Vytvoření zásad přístupu k Microsoft Defenderu pro Cloud Apps

Zásady přístupu k Microsoft Defenderu pro Cloud Apps používají řízení podmíněného přístupu k aplikacím, které poskytují monitorování v reálném čase a kontrolu nad přístupem ke cloudovým aplikacím. Zásady přístupu řídí přístup na základě uživatele, polohy, zařízení a aplikace a podporují se pro všechna zařízení.

Zásady vytvořené pro hostitelskou aplikaci nejsou připojené k žádným souvisejícím aplikacím prostředků. Například zásady přístupu, které vytvoříte pro Teams, Exchange nebo Gmail, nejsou připojené k SharePointu, OneDrivu nebo Disku Google. Pokud kromě hostitelské aplikace potřebujete zásadu pro aplikaci prostředků, vytvořte samostatnou zásadu.

Tip

Pokud chcete obecně povolit přístup při monitorování relací nebo omezit konkrétní aktivity relace, vytvořte místo toho zásady relace. Další informace najdete v tématu Zásady relací.

Požadavky

Než začnete, ujistěte se, že máte následující požadavky:

• Licence Defenderu pro Cloud Apps, buď jako samostatná licence, nebo jako součást jiné licence.

• Licence pro Microsoft Entra ID P1, buď jako samostatná licence, nebo jako součást jiné licence.

• Pokud používáte zprostředkovatele identity jiného než Microsoftu, licence vyžadovaná vaším poskytovatelem identity (IdP).

• Příslušné aplikace se nasadí do řízení aplikace podmíněného přístupu. Aplikace Microsoft Entra ID se automaticky nasadí, zatímco aplikace jiného zprostředkovatele identity než Microsoft musí být nasazené ručně.

  Pokud pracujete s jiným zprostředkovatele identity než Microsoft, ujistěte se, že jste také nakonfigurovali zprostředkovatele identity tak, aby fungoval s Programem Microsoft Defender for Cloud Apps. Další informace naleznete v tématu:

  • Onboarding aplikací katalogu jiných společností než Microsoft IdP pro řízení aplikací podmíněného přístupu
  • Onboarding vlastních aplikací mimo Microsoft IdP pro řízení aplikací podmíněného přístupu

Aby zásady přístupu fungovaly, musíte mít také zásady podmíněného přístupu Microsoft Entra ID, které vytvoří oprávnění k řízení provozu.

Ukázka: Vytvoření zásad podmíněného přístupu Microsoft Entra ID pro použití s Defenderem pro Cloud Apps

Tento postup poskytuje základní příklad vytvoření zásady podmíněného přístupu pro použití s Defenderem pro Cloud Apps.

1. V podmíněném přístupu Microsoft Entra ID vyberte Vytvořit novou zásadu.

2. Zadejte smysluplný název zásady a pak v části Relace vyberte odkaz, který přidá ovládací prvky do zásad.

3. V oblasti Relace vyberte Použít řízení podmíněného přístupu aplikace.

4. V oblasti Uživatelé vyberte, jestli chcete zahrnout všechny uživatele nebo jenom konkrétní uživatele a skupiny.

5. V oblastech Podmínky a Klientské aplikace vyberte podmínky a klientské aplikace, které chcete zahrnout do zásad.

6. Uložte zásadu tak, že přepínáte pouze sestavu na Zapnuto a pak vyberete Vytvořit.

Microsoft Entra ID podporuje zásady založené na prohlížeči i na jiných než prohlížečích. Pro zvýšení pokrytí zabezpečení doporučujeme vytvořit oba typy.

Tento postup opakujte, pokud chcete vytvořit zásadu podmíněného přístupu, která není založená na zrušení. V oblasti Klientské aplikace přepněte možnost Konfigurovat na ano. Potom v části Moderní klienti ověřování zrušte zaškrtnutí políčka Prohlížeč . Ponechte všechny ostatní výchozí výběry vybrané.

Další informace najdete v tématu Zásady podmíněného přístupu a vytvoření zásad podmíněného přístupu.

Vytvoření zásady přístupu k Defenderu for Cloud Apps

Tento postup popisuje, jak vytvořit novou zásadu přístupu v defenderu pro Cloud Apps.

1. V XDR v programu Microsoft Defender vyberte kartu Podmíněného přístupu pro správu > zásad > cloudových aplikací>.

2. Vyberte Vytvořit zásadu přístupu k zásadám>. Příklad:

   

3. Na stránce Vytvořit zásadu přístupu zadejte následující základní informace:

   Název	Popis
   Název zásady	Smysluplný název zásad, například Blokovat přístup z nespravovaných zařízení
   Závažnost zásad	Vyberte závažnost, kterou chcete u zásad použít.
   Kategorie	Zachovat výchozí hodnotu řízení přístupu
   Popis	Zadejte volitelný výstižný popis zásad, který vašemu týmu pomůže porozumět jeho účelu.

4. V části Aktivity odpovídající všem následujícím oblastem vyberte další filtry aktivit, které se mají na zásadu použít. Filtry zahrnují následující možnosti:

   Název	Popis
   Aplikace	Filtry pro konkrétní aplikaci, která se má zahrnout do zásad. Nejdřív vyberte aplikace tak, že vyberou, jestli pro aplikace Microsoft Entra ID nebo ruční onboarding používají automatizované onboardingy Azure AD. Pak ze seznamu vyberte aplikaci, kterou chcete zahrnout do filtru. Pokud v seznamu chybí vaše aplikace jiného zprostředkovatele identity než Microsoft, ujistěte se, že jste ji plně onboardovali. Další informace najdete tady: . - Onboarding aplikací katalogu jiných společností než Microsoft IdP pro řízení aplikací podmíněného přístupu - Onboarding vlastních aplikací mimo Microsoft IdP pro řízení aplikací podmíněného přístupu Pokud se rozhodnete filtr aplikace nepoužívat, zásada se vztahuje na všechny aplikace, které jsou označené jako Povolené na stránce Aplikace > připojené ke cloudovým > aplikacím podmíněného přístupu k aplikacím>. Poznámka: Mezi aplikacemi, které jsou nasazené, a aplikacemi, které potřebují ruční onboarding, se můžou překrývat. V případě konfliktu ve filtru mezi aplikacemi mají přednost ručně nasazené aplikace.
   Klientská aplikace	Vyfiltrujte prohlížeč nebo mobilní nebo desktopové aplikace.
   Zařízení	Vyfiltrujte značky zařízení, například pro konkrétní metodu správy zařízení nebo typy zařízení, jako je počítač, mobilní zařízení nebo tablet.
   IP adresa	Filtrujte každou IP adresu nebo použijte dříve přiřazené značky IP adres.
   Místo	Filtrovat podle zeměpisné polohy. Absence jasně definovaného umístění může identifikovat rizikové aktivity.
   Registrovaný isp	Filtrování aktivit pocházejících z konkrétního zprostředkovatele internetových služeb
   Uživatel	Vyfiltrujte konkrétního uživatele nebo skupinu uživatelů.
   Řetězec uživatelského agenta	Vyfiltrujte konkrétní řetězec uživatelského agenta.
   Značka uživatelského agenta	Vyfiltrujte značky uživatelského agenta, jako jsou zastaralé prohlížeče nebo operační systémy.

   Příklad:

   

   Výběrem možnosti Upravit a zobrazit náhled výsledků získáte náhled typů aktivit, které se vrátí s aktuálním výběrem.

5. V oblasti Akce vyberte jednu z následujících možností:

   • Audit: Nastavte tuto akci tak, aby umožňovala přístup podle filtrů zásad, které jste nastavili explicitně.

   • Blokovat: Nastavte tuto akci tak, aby blokovala přístup podle filtrů zásad, které jste nastavili explicitně.

6. V oblasti Výstrahy podle potřeby nakonfigurujte některou z následujících akcí:

   • Vytvoření výstrahy pro každou odpovídající událost se závažností zásady
   • Odeslání upozornění jako e-mailu
   • Denní limit upozornění na zásadu
   • Odesílání upozornění do Power Automate

7. Až budete hotovi, vyberte Vytvořit.

Testování zásad

Po vytvoření zásady přístupu ji otestujte opětovným ověřením pro každou aplikaci nakonfigurovanou v zásadách. Ověřte, že je prostředí vaší aplikace podle očekávání, a pak zkontrolujte protokoly aktivit.

Doporučený postup:

• Vytvořte zásadu pro uživatele, který jste vytvořili speciálně pro účely testování.
• Před opětovným ověřením aplikací se odhlaste ze všech existujících relací.
• Přihlaste se k mobilním a desktopovým aplikacím ze spravovaných i nespravovaných zařízení, abyste měli jistotu, že se aktivity plně zaznamenávají do protokolu aktivit.

Nezapomeňte se přihlásit pomocí uživatele, který odpovídá vašim zásadám.

Testování zásad v aplikaci:

• Navštivte všechny stránky v aplikaci, které jsou součástí pracovního procesu uživatele, a ověřte, že se stránky vykreslují správně.
• Ověřte, že chování a funkce aplikace nejsou nepříznivě ovlivněné prováděním běžných akcí, jako je stahování a nahrávání souborů.
• Pokud pracujete s vlastními aplikacemi jiných než Microsoft IdP, zkontrolujte všechny domény, které jste pro aplikaci přidali ručně.

Kontrola protokolů aktivit:

1. V XDR v programu Microsoft Defender vyberte protokol aktivit cloudových aplikací > a zkontrolujte aktivity přihlašování zachycené pro každý krok. Možná budete chtít filtrovat tak , že vyberete Rozšířené filtry a vyfiltrujete zdroj rovná se řízení přístupu.

   Aktivity jednotného přihlašování jsou události řízení podmíněného přístupu k aplikacím.

2. Výběrem aktivity rozbalíte další podrobnosti. Zkontrolujte, jestli značka agenta uživatele správně odráží, jestli je zařízení integrovaným klientem, mobilní nebo desktopovou aplikací nebo jestli je zařízení spravované zařízení, které vyhovuje předpisům a připojené k doméně.

Pokud narazíte na chyby nebo problémy, pomocí panelu nástrojů Zobrazení pro správu shromážděte prostředky, jako .Har jsou soubory a zaznamenané relace, a pak vytvořte lístek podpory.

Vytvoření zásad přístupu pro zařízení spravovaná identitou

Pomocí klientských certifikátů můžete řídit přístup k zařízením, která nejsou připojená k Microsoft Entra hybridu, a nespravuje je Microsoft Intune. Zavedení nových certifikátů pro spravovaná zařízení nebo použití existujících certifikátů, jako jsou certifikáty MDM třetích stran. Můžete například chtít nasadit klientský certifikát do spravovaných zařízení a pak zablokovat přístup ze zařízení bez certifikátu.

Další informace najdete v tématu Zařízení spravovaná identitou pomocí řízení podmíněného přístupu k aplikacím.

Související obsah

Další informace naleznete v tématu:

• Řešení potíží s řízením přístupu a relací
• Kurz: Blokování stahování citlivých informací pomocí řízení podmíněného přístupu k aplikacím
• Blokování stahování na nespravovaných zařízeních pomocí ovládacích prvků relací
• Webinář o řízení podmíněného přístupu k aplikacím

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.