Onboarding af app-apps, der ikke er Microsoft IdP-katalogapps, til appkontrol med betinget adgang

Adgangs- og sessionskontrolelementer i Microsoft Defender til Cloud-apps fungerer med både katalogapps og brugerdefinerede apps. Selvom Microsoft Entra ID apps automatisk onboardes til at bruge appkontrolelementet Betinget adgang, skal du onboarde din app manuelt, hvis du arbejder med en app, der ikke er Microsoft IdP.

I denne artikel beskrives det, hvordan du konfigurerer din IdP til at arbejde med Defender for Cloud Apps. Når du integrerer din IdP med Defender for Cloud Apps onboarder du automatisk alle katalogapps fra dit IdP for Conditional Access-appkontrol.

Forudsætninger

• Din organisation skal have følgende licenser for at kunne bruge appkontrolelementet Betinget adgang:

  • Den licens, der kræves af din idP-løsning (Identitetsudbyder)
  • Microsoft Defender for Cloud Apps

• Apps skal konfigureres med enkeltlogon

• Apps skal konfigureres med SAML 2.0-godkendelsesprotokollen.

Fuld udførelse og test af procedurerne i denne artikel kræver, at du har konfigureret en session eller adgangspolitik. Du kan finde flere oplysninger under:

• Opret Microsoft Defender for Cloud Apps adgangspolitikker
• Opret Microsoft Defender for Cloud Apps sessionspolitikker

Konfigurer idP'en til at arbejde med Defender for Cloud Apps

I denne procedure beskrives det, hvordan du dirigerer appsessioner fra andre IdP-løsninger til Defender for Cloud Apps.

Tip

Følgende artikler indeholder detaljerede eksempler på denne procedure:

• Konfigurer din PingOne IdP
• Konfigurer din AD FS IdP
• Konfigurer din Okta IdP

Sådan konfigurerer du idP'en til at arbejde med Defender for Cloud Apps:

1. I Microsoft Defender XDR skal du vælge Indstillinger > Cloud Apps > Connected Apps > Appen Betinget adgang Kontrol apps.

2. På siden Appen Styring af betinget adgang skal du vælge + Tilføj.

3. I dialogboksen Tilføj et SAML-program med din identitetsudbyder skal du vælge rullelisten Søg efter en app og derefter vælge den app, du vil installere. Med din app valgt skal du vælge Start guide.

4. På siden MED APP-OPLYSNINGER i guiden skal du enten uploade en metadatafil fra din app eller angive appdata manuelt.

   Sørg for at angive følgende oplysninger:

   • URL-adressen til antagelsesforbrugertjenesten. Dette er den URL-adresse, som din app bruger til at modtage SAML-antagelser fra din IdP.
   • Et SAML-certifikat, hvis din app indeholder et. I sådanne tilfælde skal du vælge Brug ... INDSTILLINGEN SAML-certifikat , og upload derefter certifikatfilen.

   Når du er færdig, skal du vælge Næste for at fortsætte.

5. På siden IDENTITETSUDBYDER i guiden skal du følge vejledningen for at konfigurere en ny brugerdefineret app på din IdP-portal.

   Bemærk!

   De trin, der kræves, kan variere, afhængigt af din IdP. Vi anbefaler, at du udfører den eksterne konfiguration som beskrevet af følgende årsager:

   • Nogle identitetsudbydere tillader ikke, at du ændrer SAML-attributterne eller URL-egenskaberne for et galleri/katalogprogram.
   • Når du konfigurerer en brugerdefineret app, kan du teste appen med Defender for Cloud Apps adgangs- og sessionskontrolelementer uden at ændre organisationens eksisterende konfigurerede funktionsmåde.

   Kopiér konfigurationsoplysningerne for single sign-on for din app til senere brug i denne procedure. Når du er færdig, skal du vælge Næste for at fortsætte.

6. Hvis du fortsætter på siden IDENTITETSUDBYDER i guiden, skal du enten overføre en metadatafil fra din IdP eller angive appdata manuelt.

   Sørg for at angive følgende oplysninger:

   • URL-adressen til Single Sign-on-tjenesten. Dette er den URL-adresse, som idP bruger til at modtage single sign-on-anmodninger.
   • Et SAML-certifikat, hvis dit IdP indeholder et. I sådanne tilfælde skal du vælge indstillingen Brug identitetsudbyderens SAML-certifikat og derefter uploade certifikatfilen.

7. Hvis du fortsætter på siden IDENTITETSUDBYDER i guiden, skal du kopiere både URL-adressen til single sign-on og alle attributter og værdier til senere brug i denne procedure.

   Når du er færdig, skal du vælge Næste for at fortsætte.

8. Gå til din IdP-portal, og angiv de værdier, du har kopieret til din IdP-konfiguration. Disse indstillinger findes typisk i idP'ens område med brugerdefinerede appindstillinger.

   1. Angiv URL-adressen til single sign-on for din app, som du havde kopieret fra det forrige trin. Nogle udbydere refererer muligvis til URL-adressen til single sign-on som URL-adressen til Svar.

   2. Føj de attributter og værdier, du har kopieret fra det forrige trin, til appens egenskaber. Nogle providere kan referere til dem som brugerattributter eller krav.

      Hvis dine attributter er begrænset til 1024 tegn for nye apps, skal du først oprette appen uden de relevante attributter og derefter tilføje dem ved at redigere appen.

   3. Kontrollér, at dit navne-id er i formatet af en mailadresse.

   4. Sørg for at gemme dine indstillinger, når du er færdig.

9. Tilbage i Defender for Cloud Apps skal du på siden APP CHANGES i guiden kopiere URL-adressen til SAML-single sign-on og hente Microsoft Defender for Cloud Apps SAML-certifikatet. URL-adressen til SAML-enkeltlogon er en brugerdefineret URL-adresse til din app, når den bruges sammen med Defender for Cloud Apps appobjekt af typen Betinget adgang.

10. Gå til appens portal, og konfigurer indstillingerne for enkeltlogon på følgende måde:

    1. (Anbefalet) Opret en sikkerhedskopi af dine aktuelle indstillinger.
    2. Erstat værdien for url-adressen for identitetsudbyderens logon-URL-adresse med den Defender for Cloud Apps URL-adresse til SAML-enkeltlogon, du kopierede fra det forrige trin. Det specifikke navn for dette felt kan variere afhængigt af din app.
    3. Upload det Defender for Cloud Apps SAML-certifikat, du downloadede i det forrige trin.
    4. Sørg for at gemme dine ændringer.

11. Vælg Udfør i guiden for at fuldføre konfigurationen.

Når du har gemt indstillingerne for enkeltlogon for din app med de værdier, der er tilpasset af Defender for Cloud Apps, distribueres alle tilknyttede logonanmodninger til appen via Defender for Cloud Apps og appen Betinget adgang.

Bemærk!

Det Defender for Cloud Apps SAML-certifikat er gyldigt i 1 år. Når den udløber, skal du oprette og uploade en ny.

Log på din app ved hjælp af en bruger, der er begrænset til politikken

Når du har oprettet din adgangs- eller sessionspolitik, skal du logge på hver app, der er konfigureret i politikken. Sørg for, at du først har logget af alle eksisterende sessioner, og at du logger på med en bruger, der er konfigureret i politikken.

Defender for Cloud Apps synkroniserer dine politikoplysninger til serverne for hver ny app, du logger på. Dette kan tage op til et minut.

Du kan finde flere oplysninger under:

• Opret Microsoft Defender for Cloud Apps adgangspolitikker
• Opret Microsoft Defender for Cloud Apps sessionspolitikker

Kontrollér, at apps er konfigureret til at bruge adgangs- og sessionskontrolelementer

I denne procedure beskrives det, hvordan du kontrollerer, at dine apps er konfigureret til at bruge adgangs- og sessionskontrolelementer i Defender for Cloud Apps og konfigurere disse indstillinger, hvis det er nødvendigt.

Bemærk!

Selvom du ikke kan fjerne indstillinger for sessionskontrol for en app, ændres ingen funktionsmåde, før du har konfigureret en session eller adgangspolitik for appen.

1. I Microsoft Defender XDR skal du vælge Indstillinger > CloudApps > Tilsluttede apps > Appen Betinget adgang Kontrol af apps.

2. Søg efter din app i apptabellen, og kontrollér kolonneværdien for IDP-typen . Sørg for, at ikke-MS-godkendelsesappen og sessionskontrolelementet vises for din app.

Relateret indhold

• Beskyt apps med Microsoft Defender for Cloud Apps kontrolelementet Betinget adgang
• Udrul appstyring med betinget adgang for brugerdefinerede apps med ikke-Microsoft-identitetsudbydere
• Fejlfinding af adgangs- og sessionskontrolelementer

Hvis du støder på problemer, er vi her for at hjælpe. Hvis du vil have hjælp eller support til dit produktproblem, skal du åbne en supportanmodning.