Onboarding von Nicht-Microsoft IdP-Katalog-Apps für die App-Steuerung für bedingten Zugriff

Zugriffs- und Sitzungssteuerungen in Microsoft Defender für Cloud-Apps funktionieren sowohl mit Katalog- als auch mit benutzerdefinierten Apps. Während Microsoft Entra ID Apps automatisch integriert werden, um die App-Steuerung für bedingten Zugriff zu verwenden, müssen Sie, wenn Sie mit einem Nicht-Microsoft-IdP arbeiten, das Onboarding Ihrer App manuell durchführen.

In diesem Artikel wird beschrieben, wie Sie Ihren IdP für die Arbeit mit Defender for Cloud Apps konfigurieren. Durch die Integration Ihres Identitätsanbieters in Defender for Cloud Apps werden automatisch alle Katalog-Apps aus Ihrem IdP für die App-Steuerung für bedingten Zugriff integriert.

Voraussetzungen

• Ihr organization muss über die folgenden Lizenzen verfügen, um die App-Steuerung für bedingten Zugriff verwenden zu können:

  • Die für Ihre Identitätsanbieterlösung (IdP) erforderliche Lizenz
  • Microsoft Defender for Cloud Apps

• Apps müssen mit einmaligem Anmelden konfiguriert werden.

• Apps müssen mit dem SAML 2.0-Authentifizierungsprotokoll konfiguriert werden.

Zum vollständigen Ausführen und Testen der Verfahren in diesem Artikel müssen Sie eine Sitzungs- oder Zugriffsrichtlinie konfiguriert haben. Weitere Informationen finden Sie unter:

• Erstellen von Microsoft Defender for Cloud Apps Zugriffsrichtlinien
• Erstellen von Microsoft Defender for Cloud Apps Sitzungsrichtlinien

Konfigurieren Ihres Identitätsanbieters für die Verwendung mit Defender for Cloud Apps

In diesem Verfahren wird beschrieben, wie App-Sitzungen von anderen IdP-Lösungen an Defender for Cloud Apps weitergeleitet werden.

Tipp

Die folgenden Artikel enthalten ausführliche Beispiele für dieses Verfahren:

• Konfigurieren Ihres PingOne-IdP
• Konfigurieren Ihres AD FS-Identitätsanbieters
• Konfigurieren Ihres Okta-IdP

So konfigurieren Sie Ihren Identitätsanbieter für die Verwendung mit Defender for Cloud Apps:

1. Wählen Sie Microsoft Defender XDR Einstellungen > Cloud-Apps > Verbundene Apps > App-Steuerungs-Apps für bedingten Zugriff aus.

2. Wählen Sie auf der Seite Apps für die App-Steuerung für bedingten Zugriffdie Option + Hinzufügen aus.

3. Wählen Sie im Dialogfeld SAML-Anwendung mit Ihrem Identitätsanbieter hinzufügen die Dropdownliste Nach einer App suchen und dann die App aus, die Sie bereitstellen möchten. Wählen Sie bei ausgewählter App den Start-Assistenten aus.

4. Laden Sie auf der Seite APP INFORMATION des Assistenten entweder eine Metadatendatei aus Ihrer App hoch, oder geben Sie App-Daten manuell ein.

   Stellen Sie sicher, dass Sie die folgenden Informationen angeben:

   • Die URL des Assertionsconsumerdiensts. Dies ist die URL, die Ihre App verwendet, um SAML-Assertionen von Ihrem IdP zu empfangen.
   • Ein SAML-Zertifikat, wenn Ihre App eins bereitstellt. Wählen Sie in solchen Fällen die Option Verwenden ... SAML-Zertifikatoption , und laden Sie dann die Zertifikatdatei hoch.

   Wenn Sie fertig sind, wählen Sie Weiter aus, um den Vorgang fortzusetzen.

5. Befolgen Sie auf der Seite IDENTITY PROVIDER des Assistenten die Anweisungen zum Einrichten einer neuen benutzerdefinierten App im Portal Ihres Identitätsanbieters.

   Hinweis

   Je nach IdP können die erforderlichen Schritte variieren. Aus den folgenden Gründen wird empfohlen, die externe Konfiguration wie beschrieben durchzuführen:

   • Bei einigen Identitätsanbietern können Sie die SAML-Attribute oder URL-Eigenschaften einer Katalog-/Katalog-App nicht ändern.
   • Wenn Sie eine benutzerdefinierte App konfigurieren, können Sie die App mit Defender for Cloud Apps Zugriffs- und Sitzungssteuerelementen testen, ohne das vorhandene konfigurierte Verhalten Ihrer organization zu ändern.

   Kopieren Sie die Konfigurationsinformationen für das einmalige Anmelden Ihrer App zur späteren Verwendung in diesem Verfahren. Wenn Sie fertig sind, wählen Sie Weiter aus, um den Vorgang fortzusetzen.

6. Wenn Sie auf der Seite IDENTITÄTSANBIETER des Assistenten fortfahren, laden Sie entweder eine Metadatendatei von Ihrem IdP hoch, oder geben Sie App-Daten manuell ein.

   Stellen Sie sicher, dass Sie die folgenden Informationen angeben:

   • Die URL des SSO-Diensts. Dies ist die URL, die Ihr IdP verwendet, um SSO-Anforderungen zu empfangen.
   • Ein SAML-Zertifikat, wenn Ihr IdP eins bereitstellt. Wählen Sie in solchen Fällen die Option SAML-Zertifikat des Identitätsanbieters verwenden aus, und laden Sie dann die Zertifikatdatei hoch.

7. Kopieren Sie auf der Seite IDENTITÄTSANBIETER des Assistenten sowohl die URL für einmaliges Anmelden als auch alle Attribute und Werte zur späteren Verwendung in diesem Verfahren.

   Wenn Sie fertig sind, wählen Sie Weiter aus, um den Vorgang fortzusetzen.

8. Navigieren Sie zum Portal Ihres Identitätsanbieters, und geben Sie die Werte ein, die Sie in Ihre IdP-Konfiguration kopiert haben. In der Regel befinden sich diese Einstellungen im Bereich mit den benutzerdefinierten App-Einstellungen Ihres Identitätsanbieters.

   1. Geben Sie die SSO-URL Ihrer App ein, die Sie aus dem vorherigen Schritt kopiert haben. Einige Anbieter beziehen sich möglicherweise auf die URL für einmaliges Anmelden als Antwort-URL.

   2. Fügen Sie die Attribute und Werte, die Sie aus dem vorherigen Schritt kopiert haben, den Eigenschaften der App hinzu. Einige Anbieter bezeichnen sie möglicherweise als Benutzerattribute oder Ansprüche.

      Wenn Ihre Attribute für neue Apps auf 1024 Zeichen beschränkt sind, erstellen Sie zuerst die App ohne die relevanten Attribute, und fügen Sie sie anschließend hinzu, indem Sie die App bearbeiten.

   3. Vergewissern Sie sich, dass Ihr Namensbezeichner das Format einer E-Mail-Adresse aufweist.

   4. Stellen Sie sicher, dass Sie Ihre Einstellungen speichern, wenn Sie fertig sind.

9. Kopieren Sie zurück Defender for Cloud Apps auf der Seite APP-ÄNDERUNGEN des Assistenten die SAML-URL für einmaliges Anmelden, und laden Sie das Microsoft Defender for Cloud Apps SAML-Zertifikat herunter. Die SAML-URL für einmaliges Anmelden ist eine angepasste URL für Ihre App, wenn sie mit Defender for Cloud Apps App-Steuerung für bedingten Zugriff verwendet wird.

10. Navigieren Sie zum Portal Ihrer App, und konfigurieren Sie Die Einstellungen für einmaliges Anmelden wie folgt:

    1. (Empfohlen) Erstellen Sie eine Sicherung Ihrer aktuellen Einstellungen.
    2. Ersetzen Sie den Wert des Anmelde-URL-Felds des Identitätsanbieters durch die Defender for Cloud Apps SAML-URL für einmaliges Anmelden, die Sie aus dem vorherigen Schritt kopiert haben. Der spezifische Name für dieses Feld kann je nach App abweichen.
    3. Laden Sie das Defender for Cloud Apps SAML-Zertifikat hoch, das Sie im vorherigen Schritt heruntergeladen haben.
    4. Stellen Sie sicher, dass Sie Ihre Änderungen speichern.

11. Wählen Sie im Assistenten Fertig stellen aus, um die Konfiguration abzuschließen.

Nachdem Sie die Einstellungen für einmaliges Anmelden Ihrer App mit den von Defender for Cloud Apps angepassten Werten gespeichert haben, werden alle zugeordneten Anmeldeanforderungen an die App über Defender for Cloud Apps und die App-Steuerung für bedingten Zugriff weitergeleitet.

Hinweis

Das Defender for Cloud Apps SAML-Zertifikat ist 1 Jahr lang gültig. Nach Ablauf des Vorgangs müssen Sie eine neue generieren und hochladen.

Melden Sie sich bei Ihrer App mit einem Benutzer an, der auf die Richtlinie ausgerichtet ist

Nachdem Sie Ihre Zugriffs- oder Sitzungsrichtlinie erstellt haben, melden Sie sich bei jeder App an, die in der Richtlinie konfiguriert ist. Stellen Sie sicher, dass Sie sich zuerst von allen vorhandenen Sitzungen abgemeldet haben und sich mit einem in der Richtlinie konfigurierten Benutzer anmelden.

Defender for Cloud Apps werden Ihre Richtliniendetails für jede neue App, bei der Sie sich anmelden, mit ihren Servern synchronisiert. Dies kann bis zu einer Minute dauern.

Weitere Informationen finden Sie unter:

• Erstellen von Microsoft Defender for Cloud Apps Zugriffsrichtlinien
• Erstellen von Microsoft Defender for Cloud Apps Sitzungsrichtlinien

Überprüfen, ob Apps für die Verwendung von Zugriffs- und Sitzungssteuerungen konfiguriert sind

In diesem Verfahren wird beschrieben, wie Sie überprüfen, ob Ihre Apps für die Verwendung von Zugriffs- und Sitzungssteuerelementen in Defender for Cloud Apps konfiguriert sind, und diese Einstellungen bei Bedarf konfigurieren.

Hinweis

Sie können zwar keine Sitzungssteuerungseinstellungen für eine App entfernen, aber das Verhalten wird erst geändert, wenn Sie eine Sitzungs- oder Zugriffsrichtlinie für die App konfiguriert haben.

1. Wählen Sie Microsoft Defender XDR Einstellungen > Cloud-Apps > Verbundene Apps > Bedingter Zugriff App-Steuerungs-Apps aus.

2. Suchen Sie in der App-Tabelle nach Ihrer App, und überprüfen Sie den Spaltenwert des IDP-Typs . Stellen Sie sicher, dass die Nicht-MS-Authentifizierungs-App und das Sitzungssteuerelement für Ihre App angezeigt werden.

Verwandte Inhalte

• Schützen von Apps mit Microsoft Defender for Cloud Apps App-Steuerung für bedingten Zugriff
• Bereitstellen der App-Steuerung für bedingten Zugriff für benutzerdefinierte Apps mit Nicht-Microsoft-Identitätsanbietern
• Problembehandlung bei Zugriffs- und Sitzungssteuerungen

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.