建立 適用於雲端的 Microsoft Defender 應用程式存取原則

適用於雲端的 Microsoft Defender 應用程式存取原則使用條件式存取應用程控來提供即時監視和控制雲端應用程式的存取。 訪問控制原則會根據使用者、位置、裝置和應用程式來控制存取，並且支援任何裝置。

為主機應用程式建立的原則不會連線到任何相關的資源應用程式。 例如，您為 Teams、Exchange 或 Gmail 建立的存取原則未連線到 SharePoint、OneDrive 或 Google Drive。 如果您需要資源應用程式的原則，以及主機應用程式，請建立個別的原則。

提示

如果您想要在監視會話或限制特定會話活動時，通常允許存取，請改為建立會話原則。 如需詳細資訊，請參閱工作階段原則。

必要條件

開始之前，請確定您具備下列必要條件：

• 適用於雲端的 Defender Apps 授權，可以是獨立授權或另一個授權的一部分。

• Microsoft Entra ID P1 的授權，可以是獨立授權或另一個授權的一部分。

• 如果您使用非Microsoft IdP，則身分識別提供者 （IdP） 解決方案所需的授權。

• 已上線至條件式存取應用程控的相關應用程式。 Microsoft Entra ID 應用程式會自動上線，而非Microsoft IdP 應用程式必須手動上線。

  如果您使用非Microsoft IdP，請確定您也已將IdP設定為使用 適用於雲端的 Microsoft Defender Apps。 如需詳細資訊，請參閱

  • 針對條件式存取應用程控將非Microsoft IdP 目錄應用程序上線
  • 針對條件式存取應用程控將非Microsoft IdP 自定義應用程序上線

為了讓存取原則能夠運作，您也必須有一個Microsoft Entra ID 條件式存取原則，這會建立控制流量的許可權。

範例：建立Microsoft專案標識符條件式存取原則以搭配 適用於雲端的 Defender Apps 使用

此程式提供如何建立條件式存取原則以搭配 適用於雲端的 Defender Apps 使用的高階範例。

1. 在 [Microsoft專案標識符條件式存取] 中，選取 [ 建立新原則]。

2. 為您的原則輸入有意義的名稱，然後選取 [會話] 底下的連結，以將控件新增至您的原則。

3. 在 [ 工作階段] 區域中，選取 [ 使用條件式存取應用程控]。

4. 在 [ 使用者] 區域中，選取以包含所有使用者，或僅限特定使用者和群組。

5. 在 [ 條件 ] 和 [用戶端應用程式] 區域中，選取您想要包含在原則中的條件和用戶端應用程式。

6. 將僅限報表切換至 [開啟] 以儲存原則，然後選取 [建立]。

Microsoft Entra ID 同時支援瀏覽器型和非瀏覽器型原則。 建議您建立這兩種類型，以提高安全性涵蓋範圍。

重複此程式以建立以非瀏覽器為基礎的條件式存取原則。 在 [ 用戶端應用程式] 區域中，將 [ 設定 ] 選項切換為 [ 是]。 然後，在 [新式驗證用戶端] 下，清除 [瀏覽器] 選項。 保留所有其他預設選取專案。

注意：條件式存取應用程控服務會在內部使用企業應用程式「適用於雲端的 Microsoft Defender 應用程式 – 會話控件」。 請確定 CA 原則不會限制在目標資源中存取此應用程式。

如需詳細資訊，請參閱 條件式存取原則 和 建置條件式存取原則。

建立 適用於雲端的 Defender 應用程式存取原則

此程式描述如何在 適用於雲端的 Defender Apps 中建立新的存取原則。

1. 在 Microsoft Defender 全面偵測回應 中，選取 [雲端應用程式原則>>原則管理>條件式存取] 索引卷標。

2. 選取 [建立原則>存取原則]。 例如：

   

3. 在 [ 建立存取原則] 頁面上，輸入下列基本資訊：

   名稱	描述
   原則名稱	原則有意義的名稱，例如 封鎖來自非受控裝置的存取
   原則嚴重性	選取您想要套用至原則的嚴重性。
   類別	保留訪問控制的 預設值
   說明	為您的原則輸入選擇性且有意義的描述，以協助小組瞭解其用途。

4. 在 符合下列 所有區域的活動中，選取要套用至原則的其他活動篩選。 篩選包括下列選項：

   名稱	描述
   應用程式	篩選要包含在原則中的特定應用程式。 選取應用程式，方法是先針對非Microsoft IdP 應用程式選取 [自動化 Azure AD 上線]、[Microsoft Entra ID 應用程式] 或 [手動上線]。 然後，從清單中選取您想要包含在篩選中的應用程式。 如果您的非Microsoft IdP 應用程式從清單中遺失，請確定您已完整上線。 如需詳細資訊，請參閱： - 針對條件式存取應用程控將非Microsoft IdP 目錄應用程序上線 - 針對條件式存取應用程控將非Microsoft IdP 自定義應用程序上線 如果您選擇不使用應用程式篩選器，原則會套用至 [設定>雲端應用程式>連線>應用程式] 條件式存取應用程控應用程式頁面上標示為 [已啟用] 的所有應用程式。 注意：您可能會在上線的應用程式和需要手動上線的應用程式之間看到一些重疊。 如果應用程式之間的篩選發生衝突，手動上線的應用程式會優先。
   用戶端應用程式	篩選瀏覽器或行動裝置/傳統型應用程式。
   裝置	篩選裝置標籤，例如特定裝置管理方法，或裝置類型，例如電腦、行動裝置或平板電腦。
   IP 位址	篩選每個IP位址，或使用先前指派的IP位址標籤。
   地點	依地理位置進行篩選。 沒有明確定義的位置可能會識別有風險的活動。
   已註冊的 ISP	篩選來自特定 ISP 的活動。
   使用者	篩選特定用戶或使用者群組。
   使用者代理程式字串	篩選特定使用者代理程式字串。
   使用者代理程式標籤	篩選使用者代理程式標籤，例如過時的瀏覽器或作業系統。

   例如：

   

   選取 [編輯] 和 [預覽結果 ]，以取得使用您目前選取專案傳回的活動類型預覽。

5. 在 [ 動作] 區域中，選取下列其中一個選項：

   • 稽核：設定此動作以根據您明確設定的原則篩選來允許存取。

   • 封鎖：根據您明確設定的原則篩選，設定此動作以封鎖存取。

6. 在 [ 警示] 區域中，視需要設定下列任何動作：

   • 使用原則嚴重性為每個相符事件建立警示
   • 以電子郵件傳送警示
   • 每個原則的每日警示限制
   • 將警示傳送至 Power Automate

7. 完成時，選取建立。

測試您的原則

建立存取原則之後，請重新驗證原則中所設定的每個應用程式，以進行測試。 確認您的應用程式體驗如預期般，然後檢查您的活動記錄。

建議您：

• 為專為測試而建立的使用者建立原則。
• 重新驗證您的應用程式之前，請先註銷所有現有的工作階段。
• 從受控和非受控裝置登入行動裝置和桌面應用程式，以確保活動記錄檔中已完全擷取活動。

請務必使用符合原則的使用者登入。

若要在應用程式中測試您的原則：

• 請瀏覽屬於使用者工作程式一部分之應用程式內的所有頁面，並確認頁面正確轉譯。
• 執行下載和上傳檔案等常見動作，確認應用程式的行為和功能不會受到負面影響。
• 如果您正在使用自定義、非Microsoft IdP 應用程式，請檢查您 為應用程式手動新增的每個網域。

若要檢查活動記錄：

1. 在 Microsoft Defender 全面偵測回應 中，選取 [雲端應用程式>活動記錄]，並檢查針對每個步驟擷取的登入活動。 您可以選取 [進階篩選 ] 並篩選 [來源等於訪問控制] 來篩選。

   單一登錄登入 活動是條件式存取應用程控事件。

2. 選取活動以展開以取得詳細數據。 檢查使用者代理程式標籤是否正確反映裝置是否為內建客戶端、行動裝置或傳統型應用程式，或裝置是符合規範且已加入網域的受管理裝置。

如果您遇到錯誤或問題，請使用 [ 系統管理員檢視] 工具列 來收集資源，例如 .Har 檔案和記錄的會話，然後提出支援票證。

建立身分識別受控裝置的存取原則

使用客戶端憑證來控制未Microsoft已加入 Entra 混合式且不受 intune Microsoft管理的裝置的存取權。 將新的憑證推出至受控裝置，或使用現有的憑證，例如第三方 MDM 憑證。 例如，您可能想要將用戶端憑證部署到受管理的裝置，然後封鎖從沒有憑證的裝置存取。

如需詳細資訊，請參閱 使用條件式存取應用程控的身分識別受控裝置。

相關內容

如需詳細資訊，請參閱

• 針對存取和會話控件進行疑難解答
• 教學課程：使用條件式存取應用程控封鎖下載敏感性資訊
• 使用會話控件封鎖非受控裝置上的下載
• 條件式存取應用程控網路研討會

如果您遇到任何問題，我們會在這裡提供説明。 若要取得產品問題的協助或支援，請 開啟支援票證。