Onboarding benutzerdefinierter Nicht-Microsoft-IdP-Apps für die App-Steuerung für bedingten Zugriff

Zugriffs- und Sitzungssteuerungen in Microsoft Defender für Cloud-Apps funktionieren sowohl mit Katalog- als auch mit benutzerdefinierten Apps. Während Microsoft Entra ID Apps automatisch integriert werden, um die App-Steuerung für bedingten Zugriff zu verwenden, müssen Sie, wenn Sie mit einem Nicht-Microsoft-IdP arbeiten, das Onboarding Ihrer App manuell durchführen.

In diesem Artikel wird beschrieben, wie Sie Sowohl Ihren IdP für die Arbeit mit Defender for Cloud Apps konfigurieren als auch jede benutzerdefinierte App manuell integrieren. Im Gegensatz dazu werden Katalog-Apps von einem Nicht-Microsoft-IdP automatisch integriert, wenn Sie die Integration zwischen Ihrem IdP und Defender for Cloud Apps konfigurieren.

Voraussetzungen

• Ihr organization muss über die folgenden Lizenzen verfügen, um die App-Steuerung für bedingten Zugriff verwenden zu können:

  • Die für Ihre Identitätsanbieterlösung (IdP) erforderliche Lizenz
  • Microsoft Defender for Cloud Apps

• Apps müssen mit einmaligem Anmelden konfiguriert werden.

• Apps müssen mit dem SAML 2.0-Authentifizierungsprotokoll konfiguriert werden.

Hinzufügen von Administratoren zu Ihrer App-Onboarding-/Wartungsliste

1. Wählen Sie Microsoft Defender XDR Einstellungen > Cloud-Apps > Bedingter Zugriff App-Steuerung > App-Onboarding/Wartung aus.

2. Geben Sie die Benutzernamen oder E-Mails aller Benutzer ein, die ihr Onboarding für Ihre App durchführen, und wählen Sie dann Speichern aus.

Weitere Informationen finden Sie unter Diagnose und Problembehandlung mit der Symbolleiste Admin Ansicht.

Konfigurieren Ihres Identitätsanbieters für die Verwendung mit Defender for Cloud Apps

In diesem Verfahren wird beschrieben, wie App-Sitzungen von anderen IdP-Lösungen an Defender for Cloud Apps weitergeleitet werden.

Tipp

Die folgenden Artikel enthalten ausführliche Beispiele für dieses Verfahren:

• Konfigurieren Ihres PingOne-IdP
• Konfigurieren Ihres AD FS-Identitätsanbieters
• Konfigurieren Ihres Okta-IdP

So konfigurieren Sie Ihren Identitätsanbieter für die Verwendung mit Defender for Cloud Apps:

1. Wählen Sie Microsoft Defender XDR Einstellungen > Cloud-Apps > Verbundene Apps > App-Steuerungs-Apps für bedingten Zugriff aus.

2. Wählen Sie auf der Seite Apps für die App-Steuerung für bedingten Zugriffdie Option + Hinzufügen aus.

3. Wählen Sie im Dialogfeld SAML-Anwendung mit Ihrem Identitätsanbieter hinzufügen die Dropdownliste Nach einer App suchen und dann die App aus, die Sie bereitstellen möchten. Wählen Sie bei ausgewählter App den Start-Assistenten aus.

4. Laden Sie auf der Seite APP INFORMATION des Assistenten entweder eine Metadatendatei aus Ihrer App hoch, oder geben Sie App-Daten manuell ein.

   Stellen Sie sicher, dass Sie die folgenden Informationen angeben:

   • Die URL des Assertionsconsumerdiensts. Dies ist die URL, die Ihre App verwendet, um SAML-Assertionen von Ihrem IdP zu empfangen.
   • Ein SAML-Zertifikat, wenn Ihre App eins bereitstellt. Wählen Sie in solchen Fällen die Option Verwenden ... SAML-Zertifikatoption , und laden Sie dann die Zertifikatdatei hoch.

   Wenn Sie fertig sind, wählen Sie Weiter aus, um den Vorgang fortzusetzen.

5. Befolgen Sie auf der Seite IDENTITY PROVIDER des Assistenten die Anweisungen zum Einrichten einer neuen benutzerdefinierten App im Portal Ihres Identitätsanbieters.

   Hinweis

   Je nach IdP können die erforderlichen Schritte variieren. Aus den folgenden Gründen wird empfohlen, die externe Konfiguration wie beschrieben durchzuführen:

   • Bei einigen Identitätsanbietern können Sie die SAML-Attribute oder URL-Eigenschaften einer Katalog-/Katalog-App nicht ändern.
   • Wenn Sie eine benutzerdefinierte App konfigurieren, können Sie die App mit Defender for Cloud Apps Zugriffs- und Sitzungssteuerelementen testen, ohne das vorhandene konfigurierte Verhalten Ihrer organization zu ändern.

   Kopieren Sie die Konfigurationsinformationen für das einmalige Anmelden Ihrer App zur späteren Verwendung in diesem Verfahren. Wenn Sie fertig sind, wählen Sie Weiter aus, um den Vorgang fortzusetzen.

6. Wenn Sie auf der Seite IDENTITÄTSANBIETER des Assistenten fortfahren, laden Sie entweder eine Metadatendatei von Ihrem IdP hoch, oder geben Sie App-Daten manuell ein.

   Stellen Sie sicher, dass Sie die folgenden Informationen angeben:

   • Die URL des SSO-Diensts. Dies ist die URL, die Ihr IdP verwendet, um SSO-Anforderungen zu empfangen.
   • Ein SAML-Zertifikat, wenn Ihr IdP eins bereitstellt. Wählen Sie in solchen Fällen die Option SAML-Zertifikat des Identitätsanbieters verwenden aus, und laden Sie dann die Zertifikatdatei hoch.

7. Kopieren Sie auf der Seite IDENTITÄTSANBIETER des Assistenten sowohl die URL für einmaliges Anmelden als auch alle Attribute und Werte zur späteren Verwendung in diesem Verfahren.

   Wenn Sie fertig sind, wählen Sie Weiter aus, um den Vorgang fortzusetzen.

8. Navigieren Sie zum Portal Ihres Identitätsanbieters, und geben Sie die Werte ein, die Sie in Ihre IdP-Konfiguration kopiert haben. In der Regel befinden sich diese Einstellungen im Bereich mit den benutzerdefinierten App-Einstellungen Ihres Identitätsanbieters.

   1. Geben Sie die SSO-URL Ihrer App ein, die Sie aus dem vorherigen Schritt kopiert haben. Einige Anbieter beziehen sich möglicherweise auf die URL für einmaliges Anmelden als Antwort-URL.

   2. Fügen Sie die Attribute und Werte, die Sie aus dem vorherigen Schritt kopiert haben, den Eigenschaften der App hinzu. Einige Anbieter bezeichnen sie möglicherweise als Benutzerattribute oder Ansprüche.

      Wenn Ihre Attribute für neue Apps auf 1024 Zeichen beschränkt sind, erstellen Sie zuerst die App ohne die relevanten Attribute, und fügen Sie sie anschließend hinzu, indem Sie die App bearbeiten.

   3. Vergewissern Sie sich, dass Ihr Namensbezeichner das Format einer E-Mail-Adresse aufweist.

   4. Stellen Sie sicher, dass Sie Ihre Einstellungen speichern, wenn Sie fertig sind.

9. Kopieren Sie zurück Defender for Cloud Apps auf der Seite APP-ÄNDERUNGEN des Assistenten die SAML-URL für einmaliges Anmelden, und laden Sie das Microsoft Defender for Cloud Apps SAML-Zertifikat herunter. Die SAML-URL für einmaliges Anmelden ist eine angepasste URL für Ihre App, wenn sie mit Defender for Cloud Apps App-Steuerung für bedingten Zugriff verwendet wird.

10. Navigieren Sie zum Portal Ihrer App, und konfigurieren Sie Die Einstellungen für einmaliges Anmelden wie folgt:

    1. (Empfohlen) Erstellen Sie eine Sicherung Ihrer aktuellen Einstellungen.
    2. Ersetzen Sie den Wert des Anmelde-URL-Felds des Identitätsanbieters durch die Defender for Cloud Apps SAML-URL für einmaliges Anmelden, die Sie aus dem vorherigen Schritt kopiert haben. Der spezifische Name für dieses Feld kann je nach App abweichen.
    3. Laden Sie das Defender for Cloud Apps SAML-Zertifikat hoch, das Sie im vorherigen Schritt heruntergeladen haben.
    4. Stellen Sie sicher, dass Sie Ihre Änderungen speichern.

11. Wählen Sie im Assistenten Fertig stellen aus, um die Konfiguration abzuschließen.

Nachdem Sie die Einstellungen für einmaliges Anmelden Ihrer App mit den von Defender for Cloud Apps angepassten Werten gespeichert haben, werden alle zugeordneten Anmeldeanforderungen an die App über Defender for Cloud Apps und die App-Steuerung für bedingten Zugriff weitergeleitet.

Hinweis

Das Defender for Cloud Apps SAML-Zertifikat ist 1 Jahr lang gültig. Nach Ablauf des Vorgangs müssen Sie eine neue generieren.

Integrieren Ihrer App für die App-Steuerung für bedingten Zugriff

Wenn Sie mit einer benutzerdefinierten App arbeiten, die nicht automatisch im App-Katalog aufgefüllt wird, müssen Sie sie manuell hinzufügen.

So überprüfen Sie, ob Ihre App bereits hinzugefügt wurde:

1. Wählen Sie Microsoft Defender XDR Einstellungen > Cloud-Apps > Verbundene Apps > Bedingter Zugriff App-Steuerungs-Apps aus.

2. Wählen Sie das Dropdownmenü App: Apps auswählen... aus, um nach Ihrer App zu suchen.

Wenn Ihre App bereits aufgeführt ist, fahren Sie stattdessen mit dem Verfahren für Katalog-Apps fort.

So fügen Sie Ihre App manuell hinzu:

1. Wenn Sie über neue Apps verfügen, wird oben auf der Seite ein Banner angezeigt, das Sie darüber informiert, dass Sie neue Apps integrieren müssen. Wählen Sie den Link Neue Apps anzeigen aus, um sie anzuzeigen.

2. Suchen Sie im Dialogfeld Ermittelte Azure AD-Apps Nach Ihrer App, z. B. anhand des Werts anmelde-URL . Wählen Sie die + Schaltfläche und dann Hinzufügen aus, um das Onboarding als benutzerdefinierte App durchzuführen.

Installieren von Stammzertifikaten

Stellen Sie sicher, dass Sie für jede Ihrer Apps die richtigen Zertifikate der aktuellen Zertifizierungsstelle oder der nächsten Zertifizierungsstelle verwenden.

Wiederholen Sie den folgenden Schritt für jedes Zertifikat, um Ihre Zertifikate zu installieren:

1. Öffnen Sie das Zertifikat, und installieren Sie es, und wählen Sie entweder Aktueller Benutzer oder Lokaler Computer aus.

2. Wenn Sie gefragt werden, wo Sie Ihre Zertifikate platzieren möchten, navigieren Sie zu Vertrauenswürdige Stammzertifizierungsstellen.

3. Wählen Sie NACH Bedarf OK und Fertig stellen aus, um das Verfahren abzuschließen.

4. Starten Sie Ihren Browser neu, öffnen Sie Die App erneut, und wählen Sie Weiter aus, wenn Sie dazu aufgefordert werden.

5. Wählen Sie Microsoft Defender XDR Einstellungen > Cloud-Apps > Verbundene Apps > App-Steuerungs-Apps für bedingten Zugriff aus, und stellen Sie sicher, dass Ihre App weiterhin in der Tabelle aufgeführt ist.

Weitere Informationen finden Sie unter App wird nicht auf der App-Steuerungs-App-Seite für bedingten Zugriff angezeigt.

Verwandte Inhalte

• Schützen von Apps mit Microsoft Defender for Cloud Apps App-Steuerung für bedingten Zugriff
• Bereitstellen der App-Steuerung für bedingten Zugriff für Katalog-Apps mit Nicht-Microsoft-IdPs
• Problembehandlung bei Zugriffs- und Sitzungssteuerungen

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.