應用程式連接器會使用應用程式提供者的 API,透過 Microsoft Defender for Cloud Apps 讓您有更大的可見度和控制所連線的應用程式。
Microsoft Defender for Cloud Apps 利用了雲端供應商提供的 API。 Defender for Cloud Apps 與連接應用程式之間的所有通訊皆以 HTTPS 加密。 每個服務都有自己的框架和 API 限制,例如限速、API 限制、動態時移 API 視窗等。 Microsoft Defender for Cloud Apps 與這些服務合作,優化 API 的使用並提供最佳效能。 考量各服務對 API 施加的各種限制,Defender for Cloud Apps 引擎會使用允許的容量。 某些作業 (例如掃描租用戶中所有檔案) 需要許多 API,以便它們分散在較長的時間。 某些原則預期會執行數小時或數天。
重要事項
自 2024 年 9 月 1 日起,我們將從 Microsoft Defender for Cloud Apps 中停用 Files 頁面。 接著,建立並修改資訊保護政策,並從雲端應用程式>的政策>管理頁面尋找惡意軟體檔案。 欲了解更多資訊,請參閱 Microsoft Defender for Cloud Apps 中的檔案政策。
多實例支援
Defender for Cloud Apps 支援多個連接應用程式的實例。 舉例來說,如果你有多個 Salesforce 實例 (一個用於銷售,一個用於行銷) ,你可以將兩者連結到Defender for Cloud Apps。 你可以在同一個主控台管理不同的實例,建立細緻的政策和更深入的調查。 此支援僅適用於連接 API 的應用程式,不適用於雲端發現應用程式或代理連線應用程式。
注意事項
Microsoft 365 和 Azure 不支援多實例。
運作方式
Defender for Cloud Apps 部署時擁有系統管理員權限,允許對環境中所有物件進行完全存取。
App Connector 流程如下:
Defender for Cloud Apps 會掃描並儲存認證權限。
Defender for Cloud Apps 會請求使用者清單。 第一次請求完成時,可能需要一段時間才能完成掃描。 使用者掃描結束後,Defender for Cloud Apps 會進入活動與檔案。 掃描一開始,部分活動就會在 Defender for Cloud Apps 中啟用。
用戶請求完成後,Defender for Cloud Apps 會定期掃描使用者、群組、活動及檔案。 所有活動在首次完整掃描後即可使用。
此連線可能需要一些時間,視租戶規模、使用者數量,以及需要掃描的檔案大小與數量而定。
根據你連接的應用程式,API 連線會啟用以下功能:
- 帳號資訊 - 可查看使用者、帳號、個人檔案資訊、狀態 (暫停、活躍、停用) 群組及權限。
- 審計追蹤 ——可視化使用者活動、管理員活動、登入活動。
- 帳號治理 ——能夠暫停使用者、撤銷密碼等。
- 應用程式權限 ——可視化已發放的令牌及其權限。
- 應用程式權限治理 ——能夠移除標記。
- 資料掃描 ——利用兩個程序掃描非結構化資料——每 12 小時) 定期 (一次,且在) 偵測到變更時即時觸發 (掃描。
- 資料治理 ——能夠隔離檔案,包括垃圾桶中的檔案,並覆寫檔案。
以下表格列出各雲端應用程式支援的應用程式連接器功能:
注意事項
由於並非所有應用程式連接器都支援所有能力,有些欄位可能會是空的。
使用者與活動
| 應用程式 | 列表帳號 | 列表群組 | 列表權限 | 登入活動 | 使用者活動 | 系統管理活動 |
|---|---|---|---|---|---|---|
| Asana | ✔ | ✔ | ✔ | |||
| Atlassian | ✔ | ✔ | ✔ | ✔ | ||
| AWS | ✔ | ✔ | 不適用 | ✔ | ||
| Azure | ✔ | ✔ | ✔ | ✔ | ||
| Box | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Citrix ShareFile | ||||||
| DocuSign | 支援 DocuSign Monitor | 支援 DocuSign Monitor | 支援 DocuSign Monitor | 支援 DocuSign Monitor | ||
| Dropbox | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Egnyte | ✔ | ✔ | ✔ | ✔ | ✔ | |
| GitHub | ✔ | ✔ | ✔ | ✔ | ||
| GCP | 主旨 Google Workspace 連線 | 主旨 Google Workspace 連線 | 主旨 Google Workspace 連線 | 主旨 Google Workspace 連線 | ✔ | ✔ |
| Groove Workspace | ✔ | ✔ | ✔ | ✔ | ✔ - 需要 Google 商業或企業版 | ✔ |
| Microsoft 365 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Miro | ✔ | ✔ | ✔ | |||
| 壁畫 | ✔ | ✔ | ✔ | |||
| NetDocuments | ✔ | ✔ | ✔ | ✔ | ||
| Okta | ✔ | 供應商不支援 | ✔ | ✔ | ✔ | |
| OneLogin | ✔ | ✔ | ✔ | ✔ | ✔ | |
| ServiceNow | ✔ | ✔ | ✔ | ✔ | 部分 | 部分 |
| Salesforce | 支援 Salesforce Shield | 支援 Salesforce Shield | 支援 Salesforce Shield | 支援 Salesforce Shield | 支援 Salesforce Shield | 支援 Salesforce Shield |
| Slack | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Smartsheet | ✔ | ✔ | ✔ | ✔ | ||
| Webex | ✔ | ✔ | ✔ | 供應商不支援 | ||
| Workday | ✔ | 供應商不支援 | 供應商不支援 | ✔ | ✔ | 供應商不支援 |
| Meta 的職場 | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Zendesk | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Zoom |
使用者、應用程式治理與安全設定的可視性
| 應用程式 | 使用者治理 | 查看應用程式權限 | 撤銷應用程式權限 | SaaS 安全態勢管理 (SSPM) |
|---|---|---|---|---|
| Asana | ||||
| Atlassian | ✔ | |||
| AWS | 不適用 | 不適用 | ||
| Azure | 供應商不支援 | |||
| Box | ✔ | 供應商不支援 | ||
| Citrix ShareFile | ✔ | |||
| DocuSign | ✔ | |||
| Dropbox | ✔ | |||
| Egnyte | ||||
| GitHub | ✔ | ✔ | ||
| GCP | 主旨 Google Workspace 連線 | 不適用 | 不適用 | |
| Groove Workspace | ✔ | ✔ | ✔ | ✔ |
| Microsoft 365 | ✔ | ✔ | ✔ | ✔ |
| Miro | ||||
| 壁畫 | ||||
| NetDocuments | 預覽 | |||
| Okta | 不適用 | 不適用 | ✔ | |
| OneLogin | ||||
| ServiceNow | ✔ | |||
| Salesforce | ✔ | ✔ | ✔ | |
| Slack | ||||
| Smartsheet | ||||
| Webex | 不適用 | 不適用 | ||
| Workday | 供應商不支援 | 不適用 | 不適用 | |
| Meta 的職場 | 預覽 | |||
| Zendesk | ✔ | |||
| Zoom | 預覽 |
資訊保護
| 應用程式 | DLP - 定期積壓掃描 | DLP - 近即時掃描 | 共用控制措施 | 檔案治理 | 套用 Microsoft Purview 資訊保護的敏感標籤 |
|---|---|---|---|---|---|
| Asana | |||||
| Atlassian | |||||
| AWS | ✔ - 僅 S3 桶發現 | ✔ | ✔ | 不適用 | |
| Azure | |||||
| Box | ✔ | ✔ | ✔ | ✔ | ✔ |
| Citrix ShareFile | |||||
| DocuSign | |||||
| Dropbox | ✔ | ✔ | ✔ | ✔ | |
| Egnyte | |||||
| GitHub | |||||
| GCP | 不適用 | 不適用 | 不適用 | 不適用 | 不適用 |
| Groove Workspace | ✔ | ✔ - 需要 Google 商業企業版 | ✔ | ✔ | ✔ |
| Okta | 不適用 | 不適用 | 不適用 | 不適用 | 不適用 |
| Miro | |||||
| 壁畫 | |||||
| NetDocuments | |||||
| Okta | 不適用 | 不適用 | 不適用 | 不適用 | 不適用 |
| OneLogin | |||||
| ServiceNow | ✔ | ✔ | 不適用 | ||
| Salesforce | ✔ | ✔ | ✔ | ||
| Slack | |||||
| Smartsheet | |||||
| Webex | ✔ | ✔ | ✔ | ✔ | 不適用 |
| Workday | 供應商不支援 | 供應商不支援 | 供應商不支援 | 供應商不支援 | 不適用 |
| Meta 的職場 | |||||
| Zendesk | 預覽 | ||||
| Zoom |
必要條件
使用 Microsoft 365 連接器時,你需要為每個想要查看安全建議的服務取得授權。 例如,要查看 Microsoft Forms 的推薦,你需要一個支援 Forms 的授權。
對於某些應用程式,可能需要允許列出 IP 位址,才能讓 Defender for Cloud Apps 收集日誌並提供 Defender for Cloud Apps 主控台的存取權限。 欲了解更多資訊,請參閱 網路需求。
注意事項
若欲獲得 URL 與 IP 位址變更的更新,請訂閱 RSS,詳見: Microsoft 365 URL 與 IP 位址範圍。
啟用應用程式連接器
要首次啟用應用程式連接器,請為你想連接的特定雲端應用程式設定 API 連線。 詳細說明請參閱每個應用程式的個別連接器指南。
- 在 Microsoft Defender 入口網站,請前往「雲端應用程式>連接應用程式」。
- 選擇 連接應用程式 或 新增連接器。
- 選擇你想連接的雲端應用程式。
- 請依照相應應用程式專用的 API 連接器指南操作。 這些指示包含所需的權限與驗證步驟。
每個雲端應用程式都有其支援的 API 的啟用流程。
ExpressRoute
Defender for Cloud Apps 部署於 Azure 中,並與 ExpressRoute 完全整合。 所有與 Defender for Cloud Apps 應用程式的互動,以及傳送到 Defender for Cloud Apps 的流量,包括上傳發現日誌,皆透過 ExpressRoute 路由,以提升延遲、效能與安全性。 欲了解更多關於 Microsoft 對等連線的資訊,請參閱 ExpressRoute 電路與路由網域。
停用應用程式連接器
注意事項
- 在停用應用程式連接器前,務必確保你有連接細節,因為如果你想重新啟用連接器,將會需要這些資料。
- 這些步驟無法用來停用條件存取應用程式控制應用程式和安全設定應用程式。
要停用已連接的應用程式:
- 在 「已連線應用程式 」頁面的相關列,選擇三個點,並選擇 「停用應用程式連接器」。
- 在彈出視窗中,點擊 「停用應用程式連接器實例 」以確認該動作。
一旦停用,連接器實例將停止使用連接器的資料。
重新啟用應用程式連接器
要重新啟用已連接的應用程式:
- 在 「已連接應用程式 」頁面的相關列中,選擇三個點,然後選擇 「編輯設定」。 這會啟動添加連接器的過程。
- 請依照相關 API 連接器指南中的步驟新增連接器。 例如,如果你正在重新啟用 GitHub,請使用「Connect GitHub Enterprise Cloud to Microsoft Defender for Cloud Apps」中的步驟。
後續步驟
如果你遇到任何問題,我們隨時準備協助。 若要獲得產品問題的協助或支援,請 開啟客服單。