用程式和基礎結構安全性的首頁。 如需這些變更的詳細資訊,請參閱Microsoft 365 Defender 中的Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps中的存取和會話控制項會使用來自雲端應用程式類別目錄和自訂應用程式的應用程式。 如需預先上線且現成可用的應用程式清單,請參閱使用 適用於雲端的 Defender Apps 條件式存取應用程式控制保護應用程式

必要條件

  • 您的組織必須具有下列授權,才能使用條件式存取應用程式控制:

  • 應用程式必須設定為單一登入

  • 應用程式必須使用下列其中一種驗證通訊協定:

    IdP 通訊協定
    Azure AD SAML 2.0 或 OpenID Connect
    其他 SAML 2.0

部署目錄應用程式

請遵循下列步驟,設定Microsoft Defender for Cloud Apps條件式存取應用程式控制來控制目錄應用程式。

步驟 1:設定 Azure AD 以使用 適用於雲端的 Defender Apps

步驟 2: 使用範圍限定于原則的使用者登入每個應用程式

步驟 3: 確認應用程式已設定為使用存取和會話控制項

步驟 4: 啟用應用程式以在組織中使用

步驟 5: 測試部署

步驟 1:設定 Azure AD 以使用 適用於雲端的 Defender Apps

設定與 Azure AD 的整合

注意

在 Azure AD 或其他識別提供者中設定具有 SSO 的應用程式時,可能會列為選擇性的一個欄位是登入 URL 設定。 請注意,條件式存取應用程式控制可能需要此欄位才能運作。

使用下列步驟建立 Azure AD 條件式存取原則,以將應用程式會話路由傳送至 適用於雲端的 Defender Apps。 如需其他 IdP 解決方案,請參閱 設定與其他 IdP 解決方案的整合

  1. 在 Azure AD 中,流覽至[安全性>條件式存取]。

  2. 在 [條件式存取] 窗格的頂端工具列中,選取 [新增原則- >建立新原則]。

  3. 在 [ 新增 ] 窗格的 [ 名稱] 文字方塊中,輸入原則名稱。

  4. [指派]底下,選取 [使用者或工作負載身分識別 ],並指派將上線 (初始登入和驗證的使用者和群組,) 應用程式。

  5. [指派]底下,選取 [ 雲端應用程式或動作 ],然後指派您想要使用條件式存取應用程式控制來控制的應用程式和動作。

  6. [存取控制] 下,選取 [會話],選取[使用條件式存取應用程式控制],然後選擇內建原則 ([僅監視 () 預覽) 或封鎖下載 (預覽) ],或使用自訂原則在 適用於雲端的 Defender Apps 中設定進階原則,然後選取 [選取]。

    Azure AD conditional access.

  7. 選擇性地新增條件,並視需要授與控制項。

  8. [啟用原則] 設定為 [開啟 ],然後選取 [ 建立]。

步驟 2:使用範圍限定于原則的使用者登入每個應用程式

注意

繼續之前,請務必先登出現有的會話。

在您建立原則之後,登入該原則中設定的每個應用程式。 確定您以原則中設定的使用者身分登入。

適用於雲端的 Defender應用程式會將原則詳細資料與您登入的每個新應用程式同步處理至其伺服器。 最多可能需要一分鐘。

步驟 3:確認應用程式已設定為使用存取和會話控制項

上述指示可協助您直接在 Azure AD 中為類別目錄應用程式建立內建的 適用於雲端的 Defender Apps 原則。 在此步驟中,確認已針對這些應用程式設定存取和會話控制項。

  1. 適用於雲端的 Defender Apps 入口網站中,選取設定齒輪 settings icon. ,然後選取 [條件式存取應用程式控制]。

  2. 在 [條件式存取應用程式控制應用程式] 資料表中,查看 [可用的控制項 ] 資料行,並確認 [ 存取控制 ] 或 [Azure AD 條件式存取] 和 [ 會話] 控制項 都會針對您的應用程式顯示。

    注意

    如果應用程式未顯示會話控制項,該控制項尚未可供該特定應用程式使用。 您可以立即將其新增為 自訂應用程式,或按一下 [ 要求會話控制項] 來開啟要求以將其新增為目錄應用程式。

    Conditional access app control request.

步驟 4:啟用應用程式以在組織中使用

準備好讓應用程式在組織的生產環境中使用之後,請執行下列步驟。

  1. 在 適用於雲端的 Defender Apps 中,選取設定齒輪 settings icon. ,然後選取 [條件式存取應用程式控制]。

  2. 在應用程式清單中,在您部署的應用程式出現所在的資料列上,選擇資料列結尾的三個點,然後選擇 [ 編輯應用程式]。

  3. 選取 [搭配條件式存取應用程式控制使用 ],然後選取 [ 儲存]。

    Enable session controls pop-up.

步驟 5:測試部署

  1. 首先,登出任何現有的工作階段。 接著,嘗試登入已順利部署的每個應用程式。 使用符合 Azure AD 中設定之原則的使用者登入,或針對使用識別提供者設定的 SAML 應用程式登入。

  2. [適用於雲端的 Defender應用程式] 入口網站的[調查] 底下,選取 [活動記錄],並確定每個應用程式都會擷取登入活動。

  3. 篩選的方法是按一下 [進階],然後使用 [來源等於存取控制]

    Filter using Azure AD conditional access.

  4. 建議您從受控和非受控裝置登入行動及傳統型應用程式。 這可確保活動記錄正確擷取活動。
    若要確認活動已正確擷取,請選取單一登入登入活動,讓它開啟活動選單。 確定 [使用者代理程式標籤] 正確反映出裝置是原生用戶端 (表示是行動或傳統型應用程式) 或裝置是受控裝置 (符合規範、已加入網域或有效的用戶端憑證)。

注意

部署之後,您無法從 [條件式存取應用程式控制] 頁面移除應用程式。 只要您未在應用程式上設定工作階段或存取原則,「條件式存取應用程式控制」就不會變更應用程式的任何行為。

下一步

若您遇到任何問題,我們隨時提供協助。 若要取得產品問題的協助或支援,請建立支援票證