Entonces mi empresa está usandomicrosoft 365(licencia E5). Y estamos aprovechando el "Catálogo de aplicaciones en la nube de Microsoft Defender" para bloquear el acceso a algunas "aplicaciones en la nube".
Sin embargo, resultó que algunas personas realmente necesitan acceso a las aplicaciones en la nube bloqueadas, lo cual es posible utilizando el "Grupo de dispositivos" de Defender.
Desafortunadamente, pareceun dispositivo terminal solo puede ser miembro de exactamente un grupo de dispositivos, ni más ni menos.
Eso me llevó a configurar cosas como esta:
Una vez que creé los 3 grupos de dispositivos, en la configuración "No autorizado" del Sitio A, excluí los grupos "CanA" y "CanAB". De manera similar, para el sitio B, excluí "CanB" y "CanAB" de la configuración "No autorizada" del sitio.
Todo funciona aceptablemente, como se esperaba.
Sin embargo, resultó que ahora hay un TERCER sitio que necesita un tratamiento similar. Esto significa que la relación ahora es así:
¡Qué complejidad! Sin mencionar que si en el futuro un cuarto sitio necesita el mismo tratamiento, el número de grupos crecerá sin control.
¿Existe una mejor manera de aprovechar Microsoft 365 para proporcionar lo que quiero?
(Si un dispositivo puede ser miembro de varios grupos de dispositivos, por supuesto, esto se puede resolver fácilmente. Pero el hecho es que un dispositivo solo puede ser miembro de exactamente un grupo de dispositivos).
Respuesta1
También puede utilizar Microsoft Entra/Azure AD Conditonal Access. En CA (Acceso Conditonal) puedes agregar múltiples grupos como exclusión
Editar/Actualizar
Si la aplicación no existe, debes crear una aplicación manualmente.
Aquí hay un script de PowerShell que verifica si la aplicación existe y, si no, crea la aplicación y luego crea la política.
# Install the required module if not already installed
Install-Module -Name Az -Force -AllowClobber
# Connect to Azure AD
Connect-AzAccount
# Define variables
$appName = "TelegramWeb" # You can change this to a suitable name
$identifierUri = "https://web.telegram.org/"
$application = Get-AzADApplication -DisplayName $appName
# Check if the application exists
if (!$application) {
# Create the application
$application = New-AzADApplication -DisplayName $appName -IdentifierUris $identifierUri
}
# Get the application ID
$applicationId = $application.ApplicationId
# Create Conditional Access policy to block Telegram Web
New-AzAdPolicyConditionalAccessPolicy -Name "BlockTelegramWeb" -State "Enabled" -UsersAll $false -UsersIncludeGroups @("Group1", "Group2") -ApplicationsIncludeApplications $applicationId -GrantControlsIncludeGrantControls @("BlockAccess") -SessionControlsIncludeSessionControls @("UseConditionalAccessAppControl") -AccessControlsIncludeAccessControls @("Block")