概述
在 Microsoft Entra ID 中使用Microsoft Defender for Cloud Apps对本地应用程序进行实时监视。 Defender for Cloud Apps使用条件访问应用控制基于条件访问策略实时监视和控制会话。 将这些策略应用于Microsoft Entra ID中使用应用程序代理的本地应用程序。
使用Defender for Cloud Apps创建的策略的一些示例包括:
- 阻止或保护非托管设备上的敏感文档下载。
- 监视高风险用户何时登录到应用程序,然后从会话中记录其作。 利用此信息,可以分析用户行为以确定如何应用会话策略。
- 使用客户端证书或设备符合性阻止从非托管设备访问特定应用程序。
- 限制来自非公司网络的用户会话。 你可以授予对从企业网络外部访问应用程序的用户的限制访问权限。 例如,此受限访问可能会阻止用户下载敏感文档。
有关详细信息,请参阅使用Microsoft Defender for Cloud Apps条件访问应用控制保护应用。
先决条件
- EMS E5 许可证或 Microsoft Entra ID P1 和 Defender for Cloud Apps 独立版。
- 本地应用程序必须使用 Kerberos 约束委派(KCD)。
- 配置Microsoft Entra ID以使用应用程序代理。 配置应用程序代理包括准备环境和安装专用网络连接器。 有关教程,请参阅 在 Microsoft Entra ID 中添加用于通过应用程序代理进行远程访问的本地应用程序。
将本地应用程序添加到Microsoft Entra ID
将本地应用程序添加到Microsoft Entra ID。 有关快速入门,请参阅 将本地应用添加到 Microsoft Entra ID。 添加应用程序时,请务必在添加本地应用程序页面中设置两个选项,使其适用于 Defender for Cloud Apps。
- Pre Authentication:输入 Microsoft Entra ID。
- 在应用程序正文中翻译 URL:选择 “是”。
测试本地应用程序
将应用程序添加到Microsoft Entra ID后,请使用 测试应用程序中的步骤添加用于测试的用户,并测试登录。
部署条件访问应用控制
若要在应用中配置条件访问应用控制,请按照 部署 Microsoft Entra 应用的条件访问应用控制 中的说明进行操作。
测试条件访问应用控制
若要使用条件访问应用程序控制测试Microsoft Entra应用程序的部署,请按照 测试Microsoft Entra应用的部署中的说明。