步驟 2：建立 適用於雲端的 Defender 應用程式原則

SaaS 應用程式在確保應用程式和資源可供使用且可從任何具有因特網連線的裝置存取時扮演重要角色。 不過，某些應用程式可能會造成安全性風險，且若未發現及管理，可能會對貴組織造成重大損害。 您必須能夠看見組織中所使用的應用程式，才能保護您的敏感數據和資源。

適用於雲端的 Microsoft Defender Apps 可讓您透過對敏感數據的完整可見度、稽核和細微控制來控制。 適用於雲端的 Defender Apps 有工具可協助您找出影子 IT 並評估風險，同時讓您強制執行原則並調查應用程式活動。 它可協助您即時控制存取並阻止威脅，讓您的組織能更安全地移至雲端。

本文提供如何：

• 探索雲端應用程式
• 制裁雲端應用程式
• 設定條件式存取應用程控
• 使用應用程式連接器
• 套用工作階段控制項

如果您尚未設定 適用於雲端的 Defender Apps，請參閱評估 適用於雲端的 Microsoft Defender 應用程式。

探索雲端應用程式

若無法查看組織中使用的應用程式，您將無法正確管理及控制使用者使用應用程式的方式，以及應用程式存取敏感數據和資源的方式。

適用於雲端的 Defender Apps 具有稱為 Cloud Discovery 的功能，可針對超過 31,000 個雲端應用程式的 適用於雲端的 Microsoft Defender Apps 目錄分析您的流量記錄。 應用程式會根據90多個風險因素進行排名和評分，並提供您持續瞭解雲端應用程式使用、影子IT，以及未知和非受控應用程式所造成的風險。

下圖顯示雲端應用程式探索的元件，以及用來監視網路流量的兩種方法，以及探索組織中所使用的雲端應用程式

在此圖表中：

• 方法 1：Cloud App Discovery 與 適用於端點的 Microsoft Defender 整合，其會報告從 IT 管理的 Windows 10 和 Windows 11 裝置存取的雲端應用程式和服務。
• 方法 2：針對連線到網路之所有裝置的涵蓋範圍，安裝在防火牆上的 適用於雲端的 Defender Apps 記錄收集器，Proxy 會收集並傳送來自端點的數據至 適用於雲端的 Defender Apps 進行分析。

使用下列指引，利用 適用於雲端的 Defender Apps 中的內建功能來探索組織中的應用程式：

• 設定 Cloud Discovery
• 探索和識別影子IT

批准您的應用程式

檢閱環境中探索到的應用程式清單之後，您可以核准安全的應用程式（已獲批准）或禁止垃圾應用程式來保護環境。

如需詳細資訊，請參閱 制裁/取消批准應用程式。

設定條件式存取應用程控來保護應用程式

條件式存取原則可讓您將控件和需求指派給特定應用程式、動作或驗證條件。 您可以定義哪些使用者或使用者群組可以存取您的雲端應用程式、他們可以存取哪些雲端應用程式，以及用戶必須從哪些位置和網路產生其存取權。 如需詳細資訊，請參閱 此解決方案的步驟 1 。

搭配條件式存取原則，您可以使用條件式存取應用程控套用存取和會話控件，進一步提高雲端應用程式的安全性。 透過 適用於雲端的 Defender Apps 中的條件式存取應用程控功能，使用者應用程式存取和工作階段會根據存取和工作階段原則即時監視和控制。 使用 適用於雲端的 Defender Apps 入口網站設定的存取和會話原則，可讓您進一步精簡篩選，並設定使用者可以執行的動作。

適用於雲端的 Microsoft Defender 應用程式以原生方式與 Microsoft Entra 整合。 當您在 Microsoft Entra 中設定原則以使用條件式存取應用程控時，雲端應用程式流量會透過 適用於雲端的 Defender Apps 路由傳送為 Proxy，讓 適用於雲端的 Defender 應用程式監視此流量並套用會話控件。

下圖顯示雲端應用程式流量如何透過 Microsoft Entra 和 適用於雲端的 Defender Apps 路由傳送。

在此圖表中：

• Microsoft Entra 具有指定和整合 SaaS 應用程式流量的條件式存取應用程控原則。 Microsoft Entra ID 接著會透過 適用於雲端的 Defender Apps 指示會話流量。
• 適用於雲端的 Defender 應用程式會監視此流量，並套用會話控制原則。

條件式存取會指定使用者存取應用程式之前必須滿足的需求。 條件式存取應用程控會指定使用者可以存取哪些應用程式，以及用戶獲授與存取權之後，用戶可以在會話期間採取的一組動作。

如需詳細資訊，請參閱

• 使用適用於雲端的 Microsoft Defender 應用程式條件式存取應用程式控制來保護應用程式
• 整合 Microsoft Entra ID 與條件式存取應用程控

使用應用程式連接器

應用程式連線程式 會使用應用程式提供者的 API，藉由 適用於雲端的 Defender 應用程式對組織中所使用的應用程式啟用更高的可見度和控制。 視您要連線的應用程式而定，應用程式聯機會啟用下列專案：

• 帳戶資訊 - 能查看使用者、帳戶、設定檔資訊、狀態 (已擱置、使用中、已停用) 群組，以及權限。
• 稽核記錄 - 查看使用者活動、系統管理員活動和登入活動。
• 帳戶控管 - 能夠暫停使用者、撤銷密碼和其他功能。
• 應用程式權限 -能看見發行的權杖與其權限。
• 應用程式權限治理 - 移除權限的能力。
• 數據掃描 - 使用兩個進程定期（每 12 小時）和實時掃描非結構化數據（每次偵測到變更時觸發）。
• 數據控管 - 能夠隔離檔案，包括垃圾箱中的檔案，以及覆寫檔案。

如需詳細資訊，請參閱 連線 應用程式。

適用於雲端的 Defender Apps 針對使用雲端到雲端整合的連線應用程式提供端對端保護， API 連接器，以及運用條件式應用程式訪問控制的即時存取和會話控件。

套用工作階段控制項

會話控件可讓您將參數套用至貴組織如何使用雲端應用程式。 例如，如果您的組織使用 Salesforce，您可以設定會話原則，只允許已註冊和管理的裝置存取組織的 Salesforce 數據。 更簡單的範例是設定原則來監視來自非受控裝置的流量，因此您可以在套用更嚴格的原則之前分析此流量的風險。

適用於雲端的 Defender Apps 檔包含下列系列教學課程，可協助您探索風險並保護您的環境：

• 偵測可疑的用戶活動
• 調查有風險的使用者
• 調查有風險的 OAuth 應用程式
• 探索和保護敏感性資訊
• 即時保護組織中的任何應用程式
• 禁止下載機密資訊
• 使用系統管理隔離保護您的檔案
• 需要有風險動作的逐步驗證

後續步驟

繼續進行 步驟 3 ，以部署 SaaS 應用程式的資訊保護。