在 Microsoft Entra ID 中使用 Microsoft Defender for Cloud Apps 实时监视本地应用程序。 Defender for Cloud Apps 使用条件访问应用控制,基于条件访问策略实时监视并控制会话。 将这些策略应用于Microsoft Entra ID 中使用应用程序代理的本地应用程序。
使用 Defender for Cloud Apps 创建的策略的一些示例包括:
- 阻止或保护对非管理的设备上敏感文档的下载。
- 当高风险用户登录到应用程序时进行监视,然后从会话中记录它们的操作。 有了此信息,即可分析用户行为以决定如何应用会话策略。
- 使用客户端证书或设备符合性阻止非管理的设备访问特定应用程序。
- 限制来自非公司网络的用户会话。 对于从公司外部网络访问应用程序的用户,可以限制他们的访问权限。 例如,受限制的访问权限可阻止用户下载敏感文档。
有关详细信息,请参阅 使用 Microsoft Defender for Cloud Apps 条件访问应用控制保护应用。
要求
EMS E5 许可证,或Microsoft Entra ID P1 和 Defender for Cloud Apps 独立版。
本地应用程序必须使用 Kerberos 约束委派(KCD)。
将 Microsoft Entra ID 配置为使用应用程序代理。 配置应用程序代理包括准备环境和安装专用网络连接器。 有关教程,请参阅 在 Microsoft Entra ID 中通过应用程序代理添加用于远程访问的本地应用程序。
将本地应用程序添加到 Microsoft Entra ID
将本地应用程序添加到 Microsoft Entra ID。 有关快速入门信息,请参阅将本地应用添加到 Microsoft Entra ID。 添加应用程序时,请务必在 “添加本地应用程序 ”页中设置两个设置,使其适用于 Defender for Cloud Apps:
- 预身份验证:输入 Microsoft Entra ID。
- 转换应用程序主体中的 URL:选择“是”。
测试本地应用程序
将应用程序添加到 Microsoft Entra ID 后,使用测试应用程序中的步骤添加用于测试的用户并测试登录。
部署条件访问应用控制
若要使用条件访问应用程序控制配置应用程序,请按照为 Microsoft Entra 应用部署条件访问应用程序控制中的说明进行操作。
测试条件访问应用控制
若要使用条件访问应用程序控制测试 Microsoft Entra 应用程序的部署,请按照测试 Microsoft Entra 应用的部署中的说明进行操作。