開始使用 適用於雲端的 Microsoft Defender Apps

本快速入門說明如何在 Microsoft Defender 入口網站上開始使用 適用於雲端的 Microsoft Defender Apps。

適用於雲端的 Defender Apps 可協助您使用雲端應用程式的優點,同時維護公司資源的控制權。 適用於雲端的 Defender Apps 可改善雲端活動的可見度,並協助提升對公司數據的保護。

提示

作為本文的隨附,建議您在登入 Microsoft 365 系統管理中心 時,使用 適用於雲端的 Microsoft Defender Apps 自動化設定指南。 本指南會根據您的環境自定義您的體驗。 若要檢閱最佳做法而不登入和啟用自動化設定功能,請移至 Microsoft 365 設定入口網站

必要條件

若要設定 適用於雲端的 Defender Apps,您必須是 Microsoft Entra ID 或 Microsoft 365 中的全域 管理員 istrator 或 Security 管理員 istrator。

不論您指派角色的位置為何,具有系統管理員角色的使用者在組織訂閱的任何雲端應用程式上都有相同的系統管理員許可權。 如需詳細資訊,請參閱在 Microsoft Entra ID 中指派系統管理員角色和指派系統管理員角色。

適用於雲端的 Microsoft Defender Apps 是安全性工具,因此不需要 Microsoft 365 生產力套件授權。 針對 Microsoft 365 雲端 App 安全性(僅限 Microsoft 365 適用於雲端的 Microsoft Defender Apps),請參閱 適用於雲端的 Microsoft Defender Apps 與 Microsoft 365 雲端 App 安全性 之間的差異為何?

存取 適用於雲端的 Defender 應用程式

  1. 針對您想要受 適用於雲端的 Defender Apps 保護的每個使用者,取得 適用於雲端的 Defender Apps 授權。 如需詳細資訊,請參閱 Microsoft 365 授權數據工作表

    適用於雲端的 Defender Apps 試用版是 Microsoft 365 E5 試用版的一部分,您可以從 Microsoft 365 系統管理中心 >Marketplace 購買授權。 如需詳細資訊,請參閱 試用或購買 Microsoft 365取得商務用 Microsoft 365 的支援。

    注意

    適用於雲端的 Microsoft Defender Apps 是安全性工具,因此不需要 Microsoft 365 生產力套件授權。 如需詳細資訊,請參閱 適用於雲端的 Microsoft Defender Apps 與 Microsoft 365 雲端 App 安全性 有何差異?

  2. 在 Microsoft Defender 入口網站的 Cloud Apps 底下存取 適用於雲端的 Defender 應用程式。 例如:

    Screenshot of the Defender for Cloud Apps Cloud Discovery page.

步驟 1:為您的應用程式設定即時可見度、保護及治理動作

操作說明為您的應用程式設定立即可見度、保護和治理動作

必要工作:連線 應用程式

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。
  2. 在 [連線 應用程式] 底下,選取 [應用程式 連線 者]。
  3. 選取 +連線 應用程式以新增應用程式,然後選取應用程式。
  4. 請遵循下列設定步驟,以連線應用程式。

為什麼要連線應用程式? 連接應用程式後,您就可以取得更深入的可見度,進而得以替雲端環境中的應用程式調查活動、檔案及帳戶。

步驟 2:使用 DLP 原則保護敏感性資訊

如何分頁使用 DLP 原則保護敏感性資訊

建議的工作:啟用檔案監視和建立檔案原則

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。
  2. 在 [資訊保護] 下,選取 [檔案]。
  3. 依序選取 [啟用檔案監視] 和 [儲存]。
  4. 如果您使用 Microsoft Purview 資訊保護的敏感度標籤,請選取 [資訊保護] 底下的 [Microsoft 資訊保護]。
  5. 選取必要的設定,然後選取 [儲存]。
  6. 步驟 3 中建立檔案原則以符合組織需求。

提示

您可以在 Microsoft Defender 入口網站中流覽至 Cloud Apps> 檔案,以檢視已連線應用程式的檔案。

移轉建議
建議您採用 Defender for Cloud Apps 敏感性資訊保護搭配目前的雲端存取安全性代理程式 (CASB) 解決方案。 首先,將您想要保護的應用程式連線到 適用於雲端的 Microsoft Defender 應用程式。 由於 API 連接器使用的是頻外連線,因此不會產生衝突。 然後逐漸將原則從目前的 CASB 解決方案移轉至 適用於雲端的 Defender Apps。

注意

如果是第三方應用程式,請確認目前的負載未超過應用程式允許的 API 呼叫數目上限。

步驟 3:使用原則控制您的雲端應用程式

操作說明使用原則控制雲端應用程式

必要工作:建立原則

建立原則

  1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 下,選擇 [原則 -> 原則範本]。
  2. 從清單中選擇原則範本,然後選取 + 要建立原則的圖示。
  3. 自訂原則 (選取篩選、動作及其他設定),然後選擇 [建立]
  4. 在 [雲端應用程式] 下,選擇 [原則 -> 原則管理],以選擇原則,並查看相關的相符專案(活動、檔案、警示)。

提示

為每個風險類別建立原則,以涵蓋雲端環境的所有安全性案例。

原則對組織有何幫助?

您可使用原則來協助您監視趨勢、查看安全性威脅,並產生自訂的報告及警示。 使用原則時,您可以建立治理動作並設定資料外洩防護及檔案共用的控制項。

步驟 4:設定 Cloud Discovery

如何頁面設定 Cloud Discovery

必要工作:啟用 適用於雲端的 Defender 應用程式以檢視您的雲端應用程式使用

  1. 與適用於端點的 Microsoft Defender 整合,就能自動啟用 Defender for Cloud Apps 來監視貴公司內部與外部的 Windows 10 和 Windows 11 裝置。

  2. 如果您使用 Zscaler,請將其與 Defender for Cloud Apps 整合。

  3. 為了取得完整涵蓋範圍,請建立 Cloud Discovery 連續報告

    1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。
    2. 在 [Cloud Discovery] 下,選擇 [自動記錄上傳]。
    3. [資料來源] 索引標籤上,新增您的來源。
    4. [記錄收集器] 索引標籤上,設定記錄收集器。

移轉建議
建議您以 Defender for Cloud Apps 探索搭配目前的 CASB 解決方案。 首先進行設定,將防火牆記錄自動上傳至 Defender for Cloud Apps 記錄收集器。 如果您使用適用於端點的 Defender,請在 Microsoft Defender 全面偵測回應 中,確定您開啟將訊號轉送至 適用於雲端的 Defender Apps 的選項。 設定 Cloud Discovery 不會與目前 CASB 解決方案的記錄收集衝突。

建立 Cloud Discovery 快照集報告

  1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 下,選擇 [雲端探索]。
  2. 在右上角,選取 [ 動作 -> 建立 Cloud Discovery 快照集報告]。

為什麼您應該設定 Cloud Discovery 報告?

瞭解貴組織影子 IT 的可見度非常重要。 分析記錄之後,您可以輕鬆地找到使用中的雲端應用程式、人員以及裝置。

步驟 5:為目錄應用程式部署條件式存取應用程式控制

如何頁面使用 Microsoft Entra ID 部署目錄應用程式的條件式存取應用程控

建議的工作:為類別目錄應用程式部署條件式存取應用程控

  1. 設定您的 IdP 以便搭配 Defender for Cloud Apps 使用。 如果您有 Microsoft Entra ID,您可以利用內嵌控件,例如 [僅限 監視] 和 [封鎖下載],這些控件 將適用於現成可用的任何類別目錄應用程式。
  2. 將應用程式上線至存取和工作階段控制項。
    1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。
    2. 連線 應用程式下,選取 [條件式存取應用程控應用程式]*。
    3. 使用範圍設定為原則的使用者登入每個應用程式
    4. 重新整理條件式 存取應用程控應用程式 頁面,並檢視應用程式。
  3. 確認應用程式已設定為使用存取和會話控制項

若要為自訂企業營運應用程式、非精選 SaaS 應用程式和內部部署應用程式設定工作階段控制項,請參閱 使用 Microsoft Entra ID 為自訂應用程式部署條件式存取應用程式控制

移轉建議
如果與另一個 CASB 解決方案同時使用條件式存取應用程式控制,可能會導致系統進行兩次應用程式代理,造成延遲或其他錯誤。 因此,建議您逐步將應用程式和原則移轉至條件式存取應用程式控制,並在 Defender for Cloud Apps 中建立相關工作階段或存取原則。

步驟 6:個人化您的體驗

如何頁面個人化您的體驗

建議的工作:新增您的組織詳細數據

針對輸入電子郵件設定

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。
  2. 在 [系統] 底下,選取 [郵件設定]。
  3. [電子郵件寄件者身分識別] 下方,輸入電子郵件地址及顯示名稱。
  4. [電子郵件設計] 下方,上傳組織的電子郵件範本。

針對設定系統管理員通知

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [Microsoft Defender 全面偵測回應]。
  2. 選取 [電子郵件通知]
  3. 設定您想要為系統通知設定的方法。

針對自訂分數計量

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。
  2. 在 [Cloud Discovery] 下,選擇 [評分計量]。
  3. 設定各種風險值的重要程度。
  4. 選擇儲存

現在,針對已發現應用程式提供的風險分數,會依據貴組織的需求和優先順序精確進行。

為什麼個人化您的環境?

某些功能在自訂您的需求時效果最佳。 使用您自己的電子郵件範本,為使用者提供更好的體驗。 決定您想接收的通知,並自訂風險分數衡量標準以便符合貴組織的偏好。

步驟 7:根據您的需求組織資料

如何頁面使用IP範圍和標籤

建議的工作:設定重要設定

針對建立 IP 位址標籤

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。

  2. 在 [系統] 底下,選取 [IP 位址範圍]。

  3. 選取 [+ 新增 IP 位址範圍 ] 以新增 IP 位址範圍。

  4. 輸入 IP 範圍名稱、IP 位址範圍、類別和標籤。

  5. 選擇 [建立] 。

    現在您可以在建立原則及篩選與建立連續報告時,使用 IP 標記。

針對建立連續性報告

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。
  2. 在 [Cloud Discovery] 底下,選擇 [連續報告]。
  3. 選擇 [建立報告]。
  4. 請遵循下列設定步驟。
  5. 選擇 [建立] 。

現在,您可以依據自己的喜好設定來檢視找到的資料,例如業務單位或 IP 範圍。

針對新增網域

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。
  2. 在 [系統] 底下,選擇 [組織詳細數據]。
  3. 新增您組織的內部網域。
  4. 選擇儲存

為什麼要進行這些設定?

這些設定可協助您更充分掌控主控台的功能。 使用 IP 標記,可讓您輕鬆建立符合需求的原則、正確篩選資料等等。 您可以使用 [資料檢視],將資料歸類於不同邏輯類別。

下一步

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證