그래서 우리 회사에서는마이크로소프트 365(E5 라이센스). 그리고 "Microsoft Defender 클라우드 앱 카탈로그"를 활용하여 일부 "클라우드 앱"에 대한 액세스를 차단하고 있습니다.
그러나 일부 사람들은 실제로 차단된 클라우드 앱에 액세스해야 하는 것으로 나타났으며 이는 Defender의 "장치 그룹"을 사용하여 가능합니다.
불행하게도 그럴 것 같습니다하나의 엔드포인트 장치는 그 이상도 그 이하도 아닌 정확히 하나의 장치 그룹에만 속할 수 있습니다..
그로 인해 다음과 같이 설정하게 되었습니다.
3개의 장치 그룹을 생성한 후 사이트 A의 "Unsanctioned" 설정에서 "CanA" 및 "CanAB" 그룹을 제외했습니다. 사이트 B의 경우에도 사이트의 '승인되지 않음' 설정에서 'CanB' 및 'CanAB'를 제외했습니다.
예상대로 모든 것이 원활하게 작동합니다.
그러나 이제 유사한 치료가 필요한 세 번째 부위가 있다는 사실이 밝혀졌습니다. 이는 관계가 이제 다음과 같다는 것을 의미합니다.
이것은 정말 복잡합니다! 미래에 네 번째 사이트에 동일한 처리가 필요한 경우 그룹 수가 통제할 수 없을 정도로 늘어날 것이라는 점은 말할 것도 없습니다.
Microsoft 365를 활용하여 내가 원하는 것을 제공할 수 있는 더 좋은 방법이 있나요?
(장치가 여러 장치 그룹의 구성원일 수 있는 경우 물론 이 문제는 쉽게 해결할 수 있습니다. 그러나 사실은 장치가 정확히 하나의 장치 그룹에만 속할 수 있다는 것입니다.)
답변1
Microsoft Entra/Azure AD 조건부 액세스를 사용할 수도 있습니다. CA(조건부 액세스)에서는 여러 그룹을 제외로 추가할 수 있습니다.
편집/업데이트
앱이 존재하지 않으면 수동으로 앱을 만들어야 합니다.
다음은 앱이 존재하는지 확인하고 존재하지 않는 경우 앱을 생성한 다음 정책을 생성하는 PowerShell 스크립트입니다.
# Install the required module if not already installed
Install-Module -Name Az -Force -AllowClobber
# Connect to Azure AD
Connect-AzAccount
# Define variables
$appName = "TelegramWeb" # You can change this to a suitable name
$identifierUri = "https://web.telegram.org/"
$application = Get-AzADApplication -DisplayName $appName
# Check if the application exists
if (!$application) {
# Create the application
$application = New-AzADApplication -DisplayName $appName -IdentifierUris $identifierUri
}
# Get the application ID
$applicationId = $application.ApplicationId
# Create Conditional Access policy to block Telegram Web
New-AzAdPolicyConditionalAccessPolicy -Name "BlockTelegramWeb" -State "Enabled" -UsersAll $false -UsersIncludeGroups @("Group1", "Group2") -ApplicationsIncludeApplications $applicationId -GrantControlsIncludeGrantControls @("BlockAccess") -SessionControlsIncludeSessionControls @("UseConditionalAccessAppControl") -AccessControlsIncludeAccessControls @("Block")