SaaS 應用程式的建議 適用於雲端的 Microsoft Defender 應用程式原則
適用於雲端的 Microsoft Defender Apps 建置在 Microsoft Entra 條件式存取原則上,以使用 SaaS 應用程式即時監視和控制細微動作,例如封鎖下載、上傳、複製和貼上,以及列印。 這項功能會將安全性新增至具有固有風險的會話,例如從非受控裝置或來賓使用者存取公司資源時。
適用於雲端的 Defender Apps 也會以原生方式與 Microsoft Purview 資訊保護 整合,提供即時內容檢查,以根據敏感性資訊類型和敏感度卷標尋找敏感數據,並採取適當的動作。
本指南包含下列案例的建議:
- 將 SaaS 應用程式帶入 IT 管理
- 調整特定S應用程式的保護
- 設定 Microsoft Purview 數據外洩防護 (DLP) 以協助遵守數據保護法規
將 SaaS 應用程式帶入 IT 管理
使用 適用於雲端的 Defender Apps 來管理 SaaS 應用程式的第一個步驟是探索這些應用程式,然後將它們新增至您的 Microsoft Entra 租使用者。 如果您需要探索的協助,請參閱 探索和管理您網路中 SaaS 應用程式。 探索到應用程式之後, 將這些應用程式新增至您的 Microsoft Entra 租使用者。
您可以執行下列動作,開始管理這些專案:
- 首先,在 Microsoft Entra ID 中,建立新的條件式存取原則,並將其設定為「使用條件式存取應用程控」。這會將要求重新導向至 適用於雲端的 Defender Apps。 您可以建立一個原則,並將所有 SaaS 應用程式新增至此原則。
- 接下來,在 適用於雲端的 Defender Apps 中,建立會話原則。 為每個您想要套用的控制項建立一個原則。
SaaS 應用程式的許可權通常是根據企業對應用程式的存取需求。 這些許可權可以是高度動態的。 無論使用者是指派給與起點、企業或特製化安全性保護相關聯的 Microsoft Entra 群組,使用 適用於雲端的 Defender Apps 原則可確保對應用程式數據的保護。
為了保護 SaaS 應用程式集合中的數據,下圖說明必要的 Microsoft Entra 條件式存取原則以及您可以在 適用於雲端的 Defender Apps 中建立的建議原則。 在此範例中,適用於雲端的 Defender Apps 中建立的原則會套用至您要管理的所有 SaaS 應用程式。 這些是設計來根據裝置是否受管理以及已套用至檔案的敏感度標籤來套用適當的控制件。
下表列出您必須在 Microsoft Entra ID 中建立的新條件式存取原則。
保護等級 | 原則 | 其他相關資訊 |
---|---|---|
所有保護層級 | 在 適用於雲端的 Defender 應用程式中使用條件式存取應用程控 | 這會將您的 IdP (Microsoft Entra ID) 設定為使用 適用於雲端的 Defender Apps。 |
下表列出上面說明的範例原則,您可以建立來保護所有 SaaS 應用程式。 請務必評估您自己的商務、安全性和合規性目標,然後建立原則,為您的環境提供最適當的保護。
保護等級 | 原則 |
---|---|
起點 | 監視來自非受控裝置的流量 將保護新增至非受控裝置的檔案下載 |
企業 | 封鎖從非受控裝置下載標示為敏感性或分類的檔案 (這僅提供瀏覽器存取權) |
特殊化安全性 | 封鎖從所有裝置下載標示為已分類的檔案(這僅提供瀏覽器存取權) |
如需設定條件式存取應用程控的端對端指示,請參閱 為精選應用程式部署條件式存取應用程控。 本文將逐步引導您在 Microsoft Entra ID 中建立必要的條件式存取原則,並測試您的 SaaS 應用程式。
如需詳細資訊,請參閱使用 適用於雲端的 Microsoft Defender Apps 條件式存取應用程控來保護應用程式。
調整特定S應用程式的保護
您可能想要將其他監視和控制項套用至您環境中的特定 SaaS 應用程式。 適用於雲端的 Defender Apps 可讓您完成這項作業。 例如,如果您的環境中大量使用 Box 之類的應用程式,則套用更多控件是合理的。 或者,如果您的法律或財務部門使用特定 SaaS 應用程式進行機密商務數據,您可以將額外的保護目標設為這些應用程式。
例如,您可以使用這些類型的內建異常偵測原則範本來保護 Box 環境:
- 匿名 IP 位址的活動
- 來自不常國家/地區的活動
- 可疑 IP 位址的活動
- 不可能的移動
- 由終止使用者執行的活動(需要 Microsoft Entra ID 作為 IdP)
- 惡意程式碼偵測
- 多次失敗的登入嘗試
- 勒索軟體活動
- 具風險的 Oauth 應用程式
- 不尋常的檔案共享活動
這些是範例。 會定期新增其他原則範本。 如需如何將其他保護套用至特定應用程式的範例,請參閱 保護已連線的應用程式。
適用於雲端的 Defender 應用程式如何協助保護您的 Box 環境,示範可協助您在 Box 和其他應用程式中使用敏感數據保護商務數據的控制項類型。
設定數據外洩防護 (DLP) 以協助遵守數據保護法規
適用於雲端的 Defender 應用程式是設定合規性法規保護的重要工具。 在此情況下,您會建立特定原則,以尋找適用於法規的特定數據,並設定每個原則採取適當的動作。
下圖和表格提供數個可設定以協助遵守一般數據保護規定 (GDPR) 的原則範例。 在這些範例中,原則會尋找特定數據。 根據數據的敏感度,每個原則都會設定為採取適當的動作。
保護等級 | 範例原則 |
---|---|
起點 | 當包含此敏感性資訊類型的檔案在組織外部共享時發出警示 封鎖將包含此敏感性資訊類型的檔案下載(「信用卡號碼」) 下載到非受控裝置 |
企業 | 保護包含此敏感性資訊類型 (“信用卡號碼”) 的檔案下載到受管理的裝置 封鎖將包含此敏感性資訊類型的檔案下載(「信用卡號碼」) 下載到非受控裝置 當具有這些標籤的檔案上傳至 商務用 OneDrive 或 Box 時發出警示(客戶數據、人力資源:薪資數據、人力資源、員工數據) |
特殊化安全性 | 當具有此標籤的檔案 (「高度分類」) 下載到受控裝置時發出警示 封鎖將此標籤 (「高度分類」) 的檔案下載到非受控裝置 |
下一步
如需使用 適用於雲端的 Defender Apps 的詳細資訊,請參閱 適用於雲端的 Microsoft Defender Apps 檔。