所以我的公司正在使用Microsoft 365(E5 许可证)。我们正在利用“Microsoft Defender 云应用目录”来阻止对某些“云应用”的访问。
然而,事实证明有些人确实需要访问被阻止的云应用程序,这可以使用 Defender 的“设备组”来实现。
不幸的是,似乎一个端点设备只能是一个设备组的成员,不多也不少。
这让我做了如下设置:
创建 3 个设备组后,我在站点 A 的“未批准”设置中排除了“CanA”和“CanAB”组。同样,对于站点 B,我从站点的“未批准”设置中排除了“CanB”和“CanAB”。
一切都进展顺利,正如预期。
然而,现在有第三个站点需要类似的处理。这意味着关系现在如下:
这真是太复杂了!更不用说,如果将来第四个站点需要同样的处理,群组数量将变得无法控制。
有没有更好的方法利用 Microsoft 365 来提供我想要的东西?
(如果一个设备可以成为多个设备组的成员,当然这很容易解决。但事实是,一个设备只能成为一个设备组的成员。)
答案1
您还可以使用 Microsoft Entra/Azure AD 条件访问。在 CA(条件访问)中,您可以添加多个组作为排除项
编辑/更新
如果应用程序不存在,您需要手动创建一个应用程序
这是一个 PowerShell 脚本,它检查应用程序是否存在,如果不存在,则创建应用程序,然后创建策略
# Install the required module if not already installed
Install-Module -Name Az -Force -AllowClobber
# Connect to Azure AD
Connect-AzAccount
# Define variables
$appName = "TelegramWeb" # You can change this to a suitable name
$identifierUri = "https://web.telegram.org/"
$application = Get-AzADApplication -DisplayName $appName
# Check if the application exists
if (!$application) {
# Create the application
$application = New-AzADApplication -DisplayName $appName -IdentifierUris $identifierUri
}
# Get the application ID
$applicationId = $application.ApplicationId
# Create Conditional Access policy to block Telegram Web
New-AzAdPolicyConditionalAccessPolicy -Name "BlockTelegramWeb" -State "Enabled" -UsersAll $false -UsersIncludeGroups @("Group1", "Group2") -ApplicationsIncludeApplications $applicationId -GrantControlsIncludeGrantControls @("BlockAccess") -SessionControlsIncludeSessionControls @("UseConditionalAccessAppControl") -AccessControlsIncludeAccessControls @("Block")