與適用於端點的 Microsoft Defender的Microsoft Defender for Cloud Apps整合提供了無縫的影子 IT 可見性和控制解決方案。 我們的整合可讓 Defender for Cloud Apps 系統管理員封鎖使用者存取雲端應用程式,方法是原生整合 適用於Cloud Apps 的 適用於端點的 Microsoft Defender 的網路保護。 或者,系統管理員可以採取更溫和的方法,在使用者存取有風險的雲端應用程式時警告使用者。
Defender for Cloud Apps 會使用內建的 [未核准] 應用程式標籤,將雲端應用程式標示為禁止使用,可在 Cloud Discovery 和 [雲端應用程式目錄] 頁面中使用。 藉由啟用與適用於端點的 Defender 整合,您可以在 Defender for Cloud Apps 中按一下,即可順暢地封鎖對未核准應用程式的存取。
在 Defender for Cloud Apps 中標示為 未核准 的應用程式會自動同步處理至適用於端點的 Defender。 更具體地說,這些未經批准的應用程式所使用的網域會傳播到端點裝置,以在網路保護 SLA 內由 Microsoft Defender 防病毒軟體封鎖。
注意事項
透過適用於端點的 Defender 封鎖應用程式的時間延遲最多為三小時,從您在 Defender for Cloud Apps 中將應用程式標示為未核准的那一刻起,到應用程式在裝置中遭到封鎖。 這是因為 Defender for Cloud Apps 核准/未核准的應用程式最多需要一小時同步處理至適用於端點的 Defender,而且最多需要兩小時將原則推送至裝置,以便在適用於端點的 Defender 中建立指標後封鎖應用程式。
必要條件
下列其中一個授權:
- Defender for Cloud Apps + 端點
- Microsoft 365 E5
Microsoft Defender 防病毒軟件。 如需詳細資訊,請參閱:
下列其中一個支援的作業系統:
- Windows:Windows 版本 10 18.09 (RS5) OS Build 1776.3、11 及更高版本
- Android:最低版本 8.0:如需詳細資訊,請參閱:Android 上的適用於端點的 適用於端點的 Microsoft Defender
- iOS:最低版本 14.0:如需詳細資訊,請參閱:iOS 上的適用於端點的 Microsoft Defender
- macOS:最低版本 11:如需詳細資訊,請參閱: macOS 的網路保護
- Linux 系統需求:如需詳細資訊,請參閱: Linux 的網路保護
適用於端點的 Microsoft Defender 已上線。 如需詳細資訊,請參閱使用適用於端點的 Defender for Cloud Apps 上線。
在 Defender for Cloud Apps 中進行變更的系統管理員存取權。 如需詳細資訊,請參閱 管理管理員存取權。
使用適用於端點的 Defender 啟用雲端應用程式封鎖
使用下列步驟來啟用雲端應用程式的存取控制:
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。 在 [Cloud Discovery] 底下,選取 [適用於端點的 適用於端點的 Microsoft Defender],然後選取 [強制執行應用程式存取]。
注意事項
此設定最多可能需要 30 分鐘才能生效。
在 Microsoft Defender 全面偵測回應 中,移至 [設定>] [端點]> 進階功能,然後選取 [自定義網路指標]。 如需網路指標的相關資訊,請參閱 建立 IP 和 URL/網域的指標。
這可讓您利用 Microsoft Defender 防病毒軟體網路保護功能,手動將應用程式標籤指派給特定應用程式,或自動使用應用程式探索原則,封鎖使用 Defender for Cloud Apps 存取一組預先定義的 URL。
在存取封鎖的應用程式時教育使用者 & 自訂封鎖頁面
管理員現在可以設定和內嵌封鎖頁面的支援/說明 URL。 透過此設定,管理員可以在使用者存取封鎖的應用程式時對其進行教育。 系統會提示使用者指向公司頁面的自訂重新導向連結,列出封鎖使用的應用程式,以及要遵循的必要步驟,以確保封鎖頁面上的例外狀況。 終端使用者在封鎖頁面上按一下「造訪支援頁面」時,將被重新導向至管理員設定的此URL。
Defender for Cloud Apps 會使用內建的 [未核准] 應用程式標籤,將雲端應用程式標示為已封鎖以供使用。 此標籤可在 Cloud Discovery 和 Cloud App 目錄 頁面上使用。 藉由啟用與適用於端點的 Defender 整合,您可以順暢地教育使用者瞭解封鎖的應用程式,以及在 Defender for Cloud Apps 中按一下即可保護例外狀況的步驟。
標示為 未核准的 應用程式會自動同步處理至適用於端點的 Defender 自訂 URL 指標,通常會在幾分鐘內完成。 更具體地說,封鎖的應用程式所使用的網域會傳播至端點裝置,以在網路保護 SLA 內由 Microsoft Defender 防病毒軟體提供訊息。
設定封鎖頁面的自訂重新導向 URL
使用下列步驟來設定指向公司網頁或 SharePoint 連結的自定義說明/支援 URL,您可以在其中教育員工為何被封鎖存取應用程式,並提供步驟清單來保護例外狀況或共用公司存取原則,以遵守組織的風險接受度。
在 Microsoft Defender 入口網站中,選取 [設定>] [Cloud AppsCloud Discovery>] [>適用於端點的 Microsoft Defender]。
在 [警示] 下拉式清單中,選取 [資訊]。
在「封鎖應用程式的使用者警告通知 URL」>底下,輸入您的 URL。 例如:
封鎖特定裝置群組的應用程式
若要封鎖特定裝置群組的使用,請執行下列步驟:
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。 然後在 Cloud 探索 底下,選取 [應用程式標籤] ,然後移至 [範圍設定檔 ] 索引標籤。
選取 [新增設定檔]。 設定檔會設定封鎖/解除封鎖應用程式範圍的實體。
提供描述性設定檔名稱和描述。
選擇設定檔應是 包含 或 排除 設定檔。
包含:只有包含的實體集會受到存取強制執行的影響。 例如,設定檔 myContoso 具有裝置群組 A 和 B 的 [包含] 。使用設定檔 myContoso 封鎖應用程式 Y,只會封鎖群組 A 和 B 的應用程式存取。
排除:排除的實體集不會受到存取強制執行的影響。 例如,設定檔 myContoso 的裝置群組 A 和 B 具有 [排除] 。使用設定檔 myContoso 封鎖應用程式 Y,會封鎖整個組織的應用程式存取,但群組 A 和 B 除外。
選取設定檔的相關裝置群組。 列出的裝置群組是從適用於端點的 Microsoft Defender提取的。 如需詳細資訊,請參閱 建立裝置群組。
選取 [儲存]。
若要封鎖應用程式,請執行下列步驟:
在 Microsoft Defender 入口網站的 [雲端應用程式] 底下,移至 Cloud Discovery,然後移至 [探索到的應用程式] 索引標籤。
選擇應該阻止的應用程序。
將應用程式標記為 未批准。
若要封鎖組織中的所有裝置,請在 [ 標籤為未核准?] 對話方塊中,選取 [ 儲存]。 若要封鎖組織中的特定裝置群組,請選取 [選取設定檔] 以 包含或排除封鎖的群組。 然後選擇要封鎖應用程式的設定檔,然後選取 [儲存]。
只有當您的租用戶已封鎖已啟用適用於端點的 Defender 的雲端應用程式,且您具有系統管理員存取權來進行變更時,才會出現 [標記為未核准?] 對話方塊。
注意事項
- 強制執行功能是以適用於端點的 Defender 的自定義 URL 指標為基礎。
- 在此功能發行之前,在適用於雲端的 Defender Apps 所建立的指標上手動設定的任何組織範圍,都會由 Defender for Cloud Apps 覆寫。 必要的範圍應該使用範圍設定檔體驗,從適用於 Defender for Cloud Apps 的體驗來設定。
- 若要從未核准的應用程式中移除選取的範圍設定檔,請移除未核准的標籤,然後使用必要的範圍設定檔再次標記應用程式。
- 應用程式網域最多可能需要兩個小時,才能在端點裝置中傳播並更新,一旦它們標示為相關標籤或/和範圍。
- 當應用程式標示為 [受監視] 時,只有在內建的 Win10 端點使用者 資料來源在過去 30 天內一致收到資料時,才會顯示套用範圍設定檔的選項。
- 適用於企業的 Microsoft Defender (MDB) 中的裝置群組會以不同的方式管理。 因此,對於具有 MDB 授權的客戶,MDA 裝置群組中不會顯示任何裝置群組。
在存取有風險的應用程式時教育使用者
系統管理員可以選擇在使用者存取有風險的應用程式時警告使用者。 系統不會封鎖使用者,而是會提示他們一則訊息,提供指向公司頁面的自訂重新導向連結,其中列出已核准使用的應用程式。 該提示為用戶提供了繞過警告並繼續使用應用程序的選項。 管理員還可以監控繞過警告消息的用戶數量。
Defender for Cloud Apps 會使用內建的 [受監視的應用程式] 標籤,將雲端應用程式標示為有使用風險。 此標籤可在 Cloud Discovery 和 Cloud App 目錄 頁面上使用。 藉由啟用與適用於端點的 Defender 整合,您可以在 Defender for Cloud Apps 中按一下,即可順暢地警告使用者存取受監視的應用程式。
標示為 [受監視] 的應用程式會自動同步處理至適用於端點的 Defender 自定義 URL 指標,通常會在幾分鐘內完成。 更具體地說,受監視應用程式所使用的網域會傳播至端點裝置,以在網路保護 SLA 內由 Microsoft Defender 防病毒軟體提供警告訊息。
設定警告訊息的自訂重新導向 URL
使用下列步驟來設定指向公司網頁的自訂 URL,您可以在其中教育員工了解他們收到警告的原因,並提供符合組織風險接受度或已由組織管理的替代核准應用程式清單。
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。 在 [Cloud Discovery] 底下,選取 [適用於端點的 適用於端點的 Microsoft Defender]。
在 [通知 URL] 方塊中,輸入您的 URL。
設定使用者略過持續時間
由於使用者可以略過警告訊息,因此您可以使用下列步驟來設定略過套用的持續時間。 持續時間過後,用戶下次訪問受監控的應用程序時會收到警告消息提示。
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。 在 [Cloud Discovery] 底下,選取 [適用於端點的 適用於端點的 Microsoft Defender]。
在略 過持續時間 方塊中,輸入使用者略過) 的持續時間 (小時。
監視套用的應用程式控制項
套用控制項之後,您可以使用下列步驟,透過套用的控制項來監視應用程式使用模式 (存取、封鎖、略過) 。
- 在 Microsoft Defender 入口網站的 [雲端應用程式] 底下,移至 Cloud Discovery,然後移至 [探索到的應用程式] 索引標籤。使用篩選來尋找相關的受監視應用程式。
- 選取應用程式的名稱,以在應用程式的概觀頁面上檢視套用的應用程式控制項。
後續步驟
Related videos
如果您遇到任何問題,我們隨時為您提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。