適用於雲端的 Microsoft Defender Apps 中的條件式存取應用程控
在現今的工作場所中,在事實發生之後,就不足以知道雲端環境中發生了什麼事。 您必須即時停止缺口和洩漏。 您也需要防止員工故意或意外地將您的數據和組織置於風險之中。
當組織中的使用者使用可用的最佳雲端應用程式並自備裝置來運作時,您想要為其提供支援。 不過,您也需要工具來即時保護貴組織免於遭受資料外洩和竊取。 適用於雲端的 Microsoft Defender Apps 與任何識別提供者整合,以透過存取和會話原則來傳遞此保護。
例如:
使用存取原則來:
- 封鎖非受控裝置使用者的 Salesforce 存取。
- 封鎖對原生用戶端的Dropbox存取。
使用會話原則來:
- 封鎖將敏感性檔案從 OneDrive 下載到非受控裝置。
- 封鎖將惡意代碼檔案上傳至 SharePoint Online。
Microsoft Edge 使用者受益於 直接的瀏覽器內保護。 瀏覽器網址列上的鎖定 
圖示表示此保護。
其他瀏覽器的用戶會透過反向 Proxy 重新導向至 適用於雲端的 Defender Apps。 這些瀏覽器會在連結的 URL 中顯示 *.mcas.ms 後綴。 例如,如果應用程式 URL 是 myapp.com,應用程式 URL 會更新為 myapp.com.mcas.ms。
本文說明透過 Microsoft Entra 條件式存取原則,適用於雲端的 Defender 應用程式中的條件式存取應用程控。
條件式存取應用程控中的活動
條件式存取應用程控會使用存取原則和會話原則,即時監視和控制整個組織的使用者應用程式存取和會話。
每個原則都有條件來定義 套用原則的人員 (哪些使用者或使用者群組)、 哪些 雲端應用程式,以及 套用原則的位置 和網路。 判斷條件之後,請先將使用者路由傳送至 適用於雲端的 Defender Apps。 您可以在該處套用存取和會話控制項,以協助保護您的數據。
存取和工作階段原則包含下列類型的活動:
| 活動 | 描述 |
|---|---|
| 防止數據外流 | 封鎖非受控裝置上的敏感性文件下載、剪下、複製和列印。 |
| 需要驗證內容 | 在工作階段中發生敏感性動作時,重新評估Microsoft Entra 條件式存取原則,例如需要多重要素驗證。 |
| 下載時保護 | 當您與 Microsoft Purview 資訊保護 整合時,不需要封鎖機密檔的下載,而是需要標記和加密檔。 此動作有助於保護檔,並在有風險的會話中限制使用者存取。 |
| 防止上傳未標記的檔案 | 確定使用者分類內容之前,會封鎖上傳具有敏感性內容的未標記檔案。 用戶上傳、散發或使用敏感性檔案之前,檔案必須具有您組織原則定義的標籤。 |
| 封鎖潛在的惡意代碼 | 藉由封鎖上傳潛在的惡意檔案,協助保護您的環境免於惡意代碼。 用戶嘗試上傳或下載的任何檔案,都可以掃描Microsoft威脅情報並立即封鎖。 |
| 監視用戶會話以符合規範 | 調查和分析用戶行為,以瞭解未來應套用會話原則的位置和狀況。 登入應用程式時,會監視有風險的使用者,並從會話內記錄其動作。 |
| 封鎖存取 | 根據數個風險因素,細微地封鎖特定應用程式和使用者的存取。 例如,您可以封鎖使用用戶端憑證管理裝置的應用程式或使用者。 |
| 封鎖自定義活動 | 某些應用程式具有具有風險的獨特案例。 例如,傳送在 Microsoft Teams 或 Slack 等應用程式中具有敏感性內容的訊息。 在這些案例中,掃描訊息是否有敏感性內容,並即時加以封鎖。 |
如需詳細資訊,請參閱
可用性
條件式存取應用程控不需要您在裝置上安裝任何專案,因此當您從非受控裝置或合作夥伴使用者監視或控制會話時,這是理想的選擇。
適用於雲端的 Defender 應用程式會使用專利啟發學習法來識別和控制目標應用程式中的用戶活動。 啟發學習法是設計來優化和平衡安全性與可用性。
在某些罕見的情況下,封鎖伺服器端的活動會使應用程式無法使用,因此組織只會在客戶端保護這些活動。 這種方法可讓惡意測試人員可能容易遭到惡意入侵。
系統效能和數據記憶體
適用於雲端的 Defender Apps 使用世界各地的 Azure 資料中心,透過地理位置提供優化的效能。 用戶會話可能會裝載在特定區域之外,視流量模式及其位置而定。 不過,為了協助保護用戶隱私權,這些數據中心不會儲存任何會話數據。
適用於雲端的 Defender 應用程式 Proxy 伺服器不會儲存待用數據。 當我們快取內容時,我們會遵循 RFC 7234 (HTTP 快取) 中配置的需求,並只快取公用內容。
支援的應用程式和用戶端
將會話和訪問控制套用至任何使用 SAML 2.0 驗證通訊協定的互動式單一登錄。 內建行動裝置和桌面用戶端應用程式也支援訪問控制。
此外,如果您使用 Microsoft Entra ID 應用程式,請將會話和存取控制套用至:
- 任何使用 OpenID Connect 驗證通訊協定的互動式單一登錄。
- 裝載於內部部署的應用程式,並使用 Microsoft Entra 應用程式 Proxy 進行設定。
Microsoft Entra ID 應用程式也會針對條件式存取應用程控自動上線,而使用其他 IdP 的應用程式必須 手動上線。
適用於雲端的 Defender Apps 會使用來自雲端應用程式目錄的數據來識別應用程式。 如果您使用外掛程式自定義應用程式,則必須將任何相關聯的自定義網域新增至目錄中的相關應用程式。 如需詳細資訊,請參閱 尋找您的雲端應用程式並計算風險分數。
注意
您無法使用具有 非互動式 登入流程的已安裝應用程式,例如 Authenticator 應用程式和其他內建應用程式,以及存取控制。 在此情況下,除了 適用於雲端的 Microsoft Defender Apps 存取原則之外,建議您在 Microsoft Entra 系統管理中心製作存取原則。
會話控件的支援範圍
雖然會話控件是建置成在任何操作系統上與任何主要平臺上的任何瀏覽器搭配運作,但我們支援下列瀏覽器的最新版本:
Microsoft Edge 使用者受益於瀏覽器內保護,而不需要重新導向至反向 Proxy。 如需詳細資訊,請參閱 使用 Microsoft Edge for Business 的瀏覽器內保護 (預覽版) 。
TLS 1.2+ 的應用程式支援
適用於雲端的 Defender 應用程式會使用傳輸層安全性 (TLS) 1.2+ 通訊協定來提供加密。 當您使用會話控件設定 TLS 1.2+ 時,無法存取不支援 TLS 1.2+ 的內建用戶端應用程式和瀏覽器。
不過,使用 TLS 1.1 或更早版本的軟體即服務 (SaaS) 應用程式,會在您使用 適用於雲端的 Defender Apps 進行設定時,出現在瀏覽器中,如同使用 TLS 1.2+ 。