本文說明如何啟用 Microsoft Defender for Cloud Apps 應用程式治理。
注意事項
預設情況下,美國政府環境中的 Microsoft Defender for Cloud Apps 實例無法連接 Azure 商業資源,且符合 FedRAMP 規範。 不過,App Governance 並未獲得 FedRAMP 認證。 App Governance 只會在美國的安全地點儲存和處理資料,且這些資料僅允許經核准的 Microsoft 員工存取。
必要條件
開始前,請確認你符合以下先決條件:
Microsoft Defender for Cloud Apps 必須在您的帳戶中作為獨立產品或各種授權套件的一部分存在。
如果你還不是 Defender for Cloud Apps 的用戶,可以註冊免費試用。
你必須擁有 適當的職務 之一來開啟應用程式治理並存取它。
您的組織帳單地址必須位於新加坡、波蘭、義大利、卡達、以色列、西班牙、墨西哥和台灣 以外的 地區。
重要事項
連接 Microsoft 365 連接器,即可在 Microsoft Defender 全面偵測回應進階狩獵刀中,了解 OAuth 應用程式存取的活動與特定資源。 這將提升你調查並回應應用程式治理產生的特定威脅偵測政策警示的能力。
學習如何 連接 Microsoft 365 連接器。
開啟應用程式治理
如果您的組織符合先決條件,請到 Microsoft Defender 全面偵測回應>設定 > 雲端應用程式 > App 治理,並選擇使用應用程式治理。 例如:
註冊應用程式治理後,您需要等待最多 10 小時才能看到並使用該產品。
如果你在設定頁面看不到應用程式治理選項,可能是因為以下一個或多個原因:
- 你所在地區尚未支援應用程式治理。
- 目前因容量限制無法為您服務。
您可以加入候補名單並提供同意,這樣當我們應用程式治理開放時,我們能自動為您組織啟用應用程式治理。 當我們啟用應用程式治理時,會透過電子郵件通知你。
例如:
授權
應用程式治理適用於持有有效 Defender for Cloud Apps 授權的組織。 欲了解更多資訊,請參閱 Microsoft 365 授權資料表。
角色
你必須至少具備以下一項角色才能啟用應用程式治理:
公司管理員
安全性系統管理員
合規管理員
合規資料管理員
雲端應用程式安全管理員
注意事項
Cloud App Security 管理員角色會授予 Microsoft Defender for Cloud Apps 開啟應用程式治理的權限。 然而,這個職位並不賦予查看或管理應用程式治理能力的權限。 要檢視或管理應用程式治理能力,你也必須具備下表中列出的其他角色之一。
下表列出每個角色的應用程式治理能力。
| 角色 | 讀取儀表板 | 讀取所有應用程式 | 讀取原則 | 建立、更新或刪除原則 | 讀取警示 | 更新警示 | 讀取設定 | 更新設定 | 讀取補救 | 更新補救 |
|---|---|---|---|---|---|---|---|---|---|---|
| 公司或全球管理者 |
|
|
|
|
|
|
|
|
|
|
| 合規性系統管理員 |
|
|
|
|
|
|
|
|
|
|
| 合規性資料系統管理員 |
|
|
|
|
|
|
|
|
|
|
| 全球讀者 |
|
|
|
|
|
|||||
| 安全性系統管理員 |
|
|
|
|
|
|
|
|
|
|
| 安全性操作員 |
|
|
|
|
|
|
|
|
|
|
| 安全性讀取者 |
|
|
|
|
|
|
關於每個角色的更多資訊,請參閱 管理員角色權限。
重要事項
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
注意事項
應用程式治理警示不會流向 Microsoft Defender 全面偵測回應,也不會出現在應用治理中,除非你至少透過存取 Defender for Cloud Apps 和 Microsoft Defender 全面偵測回應各自的入口網站。