使用 適用於端點的 Microsoft Defender 控管探索到的應用程式
適用於雲端的 Microsoft Defender Apps 與 適用於端點的 Microsoft Defender 整合提供順暢的影子 IT 可見度和控制解決方案。 我們的整合可讓 適用於雲端的 Defender Apps 系統管理員以原生方式整合 適用於雲端的 Defender Apps 應用程式控管控件與 適用於端點的 Microsoft Defender 的網路保護,來封鎖使用者對雲端應用程式的存取。 或者,系統管理員可以在使用者存取有風險的雲端應用程式時採取更溫和的警告方法。
適用於雲端的 Defender Apps 使用內建未經批准的應用程式標記,將雲端應用程式標示為禁止使用,可在 Cloud Discovery 和 Cloud App 目錄頁面中取得。 藉由啟用與適用於端點的 Defender 整合,您可以在 適用於雲端的 Defender Apps 入口網站中按兩下單鍵,順暢地封鎖對未經批准應用程式的存取。
適用於雲端的 Defender 應用程式中標示為 [未批准] 的應用程式會自動同步至適用於端點的Defender。 更具體來說,這些未經批准的應用程式所使用的網域會傳播至端點裝置,以在網路保護 SLA 內 Microsoft Defender 防毒軟體 封鎖。
注意
透過適用於端點的 Defender 封鎖應用程式的時間延遲,距離您將應用程式標示為在裝置中封鎖應用程式的那一刻起,最多需要 適用於雲端的 Defender 三小時的時間。 這是因為最多一個小時的同步處理 適用於雲端的 Defender 應用程式獲批准/未經批准的應用程式到適用於端點的Defender,最多兩個小時將原則推送至裝置,以便在適用於端點的Defender中建立指標後封鎖應用程式。
必要條件
下列其中一個授權:
- 適用於雲端的 Defender 應用程式 (E5、AAD-P1m CAS-D) 和 適用於端點的 Microsoft Defender 方案 2,端點已上線至適用於端點的 Defender
- Microsoft 365 E5
Microsoft Defender 防毒軟體。 如需詳細資訊,請參閱
下列其中一個支援的作業系統:
- Windows:Windows 版本 10 18.09 (RS5) OS 組建 1776.3、11 和更新版本
- Android:最低版本 8.0:如需詳細資訊,請參閱:android 上的 適用於端點的 Microsoft Defender
- iOS:最低版本 14.0:如需詳細資訊,請參閱:iOS 上的 適用於端點的 Microsoft Defender
- macOS:最低版本 11:如需詳細資訊,請參閱: macOS 的網路保護
- Linux 系統需求:如需詳細資訊,請參閱: Linux 的網路保護
適用於端點的 Microsoft Defender 上線。 如需詳細資訊,請參閱使用適用於端點的Defender將應用程式上線 適用於雲端的 Defender。
系統管理員存取權,以在 適用於雲端的 Defender Apps 中進行變更。 如需詳細資訊,請參閱 管理系統管理員存取權。
使用適用於端點的Defender啟用雲端應用程式封鎖
使用下列步驟來啟用雲端應用程式的存取控制:
在 Microsoft Defender 入口網站中,選取 [ 設定]。 然後選擇 [ 雲端應用程式]。 在 [Cloud Discovery] 下,選取 [適用於端點的 Microsoft Defender],然後選取 [強制執行應用程式存取]。
注意
此設定最多可能需要 30 分鐘才會生效。
在 [Microsoft Defender 全面偵測回應] 中,移至 [設定>端點] [>進階功能],然後選取 [自定義網络指標]。 如需網路指標的相關信息,請參閱 建立IP和URL/網域的指標。
這可讓您利用 Microsoft Defender 防毒軟體 網路保護功能,藉由手動將應用程式標籤指派給特定應用程式,或使用應用程式探索原則,來封鎖 適用於雲端的 Defender 對一組預先定義 URL 的存取。
存取封鎖的應用程式並自定義封鎖頁面時教育使用者
系統管理員現在可以設定並內嵌封鎖頁面的支援/說明 URL。 透過此設定,系統管理員可以在存取封鎖的應用程式時教育使用者。 系統會提示使用者自定義重新導向連結至封鎖使用的公司頁面清單應用程式,並遵循必要的步驟來保護封鎖頁面上的例外狀況。 當使用者按兩下封鎖頁面上的 [瀏覽支援] 頁面時,系統會將使用者重新導向至系統管理員所設定的此 URL。
適用於雲端的 Defender Apps 使用內建未經批准的應用程式標記,將雲端應用程式標示為已封鎖以供使用。 卷標可在 Cloud Discovery 和 Cloud App Catalog 頁面上取得。 藉由啟用與適用於端點的Defender整合,您可以順暢地教育用戶封鎖使用的應用程式,並透過單鍵在 適用於雲端的 Defender Apps入口網站中保護例外狀況的步驟。
標示為 [未批准 ] 的應用程式會自動同步至適用於端點的 Defender 自定義 URL 指標,通常是在幾分鐘內。 更具體來說,封鎖應用程式所使用的網域會傳播至端點裝置,以在網路保護 SLA 內 Microsoft Defender 防毒軟體 提供訊息。
設定封鎖頁面的自定義重新導向 URL
使用下列步驟來設定指向公司網頁或 Sharepoint 連結的自定義說明/支援 URL,讓您可以教育員工為何無法存取應用程式,並提供保護例外狀況或共用公司存取原則的步驟清單,以遵守貴組織的風險接受。
- 在 Microsoft Defender 入口網站中,選取 [設定>Cloud Apps>Cloud Discovery> 適用於端點的 Microsoft Defender。
- 在 [警示] 下拉式清單中,選取 [資訊]。
- 在 [封鎖應用程式的使用者警告通知>URL] 底下,輸入您的URL。 例如:
封鎖特定裝置群組的應用程式
若要封鎖特定裝置群組的使用方式,請執行下列步驟:
在 Microsoft Defender 入口網站中,選取 [ 設定]。 然後選擇 [ 雲端應用程式]。 然後在 [雲端探索] 下,選取 [應用程式卷標],然後移至 [範圍配置檔] 索引標籤。
選取 [ 新增配置檔]。 配置檔會設定封鎖/解除封鎖應用程式的實體範圍。
提供描述性配置檔名稱和描述。
選擇設定檔應該是 Include 或 Exclude 設定檔。
包含:只有包含的一組實體會受到強制執行存取的影響。 例如,myContoso 配置檔具有裝置群組 A 和 B 的 Include。使用 myContoso 配置檔封鎖應用程式 Y 只會封鎖群組 A 和 B 的應用程式存取。
排除:排除的實體集不會受到強制執行存取的影響。 例如,myContoso 配置檔具有裝置群組 A 和 B 的 Exclude。封鎖具有 myContoso 配置檔的應用程式 Y 會封鎖整個組織的應用程式存取,但群組 A 和 B 除外。
選取配置檔的相關裝置群組。 列出的裝置群組會從 適用於端點的 Microsoft Defender 提取。 如需詳細資訊,請參閱 建立裝置群組。
選取 [儲存]。
若要封鎖應用程式,請執行下列步驟:
在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,移至 [Cloud Discovery],然後移至 [探索到的應用程式] 索引卷標。
選取應封鎖的應用程式。
將應用程式 標記為 [未批准]。
若要封鎖您組織中的所有裝置,請在 [標記為未批准嗎?] 對話框中,選取 [ 儲存]。 若要封鎖組織中的特定裝置群組,請選取 [選取要包含或排除封鎖群組的配置檔]。 然後選擇將封鎖應用程式的配置檔,然後選取 [ 儲存]。
只有當租使用者已啟用已啟用適用於端點的 Defender 且您具有系統管理員存取權進行變更時,才會顯示 [標記為未批准? ] 對話框。
注意
- 強制執行能力是以適用於端點的Defender自定義URL指標為基礎。
- 適用於雲端的 Defender Apps 會覆寫此功能發行之前,適用於雲端的 Defender Apps 所建立之指標上手動設定的任何組織範圍。 必須使用範圍配置檔體驗,從 適用於雲端的 Defender Apps 體驗設定必要的範圍。
- 若要從未經批准的應用程式移除選取的範圍配置檔,請移除未核准的標籤,然後使用必要的範圍配置檔再次標記應用程式。
- 應用程式網域最多可能需要兩個小時才能傳播,並在端點裝置中更新,一旦它們標示為相關的標籤或/和範圍。
- 當應用程式標記為 [受監視] 時,只有在內 建的 Win10 端點用戶 數據源在過去 30 天內一致收到數據時,才會顯示套用範圍配置檔的選項。
存取有風險的應用程式時教育使用者
系統管理員可以選擇在使用者存取有風險的應用程式時警告使用者。 他們不會封鎖使用者,而是收到訊息,提供自定義重新導向連結給核准使用的應用程式的公司頁面。 提示會提供選項讓使用者略過警告並繼續應用程式。 系統管理員也能夠監視略過警告訊息的用戶數目。
適用於雲端的 Defender Apps 使用內建受監視的應用程式標記,將雲端應用程式標示為有風險使用。 卷標可在 Cloud Discovery 和 Cloud App Catalog 頁面上取得。 藉由啟用與適用於端點的Defender整合,您可以在適用於雲端的 Defender Apps入口網站中按兩下單鍵,順暢地警告使用者存取受監視的應用程式。
標示為 受監視 的應用程式會自動同步至適用於端點的 Defender 自定義 URL 指標,通常是在幾分鐘內。 更具體來說,受監視應用程式所使用的網域會傳播至端點裝置,以在網路保護 SLA 內 Microsoft Defender 防毒軟體 提供警告訊息。
設定警告訊息的自定義重新導向 URL
使用下列步驟來設定指向公司網頁的自定義 URL,您可以在其中教育員工為何受到警告,並提供符合組織風險接受或已由組織管理之替代核准應用程式的清單。
在 Microsoft Defender 入口網站中,選取 [ 設定]。 然後選擇 [ 雲端應用程式]。 在 [Cloud Discovery] 底下,選取 [適用於端點的 Microsoft Defender]。
在 [ 通知 URL ] 方塊中,輸入您的 URL。
設定使用者略過持續時間
由於使用者可以略過警告訊息,因此您可以使用下列步驟來設定略過的持續時間。 持續時間過後,使用者會在下次存取受監視的應用程式時收到警告訊息提示。
在 Microsoft Defender 入口網站中,選取 [ 設定]。 然後選擇 [ 雲端應用程式]。 在 [Cloud Discovery] 底下,選取 [適用於端點的 Microsoft Defender]。
在 [ 略過工期] 方塊中,輸入使用者略過的持續時間(小時)。
監視套用的應用程式控制件
套用控件之後,您可以使用下列步驟,依套用的控件監視應用程式使用模式(存取、封鎖、略過)。
- 在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,移至 [Cloud Discovery],然後移至 [探索到的應用程式] 索引卷標。使用篩選來尋找相關的受監視應用程式。
- 選取應用程式的名稱,以檢視應用程式概觀頁面上已套用的應用程式控制件。
下一步
相關影片
如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證。