Microsoft Defender for Cloud Apps 入门

本快速入门介绍如何在 Microsoft Defender 门户上开始使用 Microsoft Defender for Cloud Apps。

Defender for Cloud Apps 可帮助你利用云应用程序，同时保持对公司资源的控制。 Defender for Cloud Apps 可提高对云活动的可见性，并帮助加强对企业数据的保护。

提示

作为本文的配套，我们建议在登录到Microsoft 365 管理中心时使用 Microsoft Defender for Cloud Apps 自动设置指南。 本指南将根据你的环境来定制体验。 若要在不登录和激活自动设置功能的情况下查看最佳做法，请转到 Microsoft 365 设置门户。

先决条件

要设置 Defender for Cloud Apps，必须是 Microsoft Entra ID 或 Microsoft 365 中的全局管理员或安全管理员。

无论在何处分配了角色，具有管理员角色的用户在组织订阅的任何云应用中都具有相同的管理员权限。 有关详细信息，请参阅分配管理员角色和在 Microsoft Entra ID 中分配管理员角色。

Microsoft Defender for Cloud Apps 是一种安全工具，因此不需要 Microsoft 365 生产力套件许可证。 对于 Microsoft 365 云应用安全（仅适用于 Microsoft 365 的 Microsoft Defender for Cloud Apps），请参阅 Microsoft Defender for Cloud Apps 与 Microsoft 365 云应用安全之间有什么区别？。

访问 Defender for Cloud Apps

1. 为每个希望受 Defender for Cloud Apps 保护的用户获取 Defender for Cloud Apps 许可证。 有关详细信息，请参阅 Microsoft 365 授权数据表。

   Defender for Cloud Apps 试用版作为 Microsoft 365 E5 试用版的一部分提供，可以从 Microsoft 365 管理中心>商城为其购买许可证。 有关详细信息，请参阅试用或购买 Microsoft 365 或获取对商业版 Microsoft 365 的支持。

   注意

   Microsoft Defender for Cloud Apps 是一种安全工具，因此不需要 Microsoft 365 生产力套件许可证。 有关详细信息，请参阅 Microsoft Defender for Cloud Apps 与 Microsoft 365 云应用安全之间的区别是什么？。

2. 在 Microsoft Defender 门户的云应用下访问 Defender for Cloud Apps。 例如：

   

步骤 1：设置应用的即时可见性、保护和治理操作

操作说明页面：设置应用的即时可见性以及保护和治理操作

必需的任务：连接应用

1. 在 Microsoft Defender 门户中，选择“设置”。 然后选择“Cloud Apps”。
2. 在“连接的应用”下，选择“应用连接器”。
3. 选择“+ 连接应用”以添加应用，然后选择应用。
4. 按照配置步骤连接应用。

为什么要连接应用？ 连接应用后，你可以获得更深层次的可见性，以便可以调查云环境中应用的活动、文件和帐户。

步骤 2：使用 DLP 策略保护敏感信息

操作说明页面：使用 DLP 策略保护敏感信息

建议的任务：启用文件监视并创建文件策略

1. 在 Microsoft Defender 门户中，选择“设置”。 然后选择“Cloud Apps”。
2. 在“信息保护”下，选择“文件”。
3. 选择“启用文件监视”，然后选择“保存”。
4. 如果使用 Microsoft Purview 信息保护中的敏感度标签，请在“信息保护”下选择“Microsoft 信息保护”。
5. 选择所需的设置，然后选择“保存”。
6. 在“第 3 步”，创建文件策略来满足组织要求。

提示

可以通过浏览到 Microsoft Defender 门户中的“Cloud Apps”>“文件”来查看连接的应用中的文件。

迁移建议
建议将 Defender for Cloud Apps 敏感信息保护与当前的云访问安全代理 (CASB) 解决方案并行使用。 首先，将要保护的应用连接到 Microsoft Defender for Cloud Apps。 由于 API 连接器使用带外连接，因此不会发生冲突。 然后，逐步将策略从当前的 CASB 解决方案迁移到 Defender for Cloud Apps。

注意

对于第三方应用，请验证当前负载没有超过应用允许的最大 API 调用次数。

步骤 3：使用策略控制云应用

操作说明页面：使用策略控制云应用

必需的任务：创建策略

创建策略

1. 在 Microsoft Defender 门户的“Cloud Apps”下，选择“策略”->“策略模板”。
2. 从列表中选择策略模板，然后选择 + 图标创建策略。
3. 自定义策略（选择筛选器、操作和其他设置），然后选择“创建”。
4. 在“Cloud Apps”下，通过选择“策略”->“策略管理”，可以选择策略并查看相关匹配项（活动、文件、警报）。

提示

为每个风险类别创建一个策略，以覆盖所有云环境安全方案。

策略如何为组织提供帮助？

使用策略帮助监视趋势、查看安全威胁并生成自定义报告和警报。 借助策略，可创建治理操作、设置数据丢失防护和文件共享控件。

步骤 4：设置 Cloud Discovery

操作说明页面：设置 Cloud Discovery

需完成的任务：使 Defender for Cloud Apps 能够查看云应用使用情况

1. 通过与 Microsoft Defender for Endpoint 集成，可自动使 Microsoft Defender for Cloud Apps 能够监视公司内部和外部的 Windows 10 和 Windows 11 设备。

2. 如果使用 Zscaler，则将其与 Defender for Cloud Apps 集成。

3. 要实现完全覆盖，请创建连续的 Cloud Discovery 报表

   1. 在 Microsoft Defender 门户中，选择“设置”。 然后选择“Cloud Apps”。
   2. 在“Cloud Discovery”下，选择“自动上传日志”。
   3. 在“数据源”选项卡上，添加资源。
   4. 在“日志收集器”选项卡上，配置日志收集器。

迁移建议
建议将 Defender for Cloud Apps 发现与当前的 CASB 解决方案并行使用。 首先，配置将防火墙日志自动上传到 Defender for Cloud Apps 日志收集器。 如果使用 Defender for Endpoint，请在 Microsoft Defender XDR 中确保启用用于将信号转发到 Defender for Cloud Apps 的选项。 配置 Cloud Discovery 不会与当前 CASB 解决方案的日志收集发生冲突。

创建快照 Cloud Discovery 报表

1. 在 Microsoft Defender 门户的“Cloud Apps”下，选择“Cloud Discovery”。
2. 在右上角，选择“操作”->“创建 Cloud Discovery 快照报表”。

为什么要配置 Cloud Discovery 报告？

了解组织中的影子 IT 至关重要。 分析日志后，可以轻松找到正在使用的云应用、用户和所处的设备。

步骤 5：为目录应用部署条件访问应用控制

操作说明页面：使用 Microsoft Entra ID 为目录应用部署条件访问应用控制

建议执行的任务：为目录应用部署条件访问应用控制

1. 将 IdP 配置为使用 Defender for Cloud Apps。 如果具有 Microsoft Entra ID，则可以使用“仅监视”和“阻止下载”等内联控制，这对任何目录应用都是直接有效的。
2. 将应用载入访问和会话控制。
   1. 在 Microsoft Defender 门户中，选择“设置”。 然后选择“Cloud Apps”。
   2. 在“连接的应用”下，选择“条件访问应用控制应用”。
   3. 使用策略范围内的用户登录每个应用
   4. 刷新“条件访问应用控制应用”页面，并查看应用。
3. 验证应用是否已配置为使用访问和会话控件

要为自定义业务线应用、非特别推荐的 SaaS 应用和本地应用配置会话控制，请参阅使用 Microsoft Entra ID 为自定义应用部署条件访问应用控制。

迁移建议
将条件访问应用控制与另一个 CASB 解决方案并行使用可能会导致应用被代理两次，进而导致延迟或其他错误。 因此，建议逐步将应用和策略迁移到条件访问应用控制，并在 Defender for Cloud Apps 中创建相关会话或访问策略。

步骤 6：对体验进行个性化设置

操作说明页面：将体验个性化

建议的任务：添加组织详细信息

输入电子邮件设置

1. 在 Microsoft Defender 门户中，选择“设置”。 然后选择“Cloud Apps”。
2. 在“系统”下，选择“邮件设置”。
3. 在“电子邮件发件人标识”下，输入电子邮件地址和显示名称。
4. 在“电子邮件设计”下，上传组织的电子邮件模板。

设置管理员通知

1. 在 Microsoft Defender 门户中，选择“设置”。 然后选择“Microsoft Defender XDR”。
2. 选择“电子邮件通知”。
3. 配置要为系统通知设置的方法。

自定义分数指标

1. 在 Microsoft Defender 门户中，选择“设置”。 然后选择“Cloud Apps”。
2. 在“Cloud Discovery”下，选择“分数指标”。
3. 配置各种风险值的重要性。
4. 选择“保存”。

现在，已根据组织需求和优先级对提供给发现的应用的风险评分进行精确配置。

为什么要对环境进行个性化设置？

一些功能在根据你的需求进行自定义时的性能最佳。 使用自己的电子邮件模板为用户提供更好的体验。 确定接收哪些通知并自定义你的风险评分指标以适应组织的首选项。

步骤 7：根据需要组织数据

操作说明页面：使用 IP 范围和标记

建议的任务：配置重要设置

创建 IP 地址标记

1. 在 Microsoft Defender 门户中，选择“设置”。 然后选择“Cloud Apps”。

2. 在“系统”下，选择“IP 地址范围”。

3. 选择“+ 添加 IP 地址范围”以添加 IP 地址范围。

4. 输入 IP 范围名称、IP 地址范围、类别和标记。

5. 选择“创建”。

   现可在创建策略以及筛选和创建连续报表时使用 IP 标记。

创建连续报告

1. 在 Microsoft Defender 门户中，选择“设置”。 然后选择“Cloud Apps”。
2. 在“Cloud Discovery”下，选择“连续报表”。
3. 选择“创建报表”。
4. 按照配置步骤进行操作。
5. 选择“创建”。

现在，你可以根据自己的喜好查看发现的数据，如业务部门或 IP 范围。

添加域

1. 在 Microsoft Defender 门户中，选择“设置”。 然后选择“Cloud Apps”。
2. 在“系统”下，选择“组织详细信息”。
3. 添加组织的内部域。
4. 选择“保存”。

为什么要配置这些设置？

这些设置可帮助你在控制台中更好地控制功能。 利用 IP 标记，可以更轻松地创建满足你的需求的策略，准确地筛选数据等。 使用数据视图将你的数据分组为逻辑类别。

后续步骤

使用策略控制云应用。

如果遇到任何问题，我们可以提供帮助。 要获取产品问题的帮助或支持，请开立支持票证。