连接应用以使用 Microsoft Defender for Cloud Apps 实现可见性和可控性

应用连接器使用应用提供商的 API 通过 Microsoft Defender for Cloud Apps 对连接到的应用实现更高的可见性和可控性。

Defender for Cloud Apps 利用云提供商提供的 API。 Defender for Cloud Apps 和连接的应用之间的所有通信都使用 HTTPS 加密。 每个服务具有自身的框架和 API 限制,例如带宽限制、API 限制、动态时移 API 窗口,等等。 Microsoft Defender for Cloud Apps 与这些服务协同工作以优化 API 的使用并提供最佳性能。 考虑到服务对 API 施加的不同限制,Defender for Cloud Apps 引擎使用允许的容量。 某些操作(例如扫描租户中的所有文件)需要大量 API,因此它们分布的时间更长。 某些策略预计会运行几个小时或几天。

重要

2024 年 9 月 1 日起,我们将弃用 Microsoft Defender for Cloud Apps 中的文件页。 此时,请创建并修改信息保护策略,并从云应用 > 策略 > 策略管理页查找恶意软件文件。 有关详细信息,请参阅 Microsoft Defender for Cloud Apps 中的文件策略

多实例支持

Defender for Cloud Apps 支持同一连接应用的多个实例。 例如,如果有多个 Salesforce 实例(一个用于销售,一个用于市场营销),可以将两者都连接到 Defender for Cloud Apps。 你可以从同一个控制台管理不同的实例,以创建精细的策略和更深入的调查。 此支持仅适用于 API 连接的应用,不适用于云发现的应用或代理连接的应用。

注意

Microsoft 365 和 Azure 不支持多实例。

工作原理

Defender for Cloud Apps 使用系统管理特权进行部署,可完全访问环境中的所有对象。

应用连接器流如下所示:

  1. Defender for Cloud Apps 扫描并保存身份验证权限。

  2. Defender for Cloud Apps 请求用户列表。 首次执行此请求时,可能会花些时间才能完成扫描。 扫描完用户后,Defender for Cloud Apps 接着扫描活动和文件。 扫描开始后,一些活动将在 Defender for Cloud Apps 中可用。

  3. 完成用户请求后,Defender for Cloud Apps 会定期扫描用户、组、活动和文件。 第一次完全扫描后,所有活动均可用。

此连接可能会花些时间,具体取决于租户大小、用户数量以及需扫描的文件的大小和数量。

根据要连接到的应用,API 连接支持以下项目:

  • 帐户信息 - 了解用户、帐户、配置文件信息、状态(挂起、活动、禁用)组和权限。
  • 审核线索 - 用户活动、管理员活动、登录活动的可见性。
  • 帐户管理 - 能够挂起用户、撤消密码等。
  • 应用权限 - 了解颁发的令牌及其权限。
  • 应用权限管理 - 能够删除令牌。
  • 数据扫描 - 使用两个进程对非结构化数据的扫描:定期扫描(每 12 个小时一次)以及实时扫描(在每次检测到更改时触发)。
  • 数据治理 - 能够隔离文件(包括垃圾箱中的文件)和覆盖文件。

下表按云应用列出应用连接器支持的功能:

注意

由于并非所有应用连接器都支持所有功能,因此有些行可能为空。

用户和活动

应用 列出帐户 列出组 列出特权 登录活动 用户活动 管理活动
Asana
Atlassian
AWS 不适用
Azure
Box
Citrix ShareFile
DocuSign 通过 DocuSign 监视器支持 通过 DocuSign 监视器支持 通过 DocuSign 监视器支持 通过 DocuSign 监视器支持
Dropbox
Egnyte
GitHub
GCP 取决于 Google Workspace 连接 取决于 Google Workspace 连接 取决于 Google Workspace 连接 取决于 Google Workspace 连接
Google Workspace ✔ - 需要使用 Google 商业版或企业版
Microsoft 365
Miro
Mural
NetDocuments
Okta 不受提供程序支持
OneLogin
ServiceNow 部分 部分
Salesforce 支持使用 Salesforce 盾 支持使用 Salesforce 盾 支持使用 Salesforce 盾 支持使用 Salesforce 盾 支持使用 Salesforce 盾 支持使用 Salesforce 盾
Slack
Smartsheet
Webex 不受提供程序支持
Workday 不受提供程序支持 不受提供程序支持 不受提供程序支持
Workplace by Meta
Zendesk
缩放

用户、应用治理以及安全配置可见性

应用 用户治理 查看应用权限 撤消应用权限 SaaS 安全态势管理 (SSPM)
Asana
Atlassian
AWS 不适用 不适用
Azure 不受提供程序支持
Box 不受提供程序支持
Citrix ShareFile
DocuSign
Dropbox
Egnyte
GitHub
GCP 取决于 Google Workspace 连接 不适用 不适用
Google Workspace
Microsoft 365
Miro
Mural
NetDocuments 预览
Okta 不适用 不适用
OneLogin
ServiceNow
Salesforce
Slack
Smartsheet
Webex 不适用 不适用
Workday 不受提供程序支持 不适用 不适用
Workplace by Meta 预览
Zendesk
缩放 预览

信息保护

应用 DLP - 定期的积压工作扫描 DLP - 准实时扫描 共享控制 文件治理 应用 Microsoft Purview 信息保护中的敏感度标签
Asana
Atlassian
AWS ✔ - 仅限 S3 存储桶发现 不适用
Azure
Box
Citrix ShareFile
DocuSign
Dropbox
Egnyte
GitHub
GCP 不适用 不适用 不适用 不适用 不适用
Google Workspace ✔ - 需要使用 Google 商业企业版
Okta 不适用 不适用 不适用 不适用 不适用
Miro
Mural
NetDocuments
Okta 不适用 不适用 不适用 不适用 不适用
OneLogin
ServiceNow 不适用
Salesforce
Slack
Smartsheet
Webex 不适用
Workday 不受提供程序支持 不受提供程序支持 不受提供程序支持 不受提供程序支持 不适用
Workplace by Meta
Zendesk 预览
缩放

先决条件

  • 使用 Microsoft 365 连接器时,需要为每个想要查看安全建议的服务提供许可证。 例如,要查看 Microsoft Forms 的建议,需要一个支持 Forms 的许可证。

  • 对于一些应用,可能有必要将 IP 地址加入允许列表,以便 Defender for Cloud Apps 能够收集日志,并提供对 Defender for Cloud Apps 控制台的访问权限。 有关详细信息,请参阅网络要求

注意

若要在 URL 和 IP 地址更改时获取更新,请订阅 RSS,如 Microsoft 365 URL 和 IP 地址范围中所述。

ExpressRoute

Defender for Cloud Apps 部署在 Azure 中并与 ExpressRoute 完全集成。 与 Defender for Cloud Apps 应用的所有交互以及发送到 Defender for Cloud Apps 的流量(包括上传发现日志)都将通过 ExpressRoute 进行路由,以改善延迟,提高性能和安全性。 有关 Microsoft 对等互连的详细信息,请参阅 ExpressRoute 线路和路由域

禁用应用连接器

注意

  • 在禁用应用连接器之前,请确保具有可用的连接详细信息,因为如果要重新启用连接器,将需要它们。
  • 不能将这些步骤用于禁用条件访问应用控制应用和安全配置应用。

要禁用已连接的应用,请执行以下操作:

  1. 在“连接的应用”页面相关行中,选择三个点,然后选择“禁用应用连接器”
  2. 在弹出窗口中,单击“禁用应用连接器实例”以确认操作。

一旦禁用,连接器实例将停止使用连接器中的数据。

重新启用应用连接器

要重新启用已连接的应用,请执行以下操作:

  1. 在“连接的应用”页面相关行中,选择三个点,然后选择“编辑设置”。 这将启动添加连接器的过程。
  2. 使用相关 API 连接器指南中的步骤添加连接器。 例如,如果要重新启用 GitHub,请使用将 GitHub Enterprise Cloud 连接到 Microsoft Defender for Cloud Apps 中的步骤。

后续步骤

如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证