Felhőhöz készült Microsoft Defender-alkalmazások hozzáférési szabályzatainak létrehozása
Felhőhöz készült Microsoft Defender Az alkalmazások hozzáférési szabályzatai feltételes hozzáférésű alkalmazásvezérléssel valós idejű monitorozást és vezérlést biztosítanak a felhőalkalmazásokhoz való hozzáférés felett. A hozzáférési szabályzatok a felhasználó, a hely, az eszköz és az alkalmazás alapján szabályozzák a hozzáférést, és bármely eszköz esetében támogatottak.
A gazdagépalkalmazásokhoz létrehozott szabályzatok nem kapcsolódnak egyetlen kapcsolódó erőforrásalkalmazáshoz sem. A Teamshez, az Exchange-hez vagy a Gmailhez létrehozott hozzáférési szabályzatok például nem kapcsolódnak a SharePointhoz, a OneDrive-hoz vagy a Google Drive-hoz. Ha az erőforrásalkalmazáshoz a gazdagépalkalmazás mellett szabályzatra is szüksége van, hozzon létre egy külön szabályzatot.
Tipp.
Ha általában engedélyezni szeretné a hozzáférést a munkamenetek monitorozása során, vagy korlátozni szeretné az adott munkamenet-tevékenységeket, hozzon létre inkább munkamenet-szabályzatokat. További információ: Munkamenet-szabályzatok.
Előfeltételek
Mielőtt hozzákezd, győződjön meg arról, hogy rendelkezik a következő előfeltételekkel:
Egy Felhőhöz készült Defender Apps-licenc önálló licencként vagy egy másik licenc részeként.
A Microsoft Entra ID P1 licence önálló licencként vagy egy másik licenc részeként.
Ha nem Microsoft-identitásszolgáltatót használ, az identitásszolgáltató (IdP) megoldásához szükséges licenc.
A feltételes hozzáférésű alkalmazásvezérlőbe előkészített releváns alkalmazások. A Microsoft Entra ID-alkalmazásokat a rendszer automatikusan előkészíti, míg a nem Microsoft IdP-alkalmazásokat manuálisan kell előkészíteni.
Ha nem Microsoft-identitásszolgáltatóval dolgozik, győződjön meg arról, hogy az idP-t is konfigurálta az Felhőhöz készült Microsoft Defender-alkalmazások használatához. További információk:
Ahhoz, hogy a hozzáférési szabályzat működjön, rendelkeznie kell egy Microsoft Entra ID feltételes hozzáférési szabályzattal is, amely létrehozza a forgalom szabályozására vonatkozó engedélyeket.
Példa: Microsoft Entra ID feltételes hozzáférési szabályzatok létrehozása Felhőhöz készült Defender-alkalmazásokkal való használatra
Ez az eljárás magas szintű példát nyújt arra, hogyan hozhat létre feltételes hozzáférési szabályzatot Felhőhöz készült Defender-alkalmazásokhoz.
A Microsoft Entra ID feltételes hozzáférésében válassza az Új szabályzat létrehozása lehetőséget.
Adjon meg egy értelmes nevet a szabályzatnak, majd a Munkamenet csoportban található hivatkozásra kattintva adjon hozzá vezérlőket a szabályzathoz.
A Munkamenet területen válassza a Feltételes hozzáférésű alkalmazásvezérlő használata lehetőséget.
A Felhasználók területen válassza ki, hogy az összes felhasználót vagy adott felhasználót és csoportot csak belefoglalja.
A Feltételek és ügyfélalkalmazások területen válassza ki a szabályzatban felvenni kívánt feltételeket és ügyfélalkalmazásokat.
Mentse a szabályzatot úgy, hogy be van kapcsolva a Csak jelentés, majd a Létrehozás gombra kattintva.
A Microsoft Entra ID böngészőalapú és nem böngészőalapú szabályzatokat is támogat. Javasoljuk, hogy mindkét típust hozza létre a nagyobb biztonsági lefedettség érdekében.
Ismételje meg ezt az eljárást egy nem arowser-alapú feltételes hozzáférési szabályzat létrehozásához. Az Ügyfélalkalmazások területen állítsa a Konfigurálás beállítást Igen értékre. Ezután a Modern hitelesítési ügyfelek területen törölje a Böngésző lehetőséget. Hagyja bejelölve az összes többi alapértelmezett kijelölést.
Megjegyzés: A "Felhőhöz készült Microsoft Defender Alkalmazások – Munkamenet-vezérlők" vállalati alkalmazást a feltételes hozzáférésű alkalmazásvezérlő szolgáltatás belsőleg használja. Győződjön meg arról, hogy a ca-szabályzat nem korlátozza az alkalmazáshoz való hozzáférést a célerőforrásokban.
További információ: Feltételes hozzáférési szabályzatok és feltételes hozzáférési szabályzat létrehozása.
Felhőhöz készült Defender Apps hozzáférési szabályzat létrehozása
Ez az eljárás azt ismerteti, hogyan hozhat létre új hozzáférési szabályzatot Felhőhöz készült Defender Appsben.
A Microsoft Defender XDR-ben válassza a Cloud Apps > Szabályzatkezelési > > feltételes hozzáférés lapfülét.
Válassza a Házirend-hozzáférési>szabályzat létrehozása lehetőséget. Példa:
A Hozzáférési szabályzat létrehozása lapon adja meg a következő alapvető információkat:
Név Leírás Szabályzat neve A szabályzat értelmes neve, például a nem felügyelt eszközök hozzáférésének letiltása Szabályzat súlyossága Válassza ki a szabályzatra alkalmazni kívánt súlyosságot. Kategória A Hozzáférés-vezérlés alapértelmezett értékének megtartása Leírás Adjon meg egy nem kötelező, értelmezhető leírást a szabályzathoz, amely segít a csapatnak megérteni annak célját. Az összes alábbi területnek megfelelő tevékenységekben válassza ki a szabályzatra alkalmazni kívánt további tevékenységszűrőket. A szűrők a következő beállításokat tartalmazzák:
Név Leírás Alkalmazás Szűrők egy adott alkalmazáshoz, amely szerepel a szabályzatban. Az alkalmazások kiválasztásához először válassza ki, hogy automatizált Azure AD-előkészítést, Microsoft Entra ID-alkalmazásokhoz vagy manuális előkészítést használnak-e a nem Microsoft IdP-alkalmazásokhoz. Ezután válassza ki a szűrőbe felvenni kívánt alkalmazást a listából.
Ha a nem Microsoft idP-alkalmazás hiányzik a listából, győződjön meg arról, hogy teljesen előkészítette. További információ:
- Nem Microsoft IdP-katalógusalkalmazások előkészítése feltételes hozzáférésű alkalmazások vezérléséhez
- Nem Microsoft IdP-alapú egyéni alkalmazások előkészítése feltételes hozzáférésű alkalmazások vezérléséhez
Ha úgy dönt, hogy nem használja az alkalmazásszűrőt, a szabályzat minden olyan alkalmazásra vonatkozik, amely engedélyezve van a Beállítások > Felhőalkalmazások > csatlakoztatott alkalmazások > feltételes hozzáférésű alkalmazásvezérlő alkalmazás lapján.
Megjegyzés: Előfordulhat, hogy átfedés van az előkészített alkalmazások és a manuális előkészítést igénylő alkalmazások között. Ha ütközés lép fel a szűrőben az alkalmazások között, a manuálisan előkészített alkalmazások elsőbbséget élveznek.Ügyfélalkalmazás Szűrjön böngésző- vagy mobil-/asztali alkalmazásokra. Eszköz Szűrjön az eszközcímkékre, például egy adott eszközkezelési módszerre vagy eszköztípusokra, például PC-re, mobileszközökre vagy táblagépekre. IP-cím Szűrjön IP-címenként, vagy használjon korábban hozzárendelt IP-címcímkéket. Helyen Szűrés földrajzi hely szerint. A egyértelműen meghatározott hely hiánya kockázatos tevékenységeket azonosíthat. Regisztrált internetszolgáltató Szűrjön egy adott internetszolgáltatótól származó tevékenységekre. Felhasználó Szűrés adott felhasználóra vagy felhasználói csoportra. Felhasználói ügynök sztringje Szűrjön egy adott felhasználóiügynök-sztringre. Felhasználói ügynök címkéje Szűrjön felhasználói ügynökcímkékre, például elavult böngészőkre vagy operációs rendszerekre. Példa:
A Szerkesztés és az eredmények előnézete lehetőséget választva megtekintheti az aktuális kijelöléssel visszaadott tevékenységek típusait.
A Műveletek területen válassza az alábbi lehetőségek egyikét:
Naplózás: Állítsa be ezt a műveletet úgy, hogy a kifejezetten beállított szabályzatszűrőknek megfelelően engedélyezze a hozzáférést.
Letiltás: Állítsa be ezt a műveletet úgy, hogy az explicit módon beállított szabályzatszűrőknek megfelelően tiltsa le a hozzáférést.
A Riasztások területen szükség szerint konfigurálja az alábbi műveleteket:
- Riasztás létrehozása minden egyező eseményhez a szabályzat súlyosságával
- Riasztás küldése e-mailben
- Napi riasztási korlát szabályzatonként
- Riasztások küldése a Power Automate-nek
Amikor elkészült, válassza a Létrehozás lehetőséget.
A szabályzat tesztelése
Miután létrehozta a hozzáférési szabályzatot, tesztelje újra a szabályzatban konfigurált összes alkalmazáshoz. Ellenőrizze, hogy az alkalmazás élménye a vártnak megfelelően működik-e, majd ellenőrizze a tevékenységnaplókat.
A következő megoldást javasoljuk:
- Hozzon létre egy szabályzatot egy kifejezetten teszteléshez létrehozott felhasználóhoz.
- Jelentkezzen ki az összes meglévő munkamenetből, mielőtt újra hitelesítené az alkalmazásait.
- Jelentkezzen be mobil- és asztali alkalmazásokba felügyelt és nem felügyelt eszközökről, hogy a tevékenységek teljes mértékben rögzítve legyenek a tevékenységnaplóban.
Győződjön meg arról, hogy olyan felhasználóval jelentkezik be, aki megfelel a szabályzatnak.
A szabályzat tesztelése az alkalmazásban:
- Látogasson el az alkalmazás összes lapjára, amely egy felhasználó munkafolyamatának része, és ellenőrizze, hogy a lapok megfelelően jelennek-e meg.
- Győződjön meg arról, hogy az alkalmazás viselkedését és működését nem befolyásolja hátrányosan az olyan gyakori műveletek végrehajtása, mint a fájlok letöltése és feltöltése.
- Ha egyéni, nem Microsoft idP-alkalmazásokkal dolgozik, ellenőrizze az alkalmazáshoz manuálisan hozzáadott összes tartományt.
Tevékenységnaplók ellenőrzése:
A Microsoft Defender XDR-ben válassza a Cloud Apps > tevékenységnaplóját, és ellenőrizze az egyes lépésekhez rögzített bejelentkezési tevékenységeket. A Speciális szűrők és a Forrás egyenlő hozzáférés-vezérlés szűrése lehetőség kiválasztásával érdemes lehet szűrni.
Az egyszeri bejelentkezési bejelentkezési tevékenységek feltételes hozzáférésű alkalmazásvezérlési események.
További részletekért válasszon ki egy tevékenységet. Ellenőrizze, hogy a Felhasználói ügynök címke megfelelően tükrözi-e, hogy az eszköz egy beépített ügyfél, vagy mobil- vagy asztali alkalmazás, vagy az eszköz egy megfelelő és tartományhoz csatlakoztatott felügyelt eszköz.
Ha hibák vagy problémák merülnek fel, a Rendszergazdai nézet eszköztár használatával gyűjtsön erőforrásokat, például .Har
fájlokat és rögzített munkameneteket, majd küldjön egy támogatási jegyet.
Hozzáférési szabályzatok létrehozása identitás által felügyelt eszközökhöz
Ügyféltanúsítványok használatával szabályozhatja a nem Microsoft Entra-hibrid csatlakoztatott és a Microsoft Intune által nem felügyelt eszközök hozzáférését. Új tanúsítványokat hozhat létre a felügyelt eszközökön, vagy használhat meglévő tanúsítványokat, például külső MDM-tanúsítványokat. Előfordulhat például, hogy ügyféltanúsítványt szeretne üzembe helyezni a felügyelt eszközökön, majd letiltani a tanúsítvány nélküli eszközök hozzáférését.
További információ: Identitás által felügyelt eszközök feltételes hozzáférésű alkalmazásvezérléssel.
Kapcsolódó tartalom
További információk:
- Hozzáférés- és munkamenet-vezérlők hibaelhárítása
- Oktatóanyag: Bizalmas adatok letöltésének letiltása feltételes hozzáférésű alkalmazásvezérléssel
- Nem felügyelt eszközök letöltésének letiltása munkamenet-vezérlőkkel
- Feltételes hozzáférésű alkalmazásvezérlő webináriuma
Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.