共用方式為


適用於雲端的 Microsoft Defender 應用程式條件式存取應用程控

在現今的工作場所中,在事實發生之後,就不足以知道雲端環境中發生了什麼事。 您也需要即時停止缺口和外泄,並防止員工故意或意外地將您的數據和組織置於風險之中。

當組織中的使用者使用可用的最佳雲端應用程式並自備裝置來運作時,您想要為其提供支援。 不過,您也需要工具來即時保護貴組織免於遭受資料外洩和竊取。 適用於雲端的 Microsoft Defender Apps 與任何識別提供者整合,以透過存取會話原則來傳遞此保護。

例如:

  • 使用存取原則來:

    • 針對來自非受控裝置的用戶封鎖對 Salesforce 的存取
    • 封鎖對原生用戶端的Dropbox存取。
  • 使用會話原則來

    • 封鎖將敏感性檔案從 OneDrive 下載到非受控裝置
    • 封鎖將惡意代碼檔案上傳至 SharePoint Online

Microsoft Edge 使用者受益於瀏覽器網址列中所顯示的鎖定圖示所表示的直接瀏覽器內保護

其他瀏覽器的用戶會透過反向 Proxy 重新導向至 適用於雲端的 Defender Apps,並在連結的 URL 中顯示*.mcas.ms後綴。 例如,如果應用程式 URL 是 myapp.com,應用程式 URL 會更新為 myapp.com.mcas.ms

本文說明 適用於雲端的 Defender 具有 Microsoft Entra 條件式存取原則的應用程式條件式存取應用程控

條件式存取應用程控活動

條件式存取應用程控會使用 存取原則會話原則 ,即時監視和控制整個組織的使用者應用程式存取和會話。

每個原則都有條件來定義 套用原則的人員 (哪些使用者或使用者群組)、 哪些 雲端應用程式,以及 套用原則的位置 和網路。 判斷條件之後,請先將使用者路由傳送至 適用於雲端的 Defender Apps,您可以在其中套用存取和會話控件來保護您的數據。

存取和工作階段原則包含下列類型的活動:

活動 描述
防止數據外流 封鎖下載、剪下、複製和列印敏感性檔,例如非受控裝置。
需要驗證內容 在工作階段中發生敏感性動作時,重新評估Microsoft Entra 條件式存取原則,例如需要多重要素驗證。
下載時保護 當您與 Microsoft Purview 資訊保護 整合時,不需要封鎖機密檔的下載,而是需要標記和加密檔。 此動作可確保文件受到保護,並限制潛在風險工作階段中的使用者存取。
防止上傳未標記的檔案 確定未標記的具有敏感性內容的檔案會遭到封鎖而無法上傳,直到使用者分類內容為止。 在其他人上傳、散發及使用敏感性檔案之前,請務必確定敏感性檔案具有貴組織原則所定義的標籤。
封鎖潛在的惡意代碼 藉由封鎖上傳潛在的惡意檔案,保護您的環境免於惡意代碼。 任何上傳或下載的檔案都可以掃描Microsoft威脅情報,並立即封鎖。
監視用戶會話以符合規範 調查和分析用戶行為,以瞭解未來應套用會話原則的位置和狀況。 高風險的使用者會在登入應用程式時會受到監視,他們的動作也會在工作階段中記錄下來。
封鎖存取 根據數個風險因素,細微地封鎖特定應用程式和使用者的存取。 例如,如果您使用用戶端憑證做為裝置管理形式,您可以加以封鎖。
封鎖自定義活動 某些應用程式具有具有風險的獨特案例,例如,在Microsoft Teams 或 Slack 等應用程式中傳送具有敏感性內容的訊息。 在這些案例中,掃描訊息是否有敏感性內容,並即時加以封鎖。

如需詳細資訊,請參閱

可用性

條件式存取應用程控不需要您在裝置上安裝任何專案,因此在監視或控制來自非受控裝置或合作夥伴使用者的會話時,這是理想的選擇。

適用於雲端的 Defender Apps 會使用最上層的專利啟發學習法,來識別和控制目標應用程式中使用者所執行的活動。 我們的啟發學習法旨在將安全性與可用性優化和平衡。

在某些罕見的案例中,當伺服器端的封鎖活動轉譯應用程式無法使用時,我們只會在客戶端保護這些活動,這使得這些活動可能會受到惡意測試人員的攻擊。

系統效能和數據記憶體

適用於雲端的 Defender 應用程式會使用世界各地的 Azure 資料中心,透過地理位置提供優化的效能。 這表示用戶會話可能會裝載在特定區域之外,視流量模式及其位置而定。 不過,為了保護您的隱私權,這些數據中心不會儲存任何會話數據。

適用於雲端的 Defender 應用程式 Proxy 伺服器不會儲存待用數據。 快取內容時,我們會遵循 RFC 7234 (HTTP 快取)配置的需求,並只快取公用內容。

支援的應用程式和用戶端

將會話和存取權套用至任何使用 SAML 2.0 驗證通訊協定的互動式單一登錄。 內建行動裝置和桌面用戶端應用程式也支援訪問控制。

此外,如果您使用 Microsoft Entra ID 應用程式,請將會話和存取控制套用至:

Microsoft Entra ID 應用程式也會針對條件式存取應用程控自動上線,而使用其他 IdP 的應用程式必須 手動上線。

適用於雲端的 Defender 應用程式會使用來自雲端應用程式目錄的數據來識別應用程式。 如果您已使用外掛程式自定義應用程式,則必須將任何相關聯的自定義網域新增至目錄中的相關應用程式。 如需詳細資訊,請參閱使用風險分數

注意

具有非互動式登入流程的應用程式,例如 Authenticator 應用程式和其他內建應用程式,無法搭配訪問控制使用。 在此情況下,我們建議在 Entra ID 入口網站中製作存取原則,以及Microsoft適用於雲端應用程式存取原則的 Defender

會話控件支援範圍

雖然會話控制項是建置成在任何作業系統上任何主要平臺上使用任何瀏覽器,但我們支援下列瀏覽器:

Microsoft Edge 使用者受益於瀏覽器內保護,而不需要重新導向至反向 Proxy。 如需詳細資訊,請參閱 使用 Microsoft Edge for Business 的瀏覽器內保護 (預覽版)

TLS 1.2+ 的應用程式支援

適用於雲端的 Defender 應用程式使用傳輸層安全性 (TLS) 通訊協定 1.2+ 來提供最佳類別加密,且在設定會話控制時無法存取不支援 TLS 1.2+ 的內建用戶端應用程式和瀏覽器。

不過,使用TLS 1.1 或更低版本的 SaaS 應用程式會在瀏覽器中顯示為使用 TLS 1.2+ 設定 適用於雲端的 Defender 應用程式時。

如需詳細資訊,請參閱