Megosztás a következőn keresztül:

Felhőhöz készült Microsoft Defender-alkalmazások hozzáférési szabályzatainak létrehozása

  • Cikk

Felhőhöz készült Microsoft Defender Az alkalmazások hozzáférési szabályzatai feltételes hozzáférésű alkalmazásvezérléssel valós idejű monitorozást és vezérlést biztosítanak a felhőalkalmazásokhoz való hozzáférés felett. A hozzáférési szabályzatok a felhasználó, a hely, az eszköz és az alkalmazás alapján szabályozzák a hozzáférést, és bármely eszköz esetében támogatottak.

A gazdagépalkalmazásokhoz létrehozott szabályzatok nem kapcsolódnak egyetlen kapcsolódó erőforrásalkalmazáshoz sem. A Teamshez, az Exchange-hez vagy a Gmailhez létrehozott hozzáférési szabályzatok például nem kapcsolódnak a SharePointhoz, a OneDrive-hoz vagy a Google Drive-hoz. Ha az erőforrásalkalmazáshoz a gazdagépalkalmazás mellett szabályzatra is szüksége van, hozzon létre egy külön szabályzatot.

Tipp.

Ha általában engedélyezni szeretné a hozzáférést a munkamenetek monitorozása során, vagy korlátozni szeretné az adott munkamenet-tevékenységeket, hozzon létre inkább munkamenet-szabályzatokat. További információ: Munkamenet-szabályzatok.

Előfeltételek

Mielőtt hozzákezd, győződjön meg arról, hogy rendelkezik a következő előfeltételekkel:

Ahhoz, hogy a hozzáférési szabályzat működjön, rendelkeznie kell egy Microsoft Entra ID feltételes hozzáférési szabályzattal is, amely létrehozza a forgalom szabályozására vonatkozó engedélyeket.

Példa: Microsoft Entra ID feltételes hozzáférési szabályzatok létrehozása Felhőhöz készült Defender-alkalmazásokkal való használatra

Ez az eljárás magas szintű példát nyújt arra, hogyan hozhat létre feltételes hozzáférési szabályzatot Felhőhöz készült Defender-alkalmazásokhoz.

  1. A Microsoft Entra ID feltételes hozzáférésében válassza az Új szabályzat létrehozása lehetőséget.

  2. Adjon meg egy értelmes nevet a szabályzatnak, majd a Munkamenet csoportban található hivatkozásra kattintva adjon hozzá vezérlőket a szabályzathoz.

  3. A Munkamenet területen válassza a Feltételes hozzáférésű alkalmazásvezérlő használata lehetőséget.

  4. A Felhasználók területen válassza ki, hogy az összes felhasználót vagy adott felhasználót és csoportot csak belefoglalja.

  5. A Feltételek és ügyfélalkalmazások területen válassza ki a szabályzatban felvenni kívánt feltételeket és ügyfélalkalmazásokat.

  6. Mentse a szabályzatot úgy, hogy be van kapcsolva a Csak jelentés, majd a Létrehozás gombra kattintva.

A Microsoft Entra ID böngészőalapú és nem böngészőalapú szabályzatokat is támogat. Javasoljuk, hogy mindkét típust hozza létre a nagyobb biztonsági lefedettség érdekében.

Ismételje meg ezt az eljárást egy nem arowser-alapú feltételes hozzáférési szabályzat létrehozásához. Az Ügyfélalkalmazások területen állítsa a Konfigurálás beállítást Igen értékre. Ezután a Modern hitelesítési ügyfelek területen törölje a Böngésző lehetőséget. Hagyja bejelölve az összes többi alapértelmezett kijelölést.

További információ: Feltételes hozzáférési szabályzatok és feltételes hozzáférési szabályzat létrehozása.

Felhőhöz készült Defender Apps hozzáférési szabályzat létrehozása

Ez az eljárás azt ismerteti, hogyan hozhat létre új hozzáférési szabályzatot Felhőhöz készült Defender Appsben.

  1. A Microsoft Defender XDR-ben válassza a Cloud Apps > Szabályzatkezelési > > feltételes hozzáférés lapfülét.

  2. Válassza a Házirend-hozzáférési>szabályzat létrehozása lehetőséget. Példa:

    Feltételes hozzáférési szabályzat létrehozása.

  3. A Hozzáférési szabályzat létrehozása lapon adja meg a következő alapvető információkat:

    Név Leírás
    Szabályzat neve A szabályzat értelmes neve, például a nem felügyelt eszközök hozzáférésének letiltása
    Szabályzat súlyossága Válassza ki a szabályzatra alkalmazni kívánt súlyosságot.
    Kategória A Hozzáférés-vezérlés alapértelmezett értékének megtartása
    Leírás Adjon meg egy nem kötelező, értelmezhető leírást a szabályzathoz, amely segít a csapatnak megérteni annak célját.

  4. Az összes alábbi területnek megfelelő tevékenységekben válassza ki a szabályzatra alkalmazni kívánt további tevékenységszűrőket. A szűrők a következő beállításokat tartalmazzák:

    Név Leírás
    Alkalmazás Szűrők egy adott alkalmazáshoz, amely szerepel a szabályzatban. Az alkalmazások kiválasztásához először válassza ki, hogy automatizált Azure AD-előkészítést, Microsoft Entra ID-alkalmazásokhoz vagy manuális előkészítést használnak-e a nem Microsoft IdP-alkalmazásokhoz. Ezután válassza ki a szűrőbe felvenni kívánt alkalmazást a listából.

    Ha a nem Microsoft idP-alkalmazás hiányzik a listából, győződjön meg arról, hogy teljesen előkészítette. További információ:
    - Nem Microsoft IdP-katalógusalkalmazások előkészítése feltételes hozzáférésű alkalmazások vezérléséhez
    - Nem Microsoft IdP-alapú egyéni alkalmazások előkészítése feltételes hozzáférésű alkalmazások vezérléséhez

    Ha úgy dönt, hogy nem használja az alkalmazásszűrőt, a szabályzat minden olyan alkalmazásra vonatkozik, amely engedélyezve van a Beállítások > Felhőalkalmazások > csatlakoztatott alkalmazások > feltételes hozzáférésű alkalmazásvezérlő alkalmazás lapján.

    Megjegyzés: Előfordulhat, hogy átfedés van az előkészített alkalmazások és a manuális előkészítést igénylő alkalmazások között. Ha ütközés lép fel a szűrőben az alkalmazások között, a manuálisan előkészített alkalmazások elsőbbséget élveznek.
    Ügyfélalkalmazás Szűrjön böngésző- vagy mobil-/asztali alkalmazásokra.
    Eszköz Szűrjön az eszközcímkékre, például egy adott eszközkezelési módszerre vagy eszköztípusokra, például PC-re, mobileszközökre vagy táblagépekre.
    IP-cím Szűrjön IP-címenként, vagy használjon korábban hozzárendelt IP-címcímkéket.
    Helyen Szűrés földrajzi hely szerint. A egyértelműen meghatározott hely hiánya kockázatos tevékenységeket azonosíthat.
    Regisztrált internetszolgáltató Szűrjön egy adott internetszolgáltatótól származó tevékenységekre.
    Felhasználó Szűrés adott felhasználóra vagy felhasználói csoportra.
    Felhasználói ügynök sztringje Szűrjön egy adott felhasználóiügynök-sztringre.
    Felhasználói ügynök címkéje Szűrjön felhasználói ügynökcímkékre, például elavult böngészőkre vagy operációs rendszerekre.

    Példa:

    Mintaszűrő képernyőképe hozzáférési szabályzat létrehozásakor.

    A Szerkesztés és az eredmények előnézete lehetőséget választva megtekintheti az aktuális kijelöléssel visszaadott tevékenységek típusait.

  5. A Műveletek területen válassza az alábbi lehetőségek egyikét:

    • Naplózás: Állítsa be ezt a műveletet úgy, hogy a kifejezetten beállított szabályzatszűrőknek megfelelően engedélyezze a hozzáférést.

    • Letiltás: Állítsa be ezt a műveletet úgy, hogy az explicit módon beállított szabályzatszűrőknek megfelelően tiltsa le a hozzáférést.

  6. A Riasztások területen szükség szerint konfigurálja az alábbi műveleteket:

    • Riasztás létrehozása minden egyező eseményhez a szabályzat súlyosságával
    • Riasztás küldése e-mailben
    • Napi riasztási korlát szabályzatonként
    • Riasztások küldése a Power Automate-nek

  7. Amikor elkészült, válassza a Létrehozás lehetőséget.

A szabályzat tesztelése

Miután létrehozta a hozzáférési szabályzatot, tesztelje újra a szabályzatban konfigurált összes alkalmazáshoz. Ellenőrizze, hogy az alkalmazás élménye a vártnak megfelelően működik-e, majd ellenőrizze a tevékenységnaplókat.

A következő megoldást javasoljuk:

  • Hozzon létre egy szabályzatot egy kifejezetten teszteléshez létrehozott felhasználóhoz.
  • Jelentkezzen ki az összes meglévő munkamenetből, mielőtt újra hitelesítené az alkalmazásait.
  • Jelentkezzen be mobil- és asztali alkalmazásokba felügyelt és nem felügyelt eszközökről, hogy a tevékenységek teljes mértékben rögzítve legyenek a tevékenységnaplóban.

Győződjön meg arról, hogy olyan felhasználóval jelentkezik be, aki megfelel a szabályzatnak.

A szabályzat tesztelése az alkalmazásban:

  • Látogasson el az alkalmazás összes lapjára, amely egy felhasználó munkafolyamatának része, és ellenőrizze, hogy a lapok megfelelően jelennek-e meg.
  • Győződjön meg arról, hogy az alkalmazás viselkedését és működését nem befolyásolja hátrányosan az olyan gyakori műveletek végrehajtása, mint a fájlok letöltése és feltöltése.
  • Ha egyéni, nem Microsoft idP-alkalmazásokkal dolgozik, ellenőrizze az alkalmazáshoz manuálisan hozzáadott összes tartományt.

Tevékenységnaplók ellenőrzése:

  1. A Microsoft Defender XDR-ben válassza a Cloud Apps > tevékenységnaplóját, és ellenőrizze az egyes lépésekhez rögzített bejelentkezési tevékenységeket. A Speciális szűrők és a Forrás egyenlő hozzáférés-vezérlés szűrése lehetőség kiválasztásával érdemes lehet szűrni.

    Az egyszeri bejelentkezési bejelentkezési tevékenységek feltételes hozzáférésű alkalmazásvezérlési események.

  2. További részletekért válasszon ki egy tevékenységet. Ellenőrizze, hogy a Felhasználói ügynök címke megfelelően tükrözi-e, hogy az eszköz egy beépített ügyfél, vagy mobil- vagy asztali alkalmazás, vagy az eszköz egy megfelelő és tartományhoz csatlakoztatott felügyelt eszköz.

Ha hibák vagy problémák merülnek fel, a Rendszergazdai nézet eszköztár használatával gyűjtsön erőforrásokat, például .Har fájlokat és rögzített munkameneteket, majd küldjön egy támogatási jegyet.

Hozzáférési szabályzatok létrehozása identitás által felügyelt eszközökhöz

Ügyféltanúsítványok használatával szabályozhatja a nem Microsoft Entra-hibrid csatlakoztatott és a Microsoft Intune által nem felügyelt eszközök hozzáférését. Új tanúsítványokat hozhat létre a felügyelt eszközökön, vagy használhat meglévő tanúsítványokat, például külső MDM-tanúsítványokat. Előfordulhat például, hogy ügyféltanúsítványt szeretne üzembe helyezni a felügyelt eszközökön, majd letiltani a tanúsítvány nélküli eszközök hozzáférését.

További információ: Identitás által felügyelt eszközök feltételes hozzáférésű alkalmazásvezérléssel.

Kapcsolódó tartalom

További információk:

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.