使用 Azure AD 为目录应用部署条件访问应用控制

  • 项目

注意

Microsoft Defender for Cloud Apps现在是Microsoft 365 Defender的一部分,它关联来自整个Microsoft Defender套件的信号,并提供事件级别的检测、调查和强大的响应功能。 有关详细信息,请参阅 Microsoft 365 Defender 中的 Microsoft Defender for Cloud Apps。

Microsoft Defender for Cloud Apps中的访问和会话控制适用于云应用目录中的应用程序和自定义应用程序。 有关预载入且现成的应用列表,请参阅 使用 Defender for Cloud Apps 条件访问应用控制保护应用

先决条件

  • 组织必须具有以下许可证才能使用条件访问应用控制:

  • 必须使用单一登录配置应用

  • 应用必须使用以下身份验证协议之一:

    IdP 协议
    Azure AD SAML 2.0 或 OpenID Connect
    其他 SAML 2.0

部署目录应用

按照以下步骤将目录应用配置为由Microsoft Defender for Cloud Apps条件访问应用控制进行控制。

配置与 Azure AD 的集成

注意

在 Azure AD 或其他标识提供者中使用 SSO 配置应用程序时,可列为可选字段的一个字段是登录 URL 设置。 请注意,条件访问应用控制可能需要此字段才能正常工作。

使用以下步骤创建将应用会话路由到 Defender for Cloud Apps 的 Azure AD 条件访问策略。 有关其他 IdP 解决方案,请参阅 配置与其他 IdP 解决方案的集成

  1. 在 Azure AD 中,浏览到 “安全>条件访问”。

  2. “条件访问 ”窗格的顶部工具栏中,选择“ 新建策略 ”->“创建新策略”。

  3. 在“ 新建 ”窗格的“ 名称 ”文本框中,输入策略名称。

  4. 在“ 分配”下,选择“ 用户或工作负荷标识 ”,并分配将加入 (初始登录和验证) 应用的用户和组。

  5. 在“ 分配”下,选择“ 云应用或操作 ”,并分配想要使用条件访问应用控制控制的应用和操作。

  6. 在“ 访问控制”下,选择“ 会话”,选择“ 使用条件访问应用控制”,然后选择内置策略 (“仅监视 (预览版) ”或 “阻止下载 (预览版) ) ”或 “使用自定义策略 在 Defender for Cloud Apps 中设置高级策略”,然后选择“ 选择”。

    Azure AD 条件访问。

  7. (可选)根据需要添加条件并授予控件。

  8. “启用策略” 设置为“ 打开 ”,然后选择“ 创建”。

注意

在继续之前,请确保先注销现有会话。

创建策略后,登录到使用该策略配置的每个应用。 请确保使用策略中配置的用户进行登录。

Defender for Cloud Apps 将策略详细信息同步到你登录的每个新应用的服务器。 这可能需要一分钟时间。

上述说明帮助你直接在 Azure AD 中为目录应用创建内置 Defender for Cloud Apps 策略。 在此步骤中,验证是否为这些应用配置了访问和会话控件。

  1. 在Microsoft 365 Defender门户中,选择“设置”。 然后选择“ 云应用”。

  2. “连接的应用”下,选择“ 条件访问应用控制应用”。 查看 “可用控件” 列,验证“ 访问控制 ”或 “Azure AD 条件访问”“会话控制 ”是否都针对应用显示。

    注意

    如果应用未启用会话控件,可以通过选择“ 加入会话控件 ”并选中“ 将此应用用于会话控件”来添加它。 使用会话控制加入。

准备好在组织的生产环境中启用应用后,请执行以下步骤。

  1. 在Microsoft 365 Defender门户中,选择“设置”。 然后选择“ 云应用”。

  2. “连接的应用”下,选择“ 条件访问应用控制应用”。 在应用列表中,在要部署的应用所在的行上,选择行末尾的三个点,然后选择 “编辑应用”。

  3. 选择“ 将应用与会话控件配合使用 ”,然后选择“ 保存”。

    编辑此应用对话框。

  4. 首先注销任何现有会话。 然后尝试登录到已成功部署的每个应用。 使用与 Azure AD 中配置的策略匹配的用户或针对使用标识提供者配置的 SAML 应用的用户登录。

  5. 在Microsoft 365 Defender门户中的“云应用”下,选择“活动日志”,并确保为每个应用捕获登录活动。

  6. 可以通过选择“ 高级”进行筛选,然后使用 “源等于访问控制”进行筛选。

    使用 Azure AD 条件访问进行筛选。

  7. 建议从受管理设备和非管理的设备分别登录到移动和桌面应用。 这是为了确保活动日志能够正确捕获活动。
    若要验证活动是否已正确捕获,请选择单一登录登录活动,以便打开活动抽屉。 确保“用户代理标记”正确反映设备是本机客户端(即移动或桌面应用)还是受管理设备(符合、域加入或有效的客户端证书)

注意

在部署后,不能从“条件访问应用控制”页删除应用程序。 只要你没有在应用上设置会话或访问策略,条件访问应用控制就不会改变应用的任何行为。

后续步骤

« 上一篇:条件访问应用控制简介

下一步:为任何应用部署条件访问应用控件 »

访问和会话控制疑难解答

若遇到任何问题,可随时向我们寻求帮助。 若要获取帮助或支持以解决产品问题,请打开支持票证