Onboarding vlastních aplikací zprostředkovatele identity jiných společností než Microsoftu pro řízení podmíněného přístupu

Řízení přístupu a relací v Microsoft Defender pro cloudové aplikace fungují s katalogovými i vlastními aplikacemi. Zatímco Microsoft Entra ID aplikace se automaticky onboardují, aby používaly řízení podmíněného přístupu k aplikacím, pokud pracujete s zprostředkovatelem identity jiného než Microsoftu, budete muset aplikaci nasadit ručně.

Tento článek popisuje, jak nakonfigurovat zprostředkovatele identity tak, aby fungoval s Defender for Cloud Apps, a pak také ručně připojit každou vlastní aplikaci. Naproti tomu aplikace katalogu od jiného zprostředkovatele identity než Microsoft se automaticky onboardují, když nakonfigurujete integraci mezi vaším zprostředkovatelem identity a Defender for Cloud Apps.

Požadavky

• Aby vaše organizace používala řízení podmíněného přístupu k aplikacím, musí mít následující licence:

  • Licence vyžadovaná řešením zprostředkovatele identity (IdP)
  • Microsoft Defender for Cloud Apps

• Aplikace musí být nakonfigurované s jednotným přihlašováním.

• Aplikace musí být nakonfigurované pomocí ověřovacího protokolu SAML 2.0.

Přidání správců do seznamu onboardingu a údržby aplikace

1. V Microsoft Defender XDR vyberte Nastavení > Cloudové aplikace > – Řízení > podmíněného přístupu k aplikacím – onboarding/údržba.

2. Zadejte uživatelská jména nebo e-maily všech uživatelů, kteří budou aplikaci onboardovat, a pak vyberte Uložit.

Další informace najdete v tématu Diagnostika a řešení potíží pomocí panelu nástrojů Správa Zobrazení.

Konfigurace zprostředkovatele identity pro práci s Defender for Cloud Apps

Tento postup popisuje, jak směrovat relace aplikací z jiných řešení zprostředkovatele identity do Defender for Cloud Apps.

Tip

Následující články obsahují podrobné příklady tohoto postupu:

• Konfigurace zprostředkovatele identity PingOne
• Konfigurace zprostředkovatele identity služby AD FS
• Konfigurace zprostředkovatele identity Okta

Konfigurace zprostředkovatele identity pro práci s Defender for Cloud Apps:

1. V Microsoft Defender XDR vyberte Nastavení > Cloud Apps > Connected Apps > Podmíněný přístup Aplikace Řízení aplikací.

2. Na stránce Aplikace Řízení podmíněného přístupu k aplikacím vyberte + Přidat.

3. V dialogovém okně Přidat aplikaci SAML pomocí zprostředkovatele identity vyberte rozevírací seznam Hledat aplikaci a pak vyberte aplikaci, kterou chcete nasadit. Vyberte aplikaci a vyberte Spustit průvodce.

4. Na stránce INFORMACE O APLIKACI v průvodci buď nahrajte soubor metadat z aplikace, nebo zadejte data aplikace ručně.

   Nezapomeňte zadat následující informace:

   • Adresa URL služby příjemce kontrolního výrazu. Toto je adresa URL, kterou vaše aplikace používá k příjmu kontrolních výrazů SAML od zprostředkovatele identity.
   • Certifikát SAML, pokud ho vaše aplikace poskytuje. V takových případech vyberte použít ... Možnost certifikátu SAML a pak nahrajte soubor certifikátu.

   Až budete hotovi, pokračujte výběrem možnosti Další .

5. Na stránce ZPROSTŘEDKOVATEL IDENTITY průvodce nastavte novou vlastní aplikaci na portálu zprostředkovatele identity podle pokynů.

   Poznámka

   Požadované kroky se můžou lišit v závislosti na vašem zprostředkovateli identity. Externí konfiguraci doporučujeme provést tak, jak je popsáno z následujících důvodů:

   • Někteří zprostředkovatelé identit neumožňují měnit atributy SAML nebo vlastnosti adresy URL galerie nebo aplikace katalogu.
   • Při konfiguraci vlastní aplikace můžete aplikaci otestovat pomocí Defender for Cloud Apps řízení přístupu a relací, aniž byste museli měnit stávající nakonfigurované chování vaší organizace.

   Zkopírujte informace o konfiguraci jednotného přihlašování aplikace pro pozdější použití v tomto postupu. Až budete hotovi, pokračujte výběrem možnosti Další .

6. Pokračujte na stránce PRŮVODCE ZPROSTŘEDKOVATEL IDENTITY a buď nahrajte soubor metadat z zprostředkovatele identity, nebo zadejte data aplikace ručně.

   Nezapomeňte zadat následující informace:

   • Adresa URL služby jednotného přihlašování Toto je adresa URL, kterou váš zprostředkovatel identity používá k přijímání žádostí o jednotné přihlašování.
   • Certifikát SAML, pokud ho váš zprostředkovatel identity poskytuje. V takových případech vyberte možnost Použít certifikát SAML zprostředkovatele identity a pak nahrajte soubor certifikátu.

7. Pokračujte na stránce PRŮVODCE ZPROSTŘEDKOVATEL IDENTITY a zkopírujte adresu URL jednotného přihlašování a všechny atributy a hodnoty pro pozdější použití v tomto postupu.

   Až budete hotovi, pokračujte výběrem možnosti Další .

8. Přejděte na portál zprostředkovatele identity a zadejte hodnoty, které jste zkopírovali do konfigurace zprostředkovatele identity. Tato nastavení se obvykle nacházejí v oblasti vlastního nastavení aplikace vašeho zprostředkovatele identity.

   1. Zadejte adresu URL jednotného přihlašování vaší aplikace, kterou jste zkopírovali v předchozím kroku. Někteří zprostředkovatelé můžou odkazovat na adresu URL jednotného přihlašování jako adresu URL odpovědi.

   2. Přidejte atributy a hodnoty, které jste zkopírovali v předchozím kroku, do vlastností aplikace. Někteří zprostředkovatelé je můžou označovat jako atributy uživatele nebo deklarace identity.

      Pokud jsou vaše atributy pro nové aplikace omezené na 1024 znaků, nejprve vytvořte aplikaci bez příslušných atributů a potom je přidejte úpravou aplikace.

   3. Ověřte, že je identifikátor vašeho jména ve formátu e-mailové adresy.

   4. Až budete hotovi, nezapomeňte nastavení uložit.

9. Zpět v Defender for Cloud Apps na stránce ZMĚNY APLIKACÍ průvodce zkopírujte adresu URL jednotného přihlašování SAML a stáhněte Microsoft Defender for Cloud Apps certifikát SAML. Adresa URL jednotného přihlašování SAML je přizpůsobená adresa URL pro vaši aplikaci při použití s Defender for Cloud Apps řízení podmíněného přístupu k aplikacím.

10. Přejděte na portál vaší aplikace a následujícím způsobem nakonfigurujte nastavení jednotného přihlašování:

    1. (Doporučeno) Vytvořte zálohu aktuálního nastavení.
    2. Hodnotu pole adresa URL pro přihlášení zprostředkovatele identity nahraďte adresou URL Defender for Cloud Apps jednotného přihlašování SAML, kterou jste zkopírovali v předchozím kroku. Konkrétní název tohoto pole se může lišit v závislosti na vaší aplikaci.
    3. Nahrajte Defender for Cloud Apps certifikát SAML, který jste si stáhli v předchozím kroku.
    4. Nezapomeňte uložit změny.

11. V průvodci vyberte Dokončit a dokončete konfiguraci.

Po uložení nastavení jednotného přihlašování aplikace s hodnotami přizpůsobenými Defender for Cloud Apps se všechny přidružené žádosti o přihlášení do aplikace směrují přes Defender for Cloud Apps a řízení podmíněného přístupu k aplikaci.

Poznámka

Certifikát DEFENDER FOR CLOUD APPS SAML je platný po dobu 1 roku. Po vypršení jeho platnosti budete muset vygenerovat nový.

Onboarding aplikace pro řízení podmíněného přístupu k aplikacím

Pokud pracujete s vlastní aplikací, která není automaticky vyplněná v katalogu aplikací, budete ji muset přidat ručně.

Pokud chcete zkontrolovat, jestli je vaše aplikace už přidaná:

1. V Microsoft Defender XDR vyberte Nastavení > Připojené cloudové aplikace >> Podmíněné aplikace Řízení přístupu k aplikacím.

2. Vyberte rozevírací nabídku Aplikace: Vybrat aplikace... a vyhledejte svou aplikaci.

Pokud už je vaše aplikace uvedená, pokračujte v postupu pro aplikace katalogu.

Ruční přidání aplikace:

1. Pokud máte nové aplikace, zobrazí se v horní části stránky banner s oznámením, že máte nové aplikace pro nasazení. Kliknutím na odkaz Zobrazit nové aplikace je zobrazíte.

2. V dialogovém okně Zjištěné aplikace Azure AD vyhledejte aplikaci, například podle hodnoty Přihlašovací adresa URL. + Vyberte tlačítko a pak přidat a připojte ho jako vlastní aplikaci.

Instalace kořenových certifikátů

Ujistěte se, že pro každou aplikaci používáte správný certifikát aktuální certifikační autority nebo další certifikační autority .

Certifikáty nainstalujete tak, že pro každý certifikát zopakujete následující krok:

1. Otevřete a nainstalujte certifikát a vyberte Aktuální uživatel nebo Místní počítač.

2. Po zobrazení výzvy k umístění certifikátů přejděte na Důvěryhodné kořenové certifikační autority.

3. Podle potřeby vyberte OK a Dokončit , abyste postup dokončili.

4. Restartujte prohlížeč, znovu otevřete aplikaci a po zobrazení výzvy vyberte Pokračovat .

5. V Microsoft Defender XDR vyberte Nastavení > Připojené cloudové aplikace >> Aplikace Podmíněné řízení přístupu k aplikacím a ujistěte se, že je vaše aplikace stále uvedená v tabulce.

Další informace najdete v tématu Aplikace se nezobrazuje na stránce aplikace pro řízení podmíněného přístupu.

Související obsah

• Ochrana aplikací pomocí Microsoft Defender for Cloud Apps řízení podmíněného přístupu k aplikacím
• Nasazení řízení podmíněného přístupu aplikací pro aplikace katalogu s poskytovateli identity od jiných společností než Microsoft
• Řešení potíží s řízením přístupu a relací

Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.