所以我的公司正在使用微軟365(E5 許可證)。我們正在利用「Microsoft Defender 雲端應用程式目錄」來阻止對某些「雲端應用程式」的存取。
然而,事實證明,有些人實際上需要訪問被阻止的雲端應用程序,這可以使用 Defender 的「設備組」來實現。
不幸的是,似乎一台端點設備只能是一個設備組的成員,不能多也不能少。
這導致我進行了這樣的設定:
建立 3 個裝置群組後,在網站 A 的「未經批准」設定中,我排除了「CanA」和「CanAB」群組。同樣,對於網站 B,我從網站的「未經批准」設定中排除了「CanB」和「CanAB」。
一切都按預期進行,可以接受。
然而,事實證明,現在還有第三個地點需要類似的處理。這意味著關係現在是這樣的:
這真是太複雜了!更不用說,如果將來有第四個站點需要相同的處理,那麼組的數量將失去控制。
有沒有更好的方法來利用 Microsoft 365 來提供我想要的東西?
(如果一台設備可以是多個設備組的成員,當然這很容易解決。但事實是,一台設備只能是一個設備組的成員。)
答案1
您也可以使用 Microsoft Entra/Azure AD 條件存取。在 CA(條件存取)中,您可以新增多個群組作為排除項
編輯/更新
如果該應用程式不存在,您需要手動建立應用程式
這是一個 PowerShell 腳本,用於檢查應用程式是否存在,如果不存在則建立應用程序,然後建立策略
# Install the required module if not already installed
Install-Module -Name Az -Force -AllowClobber
# Connect to Azure AD
Connect-AzAccount
# Define variables
$appName = "TelegramWeb" # You can change this to a suitable name
$identifierUri = "https://web.telegram.org/"
$application = Get-AzADApplication -DisplayName $appName
# Check if the application exists
if (!$application) {
# Create the application
$application = New-AzADApplication -DisplayName $appName -IdentifierUris $identifierUri
}
# Get the application ID
$applicationId = $application.ApplicationId
# Create Conditional Access policy to block Telegram Web
New-AzAdPolicyConditionalAccessPolicy -Name "BlockTelegramWeb" -State "Enabled" -UsersAll $false -UsersIncludeGroups @("Group1", "Group2") -ApplicationsIncludeApplications $applicationId -GrantControlsIncludeGrantControls @("BlockAccess") -SessionControlsIncludeSessionControls @("UseConditionalAccessAppControl") -AccessControlsIncludeAccessControls @("Block")