在應用程式控管中建立應用程式原則
除了一組內建功能來偵測異常應用程式行為,並根據機器學習演算法產生警示,應用程式控管中的原則可讓您:
指定應用程式控管警示您以自動或手動補救應用程式行為的條件。
為您的組織強制執行應用程式合規性原則。
使用應用程式控管為連線至 Microsoft Entra ID、Google Workspace 和 Salesforce 的應用程式建立 OAuth 原則。
建立 Microsoft Entra 識別碼的 OAuth 應用程式原則
對於連線至 Microsoft Entra ID 的應用程式,請從可自訂的範本建立應用程式原則,或建立您自己的自訂應用程式原則。
若要為 Azure AD 應用程式建立新的應用程式原則,請移至 Microsoft Defender 全面偵測回應 > 應用程式控管 > 原則 > Azure AD 。
例如:
選取 [ 建立新原則] 選項,然後執行下列步驟之一:
- 若要從範本建立新的應用程式原則,請選擇相關的範本類別,後面接著該類別中的範本。
- 若要建立自訂原則,請選取 [ 自訂 ] 類別。
例如:
應用程式原則範本
若要根據應用程式原則範本建立新的應用程式原則,請在 [選擇應用程式原則範本] 頁面上 ,選取應用程式範本的類別,選取範本的名稱,然後選取 [下一步 ]。
下列各節說明應用程式原則範本類別。
使用方式
下表列出支援產生應用程式使用量警示的應用程式控管範本。
範本名稱 | 描述 |
---|---|
具有高資料使用量的新應用程式 | 尋找使用圖形 API 上傳或下載大量資料的新註冊應用程式。 此原則會檢查下列條件: |
增加使用者 | 尋找可大幅增加使用者數目的應用程式。 此原則會檢查下列條件: |
權限
下表列出支援產生應用程式許可權警示的應用程式控管範本。
範本名稱 | 描述 |
---|---|
過度許可權的應用程式 | 尋找具有未使用圖形 API 許可權的應用程式。 這些應用程式已獲授與一般使用時可能不必要的許可權。 |
新的高許可權應用程式 | 尋找已授與寫入權限和其他強大圖形 API 許可權的新註冊應用程式。 此原則會檢查下列條件: |
具有非圖形 API 許可權的新應用程式 | 尋找具有非 Graph API 許可權的新註冊應用程式。 如果這些應用程式存取的 API 收到有限的支援和更新,這些應用程式可能會讓您面臨風險。 此原則會檢查下列條件: |
認證
下表列出支援為 Microsoft 365 認證產生警示的應用程式控管範本。
範本名稱 | 描述 |
---|---|
新的未認證應用程式 | 尋找沒有發行者證明或 Microsoft 365 認證的新註冊應用程式。 此原則會檢查下列條件: |
自訂原則
當您需要執行其中一個內建範本尚未完成的工作時,請使用自訂應用程式原則。
若要建立新的自訂應用程式原則,請先選取 [原則 ] 頁面上的 [ 建立新原則 ]。 在 [ 選擇應用程式原則範本] 頁面上 ,選取 [ 自訂] 類別、 [自訂 原則 範本],然後選取 [ 下一步 ]。
在 [ 名稱和描述 ] 頁面上,設定下列專案:
- 原則名稱
- 原則描述
- 選取原則嚴重性,以設定此原則所產生的警示嚴重性。
- 高
- 中
- 低
在 [ 選擇原則設定和條件 ] 頁面上,針對 [ 選擇此原則適用的 應用程式],選取:
- 所有應用程式
- 選擇特定應用程式
- 所有應用程式除外
如果您選擇特定應用程式,或此原則以外的所有應用程式,請選取 [新增應用程式 ],然後從清單中選取所需的應用程式。 在 [ 選擇應用程式] 窗格中,您可以選取套用此原則的多個應用程式,然後選取 [ 新增 ]。 當您滿意清單時,請選取 [下一步 ]。
選取 [ 編輯條件 ]。 選取 [ 新增條件 ],然後從清單中選擇條件。 設定所選條件所需的臨界值。 重複以新增更多條件。 選取 [ 儲存 ] 以儲存規則,當您完成新增規則時,請選取 [ 下一步 ]。
注意
某些原則條件僅適用于存取圖形 API 許可權的應用程式。 評估僅存取非 Graph API 的應用程式時,應用程式控管會略過這些原則條件,並繼續檢查其他原則條件。
以下是自訂應用程式原則的可用條件:
Condition 接受的條件值 描述 詳細資訊 註冊年齡 過去 X 天內 從目前日期起,在指定期間內註冊至 Microsoft Entra 識別碼的應用程式 認證 沒有認證,發行者證明,Microsoft 365 認證 Microsoft 365 認證、發行者證明報告或兩者都沒有的應用程式 Microsoft 365 認證 發行者已驗證 是或否 已驗證發行者的應用程式 發行者驗證 應用程式許可權 (僅限圖形) 從清單中選取一或多個 API 許可權 具有直接授與特定圖形 API 許可權的應用程式 Microsoft Graph 權限參考 委派的許可權 (僅限圖形) 從清單中選取一或多個 API 許可權 具有使用者所指定特定圖形 API 許可權的應用程式 Microsoft Graph 權限參考 高度特殊許可權 (僅限圖形) 是或否 具有相對強大圖形 API 許可權的應用程式 以 適用於雲端的 Defender Apps 所使用的相同邏輯為基礎的內部指定。 過度許可權 (僅限圖表) 是或否 具有未使用圖形 API 許可權的應用程式 具有比那些應用程式所使用的許可權更高的應用程式。 非圖形 API 許可權 是或否 具有非圖形 API 許可權的應用程式。 如果這些應用程式存取的 API 收到有限的支援和更新,這些應用程式可能會讓您面臨風險。 資料使用量 (僅限圖表) 每天下載和上傳的資料大於 X GB 使用圖形 API 讀取和寫入超過指定資料量的應用程式 資料使用量趨勢 (僅限圖表) 與前一天相比,資料使用量增加的 X% 與前一天相比,使用 Graph API 讀取和寫入資料的應用程式已增加指定的百分比 API 存取 (僅限圖形) 每天大於 X API 呼叫 在一天內對指定數目的圖形 API 呼叫進行的應用程式 API 存取趨勢 (僅限圖形) 相較于前一天,API 呼叫的 X% 增加 與前一天相比,圖形 API 呼叫數目已增加指定百分比的應用程式 同意使用者數目 (大於或小於)X 同意的使用者 已獲得同意的應用程式數目大於或少於指定的使用者數目 增加同意使用者 過去 90 天內使用者增加的 X % 過去 90 天內,同意使用者數目已超過指定百分比的應用程式 給定的優先順序帳戶同意 是或否 已由優先使用者同意的應用程式 具有 優先順序帳戶 的使用者。 同意使用者的名稱 從清單中選取使用者 已由特定使用者同意的應用程式 同意使用者的角色 從清單中選取角色 已由具有特定角色的使用者同意的應用程式 允許多個選取專案。 應在此清單中提供任何具有指派成員的 Microsoft Entra 角色。
存取敏感度標籤 從清單中選取一或多個敏感度標籤 在過去 30 天記憶體取具有特定敏感度標籤之資料的應用程式。 存取的服務 (僅限圖形) Exchange 和/或 OneDrive 和/或 SharePoint 和/或 Teams 已使用圖形 API 存取 OneDrive、SharePoint 或 Exchange Online 的應用程式 允許多個選取專案。 錯誤率 (僅限圖形) 過去七天內的錯誤率大於 X% 過去七天內圖形 API 錯誤率大於指定百分比的應用程式 此應用程式原則必須符合所有指定的條件,才能產生警示。
當您完成指定條件時,請選取 [ 儲存 ],然後選取 [ 下一步 ]。
在 [ 定義原則動作 ] 頁面上,如果您想要應用程式控管在此原則產生警示時停用應用程式,請選取 [停用 應用程式],然後選取 [ 下一步 ]。 套用動作時請小心,因為原則可能會影響使用者和合法的應用程式使用。
在 [ 定義原則狀態 ] 頁面上,選取下列其中一個選項:
- 稽核模式 :系統會評估原則,但不會執行已設定的動作。 稽核模式原則會出現在原則 清單中,狀態為 [稽核 ]。 您應該使用稽核模式來測試新的原則。
- 作用中 :系統會評估原則並設定動作。
- 非使用中 :不會評估原則,而且不會執行已設定的動作。
請仔細檢閱自訂原則的所有參數。 當您滿意時,請選取 [ 提交 ]。 您也可以選取 任何設定下方的 [編輯 ] 來返回並變更設定。
測試及監視新的應用程式原則
現在已建立您的應用程式原則,您應該在 [原則] 頁面上監視它,以確保它在測試期間註冊預期的作用中警示數目和警示總數。
如果警示數目非預期較低的值,請編輯應用程式原則的設定,以確保您在設定其狀態之前已正確設定。
以下是建立新原則、測試新原則,然後讓它成為作用中的程式範例:
- 建立新原則,並將嚴重性、應用程式、條件和動作設定為初始值,並將狀態設定為 稽核模式 。
- 檢查預期的行為,例如產生的警示。
- 如果行為不預期,請視需要編輯原則應用程式、條件和動作設定,並返回步驟 2。
- 如果預期行為,請編輯原則,並將其狀態變更為 [作用中 ]。
例如,下列流程圖顯示相關的步驟:
建立連線至 Salesforce 和 Google Workspace 之 OAuth 應用程式的新原則
OAuth 應用程式的原則只會針對租使用者中使用者授權的原則觸發警示。
若要為 Salesforce、Google 和其他應用程式建立新的應用程式原則 :
移至 Microsoft Defender 全面偵測回應 > 應用程式控管 > 原則 > 其他應用程式 。 例如:
根據需求篩選應用程式。 例如,您可能想要檢視要求 信箱中 修改行事曆許可權 的所有應用程式。
提示
使用社群使用 篩選來取得允許此應用程式許可權是常見、罕見還是罕見的資訊。 此篩選可在您有少見的應用程式,且其要求高嚴重性層級權限,或要求許多使用者的權限時給予協助。
您可能想要根據授權應用程式之使用者的群組成員資格來設定原則。 例如,管理員可以決定要設定一個原則,在不常見的應用程式要求高權限時將其撤銷,但前提是授權權限的使用者是 Administrator 群組的成員。
例如:
連線至 Salesforce 和 Google Workspace 之 OAuth 應用程式的異常偵測原則
除了您可以建立的 Oauth 應用程式原則之外,適用於雲端的 Defender應用程式提供現成的異常偵測原則,以分析 OAuth 應用程式的中繼資料,以識別可能惡意的異常偵測原則。
本節僅與 Salesforce 和 Google Workspace 應用程式相關。
注意
異常偵測原則僅適用于 Microsoft Entra 識別碼中授權的 OAuth 應用程式。 無法修改 OAuth 應用程式異常偵測原則的嚴重性。
下表說明 適用於雲端的 Defender Apps 所提供的現用異常偵測原則:
原則 | 描述 |
---|---|
誤導 OAuth 應用程式名稱 | 掃描連線到您環境的 OAuth 應用程式,並在偵測到具有誤導性名稱的應用程式時觸發警示。 誤導性名稱,例如類似拉丁字母的外文字母,可能表示嘗試偽裝惡意應用程式做為已知且受信任的應用程式。 |
OAuth 應用程式的誤導發行者名稱 | 掃描連線到您環境的 OAuth 應用程式,並在偵測到具有誤導性發行者名稱的應用程式時觸發警示。 誤導發行者名稱,例如類似拉丁字母的外文字母,可能表示嘗試將惡意應用程式偽裝成來自已知且受信任的發行者的應用程式。 |
惡意 OAuth 應用程式同意 | 掃描連線到您環境的 OAuth 應用程式,並在授權潛在惡意應用程式時觸發警示。 惡意 OAuth 應用程式可用來作為網路釣魚活動的一部分,以嘗試入侵使用者。 此偵測會使用 Microsoft 安全性研究和威脅情報專業知識來識別惡意應用程式。 |
可疑的 OAuth 應用程式檔下載活動 | 如需詳細資訊,請參閱異常偵測原則。 |