Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Microsoft Defender for Cloud Apps zasady dostępu korzystają z kontroli aplikacji dostępu warunkowego, aby zapewnić monitorowanie w czasie rzeczywistym i kontrolę nad dostępem do aplikacji w chmurze. Zasady dostępu kontrolują dostęp na podstawie użytkownika, lokalizacji, urządzenia i aplikacji i są obsługiwane dla każdego urządzenia.
Zasady utworzone dla aplikacji hosta nie są połączone z żadnymi powiązanymi aplikacjami zasobów. Na przykład zasady dostępu tworzone dla aplikacji Teams, Exchange lub Gmail nie są połączone z programem SharePoint, oneDrive ani dyskami Google. Jeśli oprócz aplikacji hosta potrzebujesz zasad dla aplikacji zasobów, utwórz oddzielne zasady.
Porada
Jeśli wolisz ogólnie zezwalać na dostęp podczas monitorowania sesji lub ograniczać określone działania sesji, zamiast tego utwórz zasady sesji. Aby uzyskać więcej informacji, zobacz Zasady sesji.
Wymagania wstępne
Przed rozpoczęciem upewnij się, że masz następujące wymagania wstępne:
Licencja Defender for Cloud Apps, licencja autonomiczna lub w ramach innej licencji
Licencja dla Tożsamość Microsoft Entra P1 jako licencja autonomiczna lub jako część innej licencji
Jeśli używasz dostawcy tożsamości innej niż Microsoft, licencja wymagana przez dostawcę tożsamości (IdP)
Zasady dostępu warunkowego Tożsamość Microsoft Entra skonfigurowane dla Microsoft Defender for Cloud Apps (kontrola aplikacji dostępu warunkowego). Te zasady tworzą uprawnienia wymagane do kontrolowania ruchu. Aby uzyskać więcej informacji, zobacz: Automatyczne dołączanie aplikacji Tożsamość Microsoft Entra do kontroli dostępu warunkowego aplikacji (wersja zapoznawcza)
Odpowiednie aplikacje dołączone do kontroli aplikacji dostępu warunkowego. Tożsamość Microsoft Entra aplikacje są automatycznie dołączane, a aplikacje innych niż Microsoft IdP muszą być dołączane ręcznie.
Jeśli pracujesz z innym niż Microsoft IdP, upewnij się, że skonfigurowano również adres IdP do pracy z Microsoft Defender for Cloud Apps. Więcej informacji można znaleźć w następujących artykułach:
Przykład: tworzenie zasad dostępu warunkowego Tożsamość Microsoft Entra do użytku z Defender for Cloud Apps
Ta procedura zawiera ogólny przykład tworzenia zasad dostępu warunkowego do użycia z Defender for Cloud Apps.
- Zaloguj się do centrum administracyjne Microsoft Entra co najmniej jako administrator dostępu warunkowego.
- Przejdź do pozycjiEntra ID Conditional Access Policies (Zasadydostępu> warunkowego identyfikatora> Entra).
- Wybierz pozycję Nowe zasady.
- Nadaj zasadom nazwę. Zalecamy, aby organizacje utworzyły zrozumiały standard nazw swoich zasad.
- W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
- W obszarze Uwzględnij wybierz pozycję Wszyscy użytkownicy
- W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta z dostępem awaryjnym lub dostępem awaryjnym w organizacji.
- W obszarze Zasoby>docelowe (dawniej aplikacje w chmurze) wybierz następujące opcje:
- W obszarze Uwzględnij wybierz pozycję Wybierz zasoby.
- Wybierz aplikacje klienckie, które chcesz uwzględnić w zasadach.
- W obszarze Warunki wybierz wszystkie warunki, które chcesz uwzględnić w zasadach.
- W obszarze Sesja kontroli> dostępu wybierz pozycję Użyj ograniczeń wymuszonych przez aplikację, a następnie wybierz pozycję Wybierz.
- Potwierdź ustawienia i ustaw opcję Włącz zasady na wartość Tylko raport.
- Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.
Po potwierdzeniu ustawień przy użyciu wpływu zasad lub trybu tylko do raportu przenieś przełącznik Włącz zasady z pozycji Tylko raport do pozycji Włączone.
Aby uzyskać więcej informacji, zobacz Zasady dostępu warunkowego i Tworzenie zasad dostępu warunkowego.
Uwaga
Microsoft Defender for Cloud Apps korzysta z Microsoft Defender for Cloud Apps aplikacji — kontrolek sesji w ramach usługi kontroli aplikacji dostępu warunkowego na potrzeby logowania użytkownika. Ta aplikacja znajduje się w sekcji "Aplikacje dla przedsiębiorstw" identyfikatora Entra. Aby chronić aplikacje SaaS za pomocą kontrolek sesji, musisz zezwolić na dostęp do tej aplikacji.
Jeśli masz jakiekolwiek zasady dostępu warunkowego z opcją "Blokuj dostęp" wybraną w kontrolce "Udziel dostępu" w ramach zasad dostępu Tożsamość Microsoft Entra dostępu warunkowego ograniczonych do tej aplikacji, użytkownicy końcowi nie będą mogli uzyskiwać dostępu do chronionych aplikacji w ramach kontroli sesji.
Ważne jest, aby upewnić się, że ta aplikacja nie jest przypadkowo ograniczona przez żadne zasady dostępu warunkowego. W przypadku zasad ograniczających wszystkie lub niektóre aplikacje upewnij się, że ta aplikacja jest wymieniona jako wyjątek w zasobach docelowych lub upewnij się, że zasady blokowania są zamierzone.
Aby zapewnić poprawne działanie zasad dostępu warunkowego opartego na lokalizacji, uwzględnij w tych zasadach aplikację Microsoft Defender for Cloud Apps — Session Controls.
Tworzenie zasad dostępu Defender for Cloud Apps
W tej procedurze opisano sposób tworzenia nowych zasad dostępu w Defender for Cloud Apps.
W Microsoft Defender XDR wybierz kartę Dostęp warunkowy zarządzania > zasadami usługi > Cloud Apps>.
Wybierz pozycję Utwórz zasady>Zasady dostępu. Przykład:
Na stronie Tworzenie zasad dostępu wprowadź następujące podstawowe informacje:
Name (Nazwa) Opis Nazwa zasad Znacząca nazwa zasad, na przykład Blokuj dostęp z urządzeń niezarządzanych Ważność zasad Wybierz ważność, którą chcesz zastosować do zasad. Kategoria Zachowaj wartość domyślną kontroli dostępu Opis Wprowadź opcjonalny, zrozumiały opis zasad, aby ułatwić zespołowi zrozumienie ich przeznaczenia. W obszarze Działania pasujące do wszystkich następujących obszarów wybierz dodatkowe filtry działań, które mają zostać zastosowane do zasad. Filtry obejmują następujące opcje:
Name (Nazwa) Opis Aplikacja Filtry dla określonej aplikacji do uwzględnienia w zasadach. Wybierz aplikacje, wybierając najpierw, czy korzystają z funkcji automatycznego dołączania Azure AD, aplikacji Tożsamość Microsoft Entra, czy dołączania ręcznego dla aplikacji innych niż Microsoft IdP. Następnie wybierz aplikację, którą chcesz uwzględnić w filtrze z listy.
Jeśli na liście brakuje aplikacji innej niż Microsoft IdP, upewnij się, że została ona w pełni dołączona. Więcej informacji można znaleźć w następujących artykułach:
- Dołączanie aplikacji wykazu innych niż Microsoft IdP na potrzeby kontroli aplikacji dostępu warunkowego
- Dołączanie niestandardowych aplikacji innych niż Microsoft IdP na potrzeby kontroli aplikacji dostępu warunkowego
Jeśli nie chcesz używać filtru Aplikacji , zasady mają zastosowanie do wszystkich aplikacji oznaczonych jako Włączone na stronie Ustawienia > Aplikacje połączone aplikacje >> w chmurze — dostęp warunkowy — aplikacje kontroli aplikacji .
Uwaga: mogą wystąpić pewne nakładanie się dołączanych aplikacji i aplikacji, które wymagają ręcznego dołączania. W przypadku konfliktu w filtrze między aplikacjami pierwszeństwo mają ręcznie dołączone aplikacje.Aplikacja kliencka Filtruj pod kątem przeglądarek lub aplikacji mobilnych/klasycznych. Urządzenie Filtruj pod kątem tagów urządzeń, takich jak dla określonej metody zarządzania urządzeniami lub typów urządzeń, takich jak komputer, urządzenie przenośne lub tablet. Adres IP Filtruj według adresu IP lub użyj wcześniej przypisanych tagów adresów IP. Lokalizacji Filtruj według lokalizacji geograficznej. Brak jasno zdefiniowanej lokalizacji może identyfikować ryzykowne działania. Zarejestrowany usługodawca sieciowy Filtruj pod kątem działań pochodzących od określonego usługodawcy isp. Użytkownik Filtruj dla określonego użytkownika lub grupy użytkowników. Ciąg agenta użytkownika Filtruj pod kątem określonego ciągu agenta użytkownika. Tag agenta użytkownika Filtruj pod kątem tagów agenta użytkownika, takich jak nieaktualne przeglądarki lub systemy operacyjne. Przykład:
Wybierz pozycję Edytuj i wyświetl podgląd wyników , aby uzyskać podgląd typów działań, które zostaną zwrócone wraz z bieżącym wyborem.
W obszarze Akcje wybierz jedną z następujących opcji:
Inspekcja: ustaw tę akcję, aby zezwolić na dostęp zgodnie z ustawionymi jawnie filtrami zasad.
Blokuj: ustaw tę akcję, aby blokować dostęp zgodnie z ustawionymi jawnie filtrami zasad.
W obszarze Alerty skonfiguruj dowolną z następujących akcji w razie potrzeby:
- Tworzenie alertu dla każdego pasującego zdarzenia o ważności zasad
- Wysyłanie alertu jako wiadomości e-mail
- Dzienny limit alertów dla zasad
- Wysyłanie alertów do usługi Power Automate
Po zakończeniu wybierz pozycję Utwórz.
Testowanie zasad
Po utworzeniu zasad dostępu przetestuj je, ponownie uwierzytelniając się w każdej aplikacji skonfigurowanej w zasadach. Sprawdź, czy środowisko aplikacji jest zgodnie z oczekiwaniami, a następnie sprawdź dzienniki aktywności.
Zaleca:
- Utwórz zasady dla utworzonego użytkownika specjalnie na potrzeby testowania.
- Wyloguj się ze wszystkich istniejących sesji przed ponownym uwierzytelnieniem w aplikacjach.
- Zaloguj się do aplikacji mobilnych i klasycznych z urządzeń zarządzanych i niezarządzanych, aby upewnić się, że działania są w pełni przechwytywane w dzienniku aktywności.
Pamiętaj, aby zalogować się przy użyciu użytkownika zgodnego z zasadami.
Aby przetestować zasady w aplikacji:
- Odwiedź wszystkie strony w aplikacji, które są częścią procesu roboczego użytkownika, i sprawdź, czy strony są prawidłowo renderowane.
- Sprawdź, czy na zachowanie i funkcjonalność aplikacji nie ma negatywnego wpływu wykonywanie typowych akcji, takich jak pobieranie i przekazywanie plików.
- Jeśli pracujesz z niestandardowymi aplikacjami innych niż Microsoft IdP, sprawdź wszystkie domeny dodane ręcznie dla aplikacji.
Aby sprawdzić dzienniki aktywności:
W Microsoft Defender XDR wybierz pozycję Dziennik aktywności aplikacji > w chmurze i sprawdź działania logowania przechwycone dla każdego kroku. Możesz chcieć filtrować, wybierając pozycję Filtry zaawansowane i filtrowanie dla pozycji Źródło jest równe kontroli dostępu.
Działania logowania jednokrotnego to zdarzenia kontroli aplikacji dostępu warunkowego.
Wybierz działanie, które chcesz rozwinąć, aby uzyskać więcej szczegółów. Sprawdź, czy tag Agent użytkownika prawidłowo odzwierciedla, czy urządzenie jest wbudowanym klientem, aplikacją mobilną lub klasyczną, czy urządzenie jest urządzeniem zarządzanym zgodnym i przyłączonym do domeny.
Jeśli wystąpią błędy lub problemy, użyj paska narzędzi Administracja Wyświetl, aby zebrać zasoby, takie jak .Har pliki i zarejestrowane sesje, a następnie złożyć bilet pomocy technicznej.
Tworzenie zasad dostępu dla urządzeń zarządzanych przez tożsamość
Użyj certyfikatów klienta, aby kontrolować dostęp do urządzeń, które nie są przyłączone Microsoft Entra hybrydowo i nie są zarządzane przez Microsoft Intune. Wdróż nowe certyfikaty na urządzeniach zarządzanych lub użyj istniejących certyfikatów, takich jak certyfikaty MDM innych firm. Na przykład można wdrożyć certyfikat klienta na urządzeniach zarządzanych, a następnie zablokować dostęp z urządzeń bez certyfikatu.
Aby uzyskać więcej informacji, zobacz Identity managed devices with Conditional Access app control (Urządzenia zarządzane tożsamościami z kontrolą aplikacji dostępu warunkowego).
Zawartość pokrewna
Więcej informacji można znaleźć w następujących artykułach:
- Rozwiązywanie problemów z kontrolkami dostępu i sesji
- Samouczek: blokowanie pobierania informacji poufnych za pomocą kontroli aplikacji dostępu warunkowego
- Blokowanie pobierania na urządzeniach niezarządzanych przy użyciu kontrolek sesji
- Seminarium internetowe dotyczące kontroli dostępu warunkowego
Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej