Share via

教學課程:將治理延伸至端點補救

  • 發行項

適用於雲端的 Defender Apps 為原則提供預先定義的治理選項,例如暫停使用者或將檔案設為私用。 使用與 Microsoft Power Automate 的原生整合,您可以使用軟體即服務 (SaaS) 連接器的大型生態系統來建置工作流程,以自動化程式,包括補救。

例如,偵測到可能的惡意代碼威脅時,您可以使用工作流程來開始 適用於端點的 Microsoft Defender 補救動作,例如執行防毒掃描或隔離端點。

在本教學課程中,您將瞭解如何設定原則控管動作,以使用工作流程在用戶顯示可疑行為的端點上執行防毒掃描:

注意

這些工作流程僅與包含用戶活動的原則相關。 例如,您無法搭配探索或 OAuth 原則使用這些工作流程。

如果您沒有Power Automate方案, 請註冊免費試用帳戶

必要條件

  • 您必須擁有有效的 Microsoft Power Automate 方案
  • 您必須有有效的 適用於端點的 Microsoft Defender 方案
  • Power Automate 環境必須是已同步的 Microsoft Entra ID、受監視的適用於端點的 Defender,以及已加入網域

階段 1:產生 適用於雲端的 Defender 應用程式 API 令牌

注意

如果您先前已使用 適用於雲端的 Defender Apps 連接器建立工作流程,Power Automate 會自動重複使用令牌,而且您可以略過此步驟。

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。

  2. 在 [系統] 底下,選擇 [API 令牌]。

  3. 選取 [+新增令牌 ] 以產生新的 API 令牌。

  4. 在 [ 產生新的令牌] 彈出視窗中,輸入令牌 名稱(例如“Flow-Token”),然後選取 [ 產生]。

    Screenshot of the token window, showing the name entry and generate button.

  5. 產生令牌之後,請選取所產生令牌右邊的複製圖示,然後選取 [ 關閉]。 稍後您將需要令牌。

    Screenshot of the token window, showing the token and the copy process.

階段 2:建立流程以執行防毒掃描

注意

如果您先前已使用適用於端點的 Defender 連接器建立流程,Power Automate 會自動重複使用連接器,而且您可以略過 登入 步驟。

  1. 移至 Power Automate 入口 網站 ,然後選取 [ 範本]。

    Screenshot of the main Power Automate page, showing the selection of templates.

  2. 搜尋 適用於雲端的 Defender 應用程式,然後選取在 適用於雲端的 Defender Apps 警示上使用 Windows Defender 執行防毒掃描。

    Screenshot of the templates Power Automate page, showing the search results.

  3. 在應用程式清單中,於 適用於端點的 Microsoft Defender 連接器出現的數據列中,選取 [登入]。

    Screenshot of the templates Power Automate page, showing the sign-in process.

階段 3:設定流程

注意

如果您先前已使用 Microsoft Entra 連接器建立流程,Power Automate 會自動重複使用令牌,而且您可以略過此步驟。

  1. 在應用程式清單中,在 適用於雲端的 Defender 應用程式出現的數據列中,選取 [建立]。

    Screenshot of the templates Power Automate page, showing the Defender for Cloud Apps create button.

  2. [適用於雲端的 Defender 應用程式] 彈出視窗中,輸入連線名稱(例如「適用於雲端的 Defender 應用程式令牌」),貼上您複製的 API 令牌,然後選取 [建立]。

    Screenshot of the Defender for Cloud Apps window, showing the name and key entry and create button.

  3. 在應用程式清單中,於出現 HTTP 與 Azure AD 的數據列中,選取 [登入]。

  4. 在 [HTTP with Azure AD] 彈出視窗中,針對 [基底資源 URL] 和 [Azure AD 資源 URI] 字段,輸入 https://graph.microsoft.com,然後選取 [登入],然後輸入您想要搭配 AZURE AD 連接器搭配 HTTP 使用的系統管理員認證。

    Screenshot of the HTTP with Azure AD window, showing the Resource fields and sign-in button.

  5. 選取繼續

    Screenshot of the templates Power Automate window, showing the completed actions and continue button.

  6. 成功連接所有連線者之後,請在流程頁面的 [套用至每個裝置] 底下,選擇性地修改批注和掃描類型,然後選取 [儲存]。

    Screenshot of the flow page, showing the scan setting section.

階段 4:設定原則以執行流程

  1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 下,移至 [原則 -> 原則管理]。

  2. 在原則清單中,在相關原則出現的數據列上,選擇數據列結尾的三個點,然後選擇 [ 編輯原則]。

  3. 在 [警示] 底下,選取 [將警示傳送至 Power Automate],然後在 適用於雲端的 Defender Apps 警示時選取 [使用 Windows Defender 執行防毒掃描]。

    Screenshot of the policy page, showing the alerts settings section.

現在,針對此原則引發的每個警示都會起始執行防毒掃描的流程。

您可以使用本教學課程中的步驟來建立各種不同的工作流程型動作,以擴充 適用於雲端的 Defender Apps 補救功能,包括其他適用於端點的 Defender 動作。 若要查看預先定義的 適用於雲端的 Defender Apps 工作流程清單,請在 Power Automate 中搜尋 “適用於雲端的 Defender Apps”。

另請參閱

與 Power Automate 整合以進行自定義警示自動化