Del via

Onboarder brugerdefinerede apps, der ikke er Microsoft IdP, til appkontrol af betinget adgang

  • Artikel

Adgangs- og sessionskontrolelementer i Microsoft Defender til Cloud-apps fungerer med både katalogapps og brugerdefinerede apps. Selvom Microsoft Entra ID apps automatisk onboardes til at bruge appkontrolelementet Betinget adgang, skal du onboarde din app manuelt, hvis du arbejder med en app, der ikke er Microsoft IdP.

I denne artikel beskrives det, hvordan du både konfigurerer din IdP til at arbejde med Defender for Cloud Apps og derefter onboarder hver brugerdefinerede app manuelt. I modsætning hertil onboardes katalogapps fra en ikke-Microsoft IdP automatisk, når du konfigurerer integrationen mellem din IdP og Defender for Cloud Apps.

Forudsætninger

  • Din organisation skal have følgende licenser for at kunne bruge appkontrolelementet Betinget adgang:

    • Den licens, der kræves af din idP-løsning (Identitetsudbyder)
    • Microsoft Defender for Cloud Apps

  • Apps skal konfigureres med enkeltlogon

  • Apps skal konfigureres med SAML 2.0-godkendelsesprotokollen.

Føj administratorer til onboarding-/vedligeholdelseslisten for din app

  1. I Microsoft Defender XDR skal du vælge Indstillinger Cloud > Apps > Appen Til betinget adgang Styring > af app onboarding/vedligeholdelse.

  2. Angiv brugernavne eller mails for de brugere, der skal onboarde din app, og vælg derefter Gem.

Du kan finde flere oplysninger under Diagnosticer og foretag fejlfinding med værktøjslinjen Administration Vis.

Konfigurer idP'en til at arbejde med Defender for Cloud Apps

I denne procedure beskrives det, hvordan du dirigerer appsessioner fra andre IdP-løsninger til Defender for Cloud Apps.

Tip

Følgende artikler indeholder detaljerede eksempler på denne procedure:

Sådan konfigurerer du idP'en til at arbejde med Defender for Cloud Apps:

  1. I Microsoft Defender XDR skal du vælge Indstillinger > Cloud Apps > Connected Apps > Appen Betinget adgang Kontrol apps.

  2. På siden Appen Styring af betinget adgang skal du vælge + Tilføj.

  3. I dialogboksen Tilføj et SAML-program med din identitetsudbyder skal du vælge rullelisten Søg efter en app og derefter vælge den app, du vil installere. Med din app valgt skal du vælge Start guide.

  4. På siden MED APP-OPLYSNINGER i guiden skal du enten uploade en metadatafil fra din app eller angive appdata manuelt.

    Sørg for at angive følgende oplysninger:

    • URL-adressen til antagelsesforbrugertjenesten. Dette er den URL-adresse, som din app bruger til at modtage SAML-antagelser fra din IdP.
    • Et SAML-certifikat, hvis din app indeholder et. I sådanne tilfælde skal du vælge Brug ... INDSTILLINGEN SAML-certifikat , og upload derefter certifikatfilen.

    Når du er færdig, skal du vælge Næste for at fortsætte.

  5. På siden IDENTITETSUDBYDER i guiden skal du følge vejledningen for at konfigurere en ny brugerdefineret app på din IdP-portal.

    Bemærk!

    De trin, der kræves, kan variere, afhængigt af din IdP. Vi anbefaler, at du udfører den eksterne konfiguration som beskrevet af følgende årsager:

    • Nogle identitetsudbydere tillader ikke, at du ændrer SAML-attributterne eller URL-egenskaberne for et galleri/katalogprogram.
    • Når du konfigurerer en brugerdefineret app, kan du teste appen med Defender for Cloud Apps adgangs- og sessionskontrolelementer uden at ændre organisationens eksisterende konfigurerede funktionsmåde.

    Kopiér konfigurationsoplysningerne for single sign-on for din app til senere brug i denne procedure. Når du er færdig, skal du vælge Næste for at fortsætte.

  6. Hvis du fortsætter på siden IDENTITETSUDBYDER i guiden, skal du enten overføre en metadatafil fra din IdP eller angive appdata manuelt.

    Sørg for at angive følgende oplysninger:

    • URL-adressen til Single Sign-on-tjenesten. Dette er den URL-adresse, som idP bruger til at modtage single sign-on-anmodninger.
    • Et SAML-certifikat, hvis dit IdP indeholder et. I sådanne tilfælde skal du vælge indstillingen Brug identitetsudbyderens SAML-certifikat og derefter uploade certifikatfilen.

  7. Hvis du fortsætter på siden IDENTITETSUDBYDER i guiden, skal du kopiere både URL-adressen til single sign-on og alle attributter og værdier til senere brug i denne procedure.

    Når du er færdig, skal du vælge Næste for at fortsætte.

  8. Gå til din IdP-portal, og angiv de værdier, du har kopieret til din IdP-konfiguration. Disse indstillinger findes typisk i idP'ens område med brugerdefinerede appindstillinger.

    1. Angiv URL-adressen til single sign-on for din app, som du havde kopieret fra det forrige trin. Nogle udbydere refererer muligvis til URL-adressen til single sign-on som URL-adressen til Svar.

    2. Føj de attributter og værdier, du har kopieret fra det forrige trin, til appens egenskaber. Nogle providere kan referere til dem som brugerattributter eller krav.

      Hvis dine attributter er begrænset til 1024 tegn for nye apps, skal du først oprette appen uden de relevante attributter og derefter tilføje dem ved at redigere appen.

    3. Kontrollér, at dit navne-id er i formatet af en mailadresse.

    4. Sørg for at gemme dine indstillinger, når du er færdig.

  9. Tilbage i Defender for Cloud Apps skal du på siden APP CHANGES i guiden kopiere URL-adressen til SAML-single sign-on og hente Microsoft Defender for Cloud Apps SAML-certifikatet. URL-adressen til SAML-enkeltlogon er en brugerdefineret URL-adresse til din app, når den bruges sammen med Defender for Cloud Apps appobjekt af typen Betinget adgang.

  10. Gå til appens portal, og konfigurer indstillingerne for enkeltlogon på følgende måde:

    1. (Anbefalet) Opret en sikkerhedskopi af dine aktuelle indstillinger.
    2. Erstat værdien for url-adressen for identitetsudbyderens logon-URL-adresse med den Defender for Cloud Apps URL-adresse til SAML-enkeltlogon, du kopierede fra det forrige trin. Det specifikke navn for dette felt kan variere afhængigt af din app.
    3. Upload det Defender for Cloud Apps SAML-certifikat, du downloadede i det forrige trin.
    4. Sørg for at gemme dine ændringer.

  11. Vælg Udfør i guiden for at fuldføre konfigurationen.

Når du har gemt indstillingerne for enkeltlogon for din app med de værdier, der er tilpasset af Defender for Cloud Apps, distribueres alle tilknyttede logonanmodninger til appen via Defender for Cloud Apps og appen Betinget adgang.

Bemærk!

Det Defender for Cloud Apps SAML-certifikat er gyldigt i 1 år. Når den udløber, skal du oprette en ny.

Onboard din app til appkontrolelementet Betinget adgang

Hvis du arbejder med en brugerdefineret app, der ikke udfyldes automatisk i app-kataloget, skal du tilføje den manuelt.

Sådan kontrollerer du, om din app allerede er tilføjet:

  1. I Microsoft Defender XDR skal du vælge Indstillinger > CloudApps > Tilsluttede apps > Appen Betinget adgang Kontrol af apps.

  2. Vælg appen: Vælg apps... rullemenu for at søge efter din app.

Hvis din app allerede er angivet, skal du i stedet fortsætte med proceduren for katalogapps.

Sådan tilføjer du din app manuelt:

  1. Hvis du har nye apps, får du vist et banner øverst på siden, hvor du får besked om, at du har nye apps at onboarde. Vælg linket Vis nye apps for at se dem.

  2. Find din app i dialogboksen Fundet Azure AD apps, f.eks. ved hjælp af værdien for URL-adressen til logon. Vælg knappen, + og tilføj for at onboarde den som en brugerdefineret app.

Installér rodcertifikater

Sørg for, at du bruger det korrekte aktuelle nøglecenter eller det næste nøglecentercertifikater for hver af dine apps.

Hvis du vil installere dine certifikater, skal du gentage følgende trin for hvert certifikat:

  1. Åbn og installér certifikatet, og vælg enten Aktuel bruger eller Lokal computer.

  2. Når du bliver bedt om at angive, hvor du vil placere dine certifikater, skal du gå til Nøglecentre, der er tillid til.

  3. Vælg OK og Udfør efter behov for at fuldføre proceduren.

  4. Genstart browseren, åbn din app igen, og vælg Fortsæt , når du bliver bedt om det.

  5. I Microsoft Defender XDR skal du vælge Indstillinger > Cloudapps > Tilsluttede apps > Appen Betinget adgang Kontrol af apps og sørge for, at din app stadig er angivet i tabellen.

Du kan få flere oplysninger under App vises ikke på siden med apps til kontrol af betinget adgang.

Relateret indhold

Hvis du støder på problemer, er vi her for at hjælpe. Hvis du vil have hjælp eller support til dit produktproblem, skal du åbne en supportanmodning.