概述
在 Microsoft Entra ID 中使用Microsoft Defender for Cloud Apps对本地应用程序进行实时监视。 Defender for Cloud Apps使用条件访问应用控制基于条件访问策略实时监视和控制会话。 将这些策略应用于Microsoft Entra ID中使用应用程序代理的本地应用程序。
使用Defender for Cloud Apps创建的策略的一些示例包括:
- 阻止或保护非托管设备上的敏感文档下载。
- 监视高风险用户何时登录到应用程序,然后从会话中记录其作。 利用此信息,可以分析用户行为以确定如何应用会话策略。
- 使用客户端证书或设备符合性阻止从非托管设备访问特定应用程序。
- 限制来自非公司网络的用户会话。 你可以授予对从企业网络外部访问应用程序的用户的限制访问权限。 例如,此受限访问可能会阻止用户下载敏感文档。
有关详细信息,请参阅使用Microsoft Defender for Cloud Apps条件访问应用控制保护应用。
要求
EMS E5 许可证或 Microsoft Entra ID P1 和 Defender for Cloud Apps 独立版。
本地应用程序必须使用 Kerberos 约束委派(KCD)。
配置Microsoft Entra ID以使用应用程序代理。 配置应用程序代理包括准备环境和安装专用网络连接器。 教程请参阅 通过应用程序代理在 Microsoft Entra ID 中添加本地应用程序以实现远程访问。
将本地应用程序添加到Microsoft Entra ID
将本地应用程序添加到Microsoft Entra ID。 有关快速入门,请参阅 将本地应用添加到 Microsoft Entra ID。 添加应用程序时,请务必在添加本地应用程序页面中设置两个选项,使其适用于 Defender for Cloud Apps。
- Pre Authentication:输入 Microsoft Entra ID。
- 在应用程序正文中翻译 URL:选择 “是”。
测试本地应用程序
将应用程序添加到Microsoft Entra ID后,请使用 测试应用程序中的步骤添加用于测试的用户,并测试登录。
部署条件访问应用控制
若要在应用中配置条件访问应用控制,请按照 部署 Microsoft Entra 应用的条件访问应用控制 中的说明进行操作。
测试条件访问应用控制
若要使用条件访问应用程序控制测试Microsoft Entra应用程序的部署,请按照 测试Microsoft Entra应用的部署中的说明。