步骤 1:将 SaaS 应用程序添加到 Microsoft Entra ID 和策略范围中

Microsoft Entra ID 是 Microsoft 基于云的标识和访问管理服务。 Microsoft Entra ID 针对身份验证和授权提供安全的解决方案,以便客户、合作伙伴和员工可以访问所需的应用程序。 通过 Microsoft Entra ID、条件访问多重身份验证单一登录 (SSO)自动用户预配,可轻松、安全地进行标识和访问管理。

将 SaaS 应用集成到 Microsoft Entra ID 中,以便你可以监视和配置对它们的访问。 Microsoft Entra ID 有一个应用程序库,它是已与 Microsoft Entra ID 预集成的 SaaS 应用的集合。 你还可以添加自己的自定义应用。 想要了解更多信息,请参阅将所有应用与 Microsoft Entra ID 集成的五个步骤

将应用添加到 Microsoft Entra ID 后,你可以通过将应用包含在零信任标识和设备访问策略的作用域中,来配置如何访问这些应用以及它们如何受制于特定条件。

如果你已部署了 Microsoft Defender for Cloud 应用,则可以发现你的组织中正在使用的 SaaS 应用。 有关详细信息,请参阅此解决方案的第 2 步发现和管理网络中的影子 IT

在 Microsoft Entra ID 中添加应用

将应用添加在 Microsoft Entra ID 中有助于你利用它提供的服务,包括:

  • 应用程序身份验证和授权。
  • 用户身份验证和授权。
  • 使用联合身份验证或密码的 SSO。
  • 用户预配和同步。
  • 基于角色的访问控制,它使用 Microsoft Entra 来定义应用程序角色,并在应用程序中执行基于角色的授权检查。
  • OAuth 授权服务,供 Microsoft 365 和其他 Microsoft 应用程序用来授予对 API 和资源的访问权限。
  • 应用程序发布和代理,用于将应用程序从专用网络发布到 Internet。
  • 目录架构扩展属性,用于在 Microsoft Entra ID 中存储更多数据。

你可以通过多种方式在 Microsoft Entra ID 中添加应用。 开始托管应用的最简单方法是使用应用程序库。 你还可以选择添加自定义应用。 本部分逐步讲解这两种方式。

Microsoft Entra ID 有一个应用程序库,它包含已与 Microsoft Entra ID 预集成的 SaaS 应用的集合。 只需要登录到 Microsoft Entra 管理中心,然后选择特定云平台中的应用程序、特别推荐应用程序,也可以搜索你要使用的应用程序。

有关详细信息,请参阅添加企业应用程序Microsoft Entra 应用程序库概述

你可以开发自己的自定义云应用,并在 Microsoft Entra ID 中注册它们。 在 Microsoft Entra ID 中注册它们后,你可以利用你的 Microsoft 365 租户提供的安全功能。 在 Microsoft Entra 管理中心内,你可以在“应用注册”中注册你的应用程序,也可以在“企业应用程序”中添加新应用程序时,使用“创建自己的应用程序”链接进行注册

有关详细信息,请参阅什么是 Microsoft Entra ID 中的应用程序管理?请求在 Microsoft Entra 应用程序库中发布应用程序

将应用添加到零信任标识和设备访问策略的作用域

你可以使用条件访问策略将控制措施分配给特定应用程序、操作或身份验证上下文。 你可以定义可以访问资源的设备类型、用户风险级别、受信任位置等条件,以及强身份验证等其他条件。 例如,多重身份验证 (MFA) 通过要求进行第二种形式的身份验证来提供额外的安全性,有助于保护对数据和应用程序的访问。

将应用添加到 Microsoft Entra ID 中之后,你需要将它们添加到零信任标识和设备访问策略的作用域中。

更新常用策略

下图显示了针对 SaaS 和 PaaS 应用的零信任标识和设备访问策略,其中突出显示了必须修改其作用域以包含你的 SaaS 应用的通用条件访问策略集。

针对 SaaS 应用的零信任标识和设备访问策略的示意图,其中突出显示了必须修改其作用域的策略。

对于要更新的每个策略,请确保你的应用及其依赖的服务包含在云应用的分配中。

此表列出了需要查看的策略,其中包含通用标识和设备访问策略集中每个策略的链接。

保护级别 策略 说明
起点 登录风险为时需要 MFA 确保你的云应用和依赖的服务包含在应用列表中。
阻止不支持新式验证的客户端 将你的应用和依赖的服务包含在云应用的分配中。
高风险用户必须更改密码 如果检测到帐户存在高风险活动,则应强制应用用户在登录时更改密码。
应用 APP 数据保护策略 确保你的云应用和依赖的服务包含在应用列表中。 更新所有平台的策略 (iOS、Android、Windows)。
企业 当登录风险为低、中或高时,要求进行 MFA 确保你的云应用和依赖的服务包含在应用列表中。
需要合规的电脑移动设备 确保你的云应用和依赖的服务包含在应用列表中。
专用安全性 始终需要 MFA 无论用户标识如何,你的组织都使用 MFA。

想要了解更多信息,请参阅适用于 SaaS 应用的推荐 Microsoft Defender for Cloud Apps 策略

下一步

用于集成和保护 SaaS 应用的步骤的示意图,其中突出显示了第 2 步。

继续执行步骤 2 以创建 Defender for Cloud Apps 策略。