如何阻止透過 Microsoft 365 存取“雲端應用程式”

如何阻止透過 Microsoft 365 存取“雲端應用程式”

所以我的公司正在使用微軟365(E5 許可證)。我們正在利用「Microsoft Defender 雲端應用程式目錄」來阻止對某些「雲端應用程式」的存取。

然而,事實證明,有些人實際上需要訪問被阻止的雲端應用程序,這可以使用 Defender 的「設備組」來實現。

不幸的是,似乎一台端點設備只能是一個設備組的成員,不能多也不能少

這導致我進行了這樣的設定:

2 個站點訪問的維恩圖

建立 3 個裝置群組後,在網站 A 的「未經批准」設定中,我排除了「CanA」和「CanAB」群組。同樣,對於網站 B,我從網站的「未經批准」設定中排除了「CanB」和「CanAB」。

一切都按預期進行,可以接受。

然而,事實證明,現在還有第三個地點需要類似的處理。這意味著關係現在是這樣的:

3個站點訪問的維恩圖

這真是太複雜了!更不用說,如果將來有第四個站點需要相同的處理,那麼組的數量將失去控制。

有沒有更好的方法來利用 Microsoft 365 來提供我想要的東西?

(如果一台設備可以是多個設備組的成員,當然這很容易解決。但事實是,一台設備只能是一個設備組的成員。)

答案1

您也可以使用 Microsoft Entra/Azure AD 條件存取。在 CA(條件存取)中,您可以新增多個群組作為排除項

編輯/更新

如果該應用程式不存在,您需要手動建立應用程式

這是一個 PowerShell 腳本,用於檢查應用程式是否存在,如果不存在則建立應用程序,然後建立策略

# Install the required module if not already installed
Install-Module -Name Az -Force -AllowClobber

# Connect to Azure AD
Connect-AzAccount

# Define variables
$appName = "TelegramWeb" # You can change this to a suitable name
$identifierUri = "https://web.telegram.org/"
$application = Get-AzADApplication -DisplayName $appName

# Check if the application exists
if (!$application) {
    # Create the application
    $application = New-AzADApplication -DisplayName $appName -IdentifierUris $identifierUri
}

# Get the application ID
$applicationId = $application.ApplicationId

# Create Conditional Access policy to block Telegram Web
New-AzAdPolicyConditionalAccessPolicy -Name "BlockTelegramWeb" -State "Enabled" -UsersAll $false -UsersIncludeGroups @("Group1", "Group2") -ApplicationsIncludeApplications $applicationId -GrantControlsIncludeGrantControls @("BlockAccess") -SessionControlsIncludeSessionControls @("UseConditionalAccessAppControl") -AccessControlsIncludeAccessControls @("Block")

相關內容