通过

治理 Microsoft Defender for Endpoint 发现的应用

  • 项目

Microsoft Defender for Cloud Apps 与 Microsoft Defender for Endpoint 的集成提供了无缝的影子 IT 可见性和控制解决方案。 我们的集成使 Defender for Cloud Apps 管理员能够通过将 Defender for Cloud Apps 应用治理控制与 Microsoft Defender for Endpoint 的网络保护本机集成来阻止最终用户访问云应用。 或者,管理员可以在访问有风险的云应用时采取更为简单的警告用户的方法。

Defender for Cloud Apps 使用内置的未批准应用标签将云应用标记为禁止使用,可在 Cloud Discovery 和云应用目录页中使用。 通过启用与 Defender for Endpoint 的集成,在 Defender for Cloud Apps 门户中单击一下即可无缝阻止访问未批准的应用。

在 Defender for Cloud Apps 中标记为“未批准”的应用会自动同步到 Defender for Endpoint。 更具体地说,这些未批准的应用使用的域将传播到端点设备,由 Microsoft Defender 防病毒软件的网络保护 SLA 阻止。

注意

从在 Defender for Cloud Apps 中将应用标记为未批准的应用,到应用在设备中被阻止,通过 Defender for Endpoint 阻止应用的时间延迟最长为 3 个小时。 这是因为将 Defender for Cloud Apps 批准的/未批准的应用同步到 Defender for Endpoint 最多需要 1 个小时,而一旦在 Defender for Endpoint 中创建了指示器,将策略推送到设备以阻止应用则需要长达 2 个小时。

先决条件

启用使用 Defender for Endpoint 阻止云应用

按照以下步骤为云应用启用访问控制:

  1. 在 Microsoft Defender 门户中,选择“设置”。 然后选择“Cloud Apps”。 在“Cloud Discovery”下,选择“Microsoft Defender for Endpoint”,然后选择“强制执行应用访问”

    显示如何使用 Defender for Endpoint 启用阻止的屏幕截图。

    注意

    此设置最多需要 30 分钟才能生效。

  2. 在 Microsoft Defender XDR 中,转到“设置”>“端点”>“高级功能”,然后选择“自定义网络指示器”。 有关网络指示器的信息,请参阅为 IP 和 URL/域创建指示器

    这样,你就可以利用 Microsoft Defender 防病毒网络保护功能,通过手动将应用标记分配给特定应用,或自动使用应用发现策略,以使用 Defender for Cloud Apps 阻止访问一组预定义的 URL。

    显示如何在 Defender for Endpoint 中启用自定义网络指示器的屏幕截图。

针对特定设备组阻止应用

要阻止特定设备组的使用,请执行以下步骤:

  1. 在 Microsoft Defender 门户中,选择“设置”。 然后选择“Cloud Apps”。 在“Cloud Discovery”下,选择“应用标记”并转到“限定范围的配置文件”选项卡。

  2. 选择“添加配置文件”。 配置文件设置了范围限定为阻止/取消阻止应用的实体。

  3. 提供描述性配置文件名称和说明。

  4. 选择配置文件是“包含”还是“排除”配置文件。

    • 包含:只有包含的实体集才会受到访问强制措施的影响。 例如,配置文件 myContoso 对于设备组 A 和 B 具有包含。使用配置文件 myContoso 阻止应用 Y 将仅阻止组 A 和 B 的应用访问。

    • 排除:排除的实体集不受访问强制措施的影响。 例如,配置文件 myContoso 对于设备组 A 和 B 具有排除。使用配置文件 myContoso 阻止应用 Y 将阻止除组 A 和 B 以外的整个组织的应用访问。

  5. 为配置文件选择相关设备组。 列出的设备组是从 Microsoft Defender for Endpoint 拉取的。 有关更多信息,请参阅创建设备组

  6. 选择“保存”。

    作用域配置文件。

要阻止应用,请执行以下步骤:

  1. 在 Microsoft Defender 门户的“Cloud Apps”下,转到“Cloud Discovery”,然后转到“发现的应用”选项卡。

  2. 选择应阻止的应用。

  3. 将应用标记为“未批准”

    取消批准应用。

  4. 若要阻止组织中的所有设备,请在标记为未批准?对话框中,选择保存。 要阻止组织中的特定设备组,请选择“选择一个配置文件以包含或排除要阻止的组”。 然后选择要阻止应用的配置文件,再选择“保存”

    选择配置文件以取消批准应用。

    仅当租户启用了使用 Defender for Endpoint 阻止云应用,并且你具有管理员访问权限进行更改时,才会显示标记为未批准?对话框。

注意

  • 强制措施功能基于 Defender for Endpoint 的自定义 URL 指示器。
  • 在发布此功能之前,在 Defender for Cloud Apps 创建的指示器上手动设置的任何组织范围都将被 Defender for Cloud Apps 覆盖。 应使用限定范围的配置文件体验从 Defender for Cloud Apps 体验设置所需的范围。
  • 要从未批准的应用中移除选定的范围配置文件,请移除未批准的标记,然后使用所需的限定范围配置文件再次标记该应用。
  • 应用域在使用相关标签或/和范围标记后,最多可能需要两个小时才能在端点设备中传播和更新。
  • 当应用标记为受监视时,仅当内置 Win10 终结点用户数据源在过去 30 天内一直接收数据时,应用作用域配置文件的选项才会显示。

在访问有风险的应用时告知用户

管理员可以选择在用户访问有风险的应用时对用户发出警告。 系统不会阻止用户,而是向他们提示一条消息,提供一个自定义重定向链接,该链接指向列出批准使用的应用的公司页。 提示为用户提供了绕过警告并继续使用应用的选项。 管理员还可以监视绕过警告消息的用户数量。

Defender for Cloud Apps 使用内置的受监视应用标记将云应用标记为有使用风险。 此标记在 Cloud Discovery 和云应用目录页上均有提供。 通过启用与 Defender for Endpoint 的集成,只需在 Defender for Cloud Apps 门户中单击一下,即可在用户访问受监视应用时无缝发出警告。

标记为“受监视”的应用会自动同步到 Defender for Endpoint 的自定义 URL 指示器,通常只需几分钟。 更具体地说,受监视应用使用的域会传播到端点设备,提供 Microsoft Defender 防病毒软件的网络保护 SLA 发出的警告消息。

为警告消息设置自定义重定向 URL

按照以下步骤配置指向公司网页的自定义 URL,在该网页上,你可以向员工说明他们被警告的原因,并提供一份符合组织风险接受度,或已由组织管理的其他批准的应用列表。

  1. 在 Microsoft Defender 门户中,选择“设置”。 然后选择“Cloud Apps”。 在“Cloud Discovery”下,选择“Microsoft Defender for Endpoint”

  2. 在“通知 URL”框中,输入 URL。

    显示如何配置通知 URL 的屏幕截图。

设置用户绕过持续时间

由于用户可以绕过警告消息,因此可以使用以下步骤来配置绕过适用的持续时间。 持续时间过后,当用户下次访问受监视的应用时,系统会向其提示警告消息。

  1. 在 Microsoft Defender 门户中,选择“设置”。 然后选择“Cloud Apps”。 在“Cloud Discovery”下,选择“Microsoft Defender for Endpoint”

  2. 在“绕过持续时间”框中,输入用户绕过的持续时间(小时)。

    显示如何配置跳过持续时间的屏幕截图。

监视已采用的应用控制

应用控制后,可以使用以下步骤,按照采用的控制措施(访问、阻止、绕过)来监视应用使用模式。

  1. 在 Microsoft Defender 门户的“Cloud Apps”下,转到“Cloud Discovery”,然后转到“发现的应用”选项卡。使用筛选器查找相关的受监视应用。
  2. 选择应用的名称,查看应用的概述页上采用的应用控制。

后续步骤

调查 Microsoft Defender for Endpoint 发现的应用

使用策略控制云应用

使用 Defender for Endpoint 发现和阻止影子 IT

公司网络之外的影子 IT 发现

如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证