適用於雲端的 Defender 應用程式如何協助保護您的 Workday 環境

  • 發行項

作為主要的 HCM 解決方案,Workday 會保存貴組織中一些最敏感的資訊,例如員工的個人資料、合約、廠商詳細數據等等。 防止暴露此數據需要持續監視,以防止任何惡意執行者或安全性未察覺內部人員外洩敏感性資訊。

連線 Workday 適用於雲端的 Defender Apps 可讓您改善用戶活動的深入解析,並提供異常行為的威脅偵測。

主要威脅

  • 遭入侵的帳戶和內部威脅
  • 數據外洩
  • 安全性感知不足
  • 非受控攜帶您自己的裝置 (BYOD)

適用於雲端的 Defender 應用程式如何協助保護您的環境

使用內建原則和原則範本控制 Workday

您可以使用下列內建原則範本來偵測並通知您潛在威脅:

類型 名稱
內建異常偵測原則 匿名 IP 位址的活動
非經常性國家/地區的活動
可疑 IP 位址的活動
不可能的移動
活動原則範本 從有風險的 IP 位址登入

如需建立原則的詳細資訊,請參閱 建立原則

自動化治理控制件

目前,Workday 沒有可用的治理控件。 如果您有興趣擁有此連接器的治理動作,您可以 開啟支援票證 ,其中包含您想要的動作詳細數據。

如需從應用程式補救威脅的詳細資訊,請參閱 治理已連線的應用程式

實時保護 Workday

檢閱我們的最佳做法,以 保護與外部使用者 共同作業,並 封鎖和保護敏感數據下載至非受控或具風險的裝置

連線 Workday 至 適用於雲端的 Microsoft Defender Apps

本節提供使用應用程式連接器 API 將 適用於雲端的 Microsoft Defender Apps 連線到現有 Workday 帳戶的指示。 此連線可讓您查看及控制 Workday 的使用。 如需 適用於雲端的 Defender 應用程式如何保護 Workday 的資訊,請參閱保護 Workday

快速入門

觀看我們的快速入門影片,示範如何設定必要條件,並在 Workday 中執行步驟。 完成影片中的步驟之後,您可以繼續新增 Workday 連接器。

注意

影片不會顯示設定安全組 設定:租用戶設定 – 系統 許可權的必要步驟。 請確定您也進行設定。


必要條件

用來連線到 適用於雲端的 Defender Apps 的 Workday 帳戶必須是安全組的成員(新的或現有的)。 我們建議使用 Workday 整合系統使用者。 安全組必須針對下列網域安全策略選取下列許可權:

功能區域 網域安全策略 子域安全策略 報表/工作許可權 整合許可權
系統 設定:租用戶設定 – 一般 設定:租用戶設定 – 安全性 檢視、修改 取得、放置
系統 設定:租用戶設定 – 一般 設定:租用戶設定 – 系統 Modify
系統 安全性管理 檢視、修改 取得、放置
系統 系統稽核 檢視 Get
人員配置 背景工作數據:人員配置 背景工作數據:公用背景工作報告 檢視 Get

注意

  • 用來設定安全組許可權的帳戶必須是 Workday 管理員 istrator。
  • 若要設定許可權,請搜尋「功能區域的網域安全策略」,然後搜尋每個功能區域 (“System”/“Staffing”) 並授與表格所列的許可權。
  • 設定所有許可權之後,請搜尋[啟用擱置的安全策略變更],並核准變更。

如需設定 Workday 整合使用者、安全組和許可權的詳細資訊,請參閱授與 Workday 的整合或外部端點存取指南的步驟 1 到 4 (可使用 Workday 檔/社群認證存取)。

如何使用 OAuth 將 Workday 連線到 適用於雲端的 Defender 應用程式

  1. 使用必要條件中所述之安全組成員的帳戶登入 Workday。

  2. 搜尋 [編輯租用戶設定 – 系統],然後在 [用戶活動記錄] 底下,選取 [啟用用戶活動記錄]。

    Screenshot of allowing user activity logging.

  3. 搜尋 「編輯租用戶設定 – 安全性」,然後在 [OAuth 2.0 設定] 底下,選取 [已啟用 OAuth 2.0 用戶端]。

  4. 搜尋 「註冊 API 用戶端」,然後選取 [註冊 API 用戶端 – 工作]。

  5. 在 [ 註冊 API 用戶端 ] 頁面上,填寫下列資訊,然後選取 [ 確定]。

    欄位名稱
    用戶端名稱 Microsoft Defender for Cloud Apps
    用戶端授與類型 授權碼授與
    存取令牌類型 承載
    重新導向URI https://portal.cloudappsecurity.com/api/oauth/connect

    注意:針對美國政府 GCC High 客戶,請輸入下列值: https://portal.cloudappsecurity.us/api/oauth/connect
    非過期的重新整理令牌 Yes
    範圍(功能區域) 人員配置系統

    Screenshot of registering API client.

  6. 註冊之後,請記下下列參數,然後選取 [ 完成]。

    • 用戶端識別碼
    • 用戶端密碼
    • Workday REST API 端點
    • 令牌端點
    • 授權端點

    Screenshot of confirming registration of API client.

注意

如果 Workday 帳戶已啟用 SAML SSO,請將查詢字串參數 'redirect=n' 附加至授權端點。

如果授權端點已經有其他查詢字串參數,則附加 '&redirect=n' 至授權端點的結尾。 如果授權端點沒有任何查詢字串參數,請附加 '?redirect=n' 至授權端點的結尾。

如何將 適用於雲端的 Defender Apps 連線到 Workday

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。 在 [連線 的應用程式] 下,選取 [應用程式 連線 者]。

  2. [應用程式連線程式] 頁面中,選取 [+連線 應用程式],然後選取 [Workday]。

    Screenshot of adding app connector.

  3. 在下一個畫面中,為您的連接器指定名稱,然後選取 [ 下一步]。

    Screenshot of adding instance name.

  4. 在 [ 輸入詳細數據] 頁面上,填入您稍早注意到的信息詳細數據,然後選取 [ 下一步]。

    Screenshot of filling out app details.

  5. 在 [外部連結] 頁面中,選取 [連線 Workday]。

  6. 在 Workday 中,會出現彈出視窗,詢問您是否要允許 適用於雲端的 Defender Apps 存取您的 Workday 帳戶。 若要繼續,請選取 [ 允許]。

    Screenshot of authorizing access to app.

  7. 回到 適用於雲端的 Defender Apps 入口網站,您應該會看到 Workday 已成功連線的訊息。

  8. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。 在 [連線 應用程式] 底下,選取 [應用程式 連線 者]。 請確定已連線的應用程式 連線 狀態已 連線

注意

聯機 Workday 之後,您會收到連線前七天的事件。

注意

如果您要將 適用於雲端的 Defender Apps 連線到 Workday 沙箱帳戶進行測試,請注意 Workday 每周會重新整理其沙盒帳戶,導致 適用於雲端的 Defender Apps 連線失敗。 您應該每周使用 適用於雲端的 Defender Apps 重新連線沙箱環境,以繼續測試。

如果您在連線應用程式時發生任何問題,請參閱針對應用程式 連線 程式進行疑難解答。

下一步

使用原則來控制雲端應用程式

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證