Freigeben über


Tutorial: Integration von Citrix ADC in das Single Sign-On von Microsoft Entra (headerbasierte Authentifizierung)

In diesem Tutorial erfahren Sie, wie Sie Citrix ADC in Microsoft Entra ID integrieren. Die Integration von Citrix ADC in Microsoft Entra ID ermöglicht Folgendes:

  • Sie können in Microsoft Entra ID steuern, wer Zugriff auf Citrix ADC hat.
  • Sie können es Ihren Benutzer*innen ermöglichen, sich mit ihren Microsoft Entra-Konten automatisch bei Citrix ADC anzumelden.
  • Sie können Ihre Konten an einem zentralen Ort verwalten.

Voraussetzungen

Für die ersten Schritte benötigen Sie Folgendes:

  • Ein Microsoft Entra-Abonnement. Falls Sie kein Abonnement haben, können Sie ein kostenloses Azure-Konto verwenden.
  • Ein Citrix ADC-Abonnement, für das Single Sign-On (SSO) aktiviert ist.

Beschreibung des Szenarios

In diesem Tutorial konfigurieren und testen Sie das Single Sign-On von Microsoft Entra in einer Testumgebung. Das Tutorial umfasst folgende Szenarien:

Um Citrix ADC in Azure AD integrieren zu können, müssen Sie zunächst Citrix ADC aus dem Katalog zu Ihrer Liste der verwalteten SaaS-Apps hinzufügen:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.

  3. Geben Sie im Abschnitt Aus Katalog hinzufügen im Suchfeld den Suchbegriff Citrix ADC ein.

  4. Wählen Sie in den Ergebnissen den Eintrag Citrix ADC aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. Mit diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer/Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen des Single Sign-On (SSO) von Microsoft Entra für Citrix ADC

Konfigurieren und testen Sie das Single Sign-On (SSO) von Microsoft Entra mit Citrix ADC mithilfe einer Testbenutzerin mit dem Namen B. Simon. Damit SSO funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in Citrix ADC eingerichtet werden.

Führen Sie zum Konfigurieren und Testen des Single Sign-On (SSO) von Microsoft Entra mit Citrix ADC die folgenden Schritte aus:

  1. Konfigurieren des Single Sign-On (SSO) von Microsoft Entra, um Ihren Benutzer*innen die Verwendung dieses Features zu ermöglichen.

    1. Erstellen einer Microsoft Entra-Testbenutzer*in, um das Single Sign-On von Microsoft Entra mit der Testbenutzerin Britta Simon zu testen.

    2. Zuweisen der Microsoft Entra-Testbenutzerin, um B. Simon die Verwendung des Single Sign-On von Microsoft Entra zu ermöglichen.

  2. Konfigurieren des Single Sign-On für Citrix ADC, um die Einstellungen für Single Sign-On auf der Anwendungsseite zu konfigurieren.

  3. Testen des Single Sign-On, um zu überprüfen, ob die Konfiguration funktioniert

Konfigurieren des Single Sign-On (SSO) von Microsoft Entra

Führen Sie die folgenden Schritte aus, um Single Sign-On von Microsoft Entra über das Azure-Portal zu aktivieren:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie über Identität>Anwendungen>Unternehmensanwendungen>Citrix ADC zum Anwendungsintegrationsbereich, und wählen Sie unter Verwalten die Option Single Sign-On aus.

  3. Wählen Sie im Bereich SSO-Methode auswählen die Methode SAML aus.

  4. Wählen Sie im Bereich Single Sign-On (SSO) mit SAML einrichten für Grundlegende SAML-Konfiguration die Option Bearbeiten (Stiftsymbol) aus, um die Einstellungen zu bearbeiten.

    Bearbeiten der SAML-Basiskonfiguration

  5. Gehen Sie im Abschnitt Grundlegende SAML-Konfiguration wie folgt vor, um die Anwendung im IDP-initiierten Modus zu konfigurieren:

    1. Geben Sie im Textfeld Bezeichner eine URL im folgenden Format ein: https://<Your FQDN>

    2. Geben Sie im Textfeld Antwort-URL eine URL im folgenden Format ein: https://<Your FQDN>/CitrixAuthService/AuthService.asmx

  6. Wenn Sie die Anwendung im SP-initiierten Modus konfigurieren möchten, wählen Sie Zusätzliche URLs festlegen aus, und führen Sie den folgenden Schritt aus:

    • Geben Sie im Textfeld Anmelde-URL eine URL im folgenden Format ein: https://<Your FQDN>/CitrixAuthService/AuthService.asmx

    Hinweis

    • Die in diesem Abschnitt angegebenen URLs sind lediglich Beispielwerte. Ersetzen Sie diese Werte durch die tatsächlichen Werte für Bezeichner, Antwort-URL und Anmelde-URL. Wenden Sie sich an das Supportteam für den Citrix ADC-Client, um diese Werte zu erhalten. Sie können sich auch die Muster im Abschnitt Grundlegende SAML-Konfiguration ansehen.
    • Für die SSO-Einrichtung müssen die URLs über öffentliche Websites zugänglich sein. Sie müssen die Firewall- oder andere Sicherheitseinstellungen aufseiten von Citrix ADC aktivieren, um Azure AD die Veröffentlichung des Tokens unter der konfigurierten URL zu ermöglichen.
  7. Kopieren Sie im Bereich Single Sign-On (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat die URL unter App-Verbundmetadaten-URL, und speichern Sie sie in Editor.

    Downloadlink für das Zertifikat

  8. Die Citrix ADC-Anwendung erwartet, dass die SAML-Assertionen in einem bestimmten Format vorliegen. Daher müssen Sie Ihrer Konfiguration der SAML-Tokenattribute benutzerdefinierte Attributzuordnungen hinzufügen. Der folgende Screenshot zeigt die Liste der Standardattribute. Wählen Sie das Symbol Bearbeiten aus, und ändern Sie die Attributzuordnungen.

    Bearbeiten der SAML-Attributzuordnung

  9. Von der Citrix ADC-Anwendung wird außerdem die Rückgabe einiger weiterer Attribute in der SAML-Antwort erwartet. Führen Sie im Dialogfeld Benutzerattribute unter Benutzeransprüche die folgenden Schritte aus, um die SAML-Tokenattribute gemäß der Tabelle hinzuzufügen:

    Name Quellattribut
    mySecretID user.userprincipalname
    1. Wählen Sie Neuen Anspruch hinzufügen aus, um das Dialogfeld Benutzeransprüche verwalten zu öffnen.

    2. Geben Sie im Textfeld Name den für die Zeile angezeigten Attributnamen ein.

    3. Lassen Sie den Namespace leer.

    4. Wählen unter Attribut die Option Quelle aus.

    5. Geben Sie in der Liste Quellattribut den für diese Zeile angezeigten Attributwert ein.

    6. Wählen Sie OK aus.

    7. Wählen Sie Speichern aus.

  10. Kopieren Sie im Abschnitt Citrix ADC einrichten die relevanten URLs gemäß Ihren Anforderungen.

    Kopieren der Konfiguration-URLs

Erstellen einer Microsoft Entra-Testbenutzerin

In diesem Abschnitt erstellen Sie einen Testbenutzer mit dem Namen B. Simon.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
  3. Wählen Sie oben auf dem Bildschirm Neuer Benutzer>Neuen Benutzer erstellen aus.
  4. Führen Sie unter den Eigenschaften für Benutzer die folgenden Schritte aus:
    1. Geben Sie im Feld Anzeigename den Namen B.Simon ein.
    2. Geben Sie im Feld Benutzerprinzipalname ein username@companydomain.extension. Beispiel: B.Simon@contoso.com.
    3. Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie sich den Wert aus dem Feld Kennwort.
    4. Klicken Sie auf Überprüfen + erstellen.
  5. Klicken Sie auf Erstellen.

Zuweisen der Microsoft Entra-Testbenutzerin

In diesem Abschnitt ermöglichen Sie B. Simon die Verwendung des Single Sign-On von Azure, indem Sie ihr Zugriff auf Citrix ADC gewähren.

  1. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.

  2. Wählen Sie in der Anwendungsliste die Anwendung Citrix ADC aus.

  3. Wählen Sie in der App-Übersicht unter Verwalten die Option Benutzer und Gruppen aus.

  4. Wählen Sie Benutzer hinzufügen. Wählen Sie dann im Dialogfeld Zuweisung hinzufügen die Option Benutzer und Gruppen aus.

  5. Wählen Sie im Dialogfeld Benutzer und Gruppen in der Liste Benutzer die Option B.Simon aus. Klicken Sie auf Auswählen.

  6. Wenn den Benutzern eine Rolle zugewiesen werden soll, können Sie sie im Dropdownmenü Rolle auswählen auswählen. Wurde für diese App keine Rolle eingerichtet, ist die Rolle „Standardzugriff“ ausgewählt.

  7. Wählen Sie im Dialogfeld Zuweisung hinzufügen die Option Zuweisen aus.

Konfigurieren des Single Sign-On für Citrix ADC

Wählen Sie einen der Links aus, um die Schritte für die Art der Authentifizierung anzuzeigen, die Sie konfigurieren möchten:

Veröffentlichen des Webservers

So erstellen Sie einen virtuellen Server:

  1. Wählen Sie Traffic Management>Load Balancing>Services (Datenverkehrsverwaltung > Lastenausgleich > Dienste) aus.

  2. Wählen Sie Hinzufügen aus.

    Citrix ADC-Konfiguration: Bereich „Dienste“

  3. Legen Sie die folgenden Werte für den Webserver fest, auf dem die Anwendungen ausgeführt werden:

    • Dienstname

    • IP-Adresse des Servers/vorhandener Server

    • Protokoll

    • Port

      Citrix ADC-Konfigurationsbereich

Konfigurieren des Lastenausgleichs

So konfigurieren Sie den Lastenausgleich:

  1. Navigieren Sie zu Traffic Management>Load Balancing>Virtual Servers (Datenverkehrsverwaltung > Lastenausgleich > Virtuelle Server).

  2. Wählen Sie Hinzufügen aus.

  3. Legen Sie die folgenden Werte wie im bereitgestellten Screenshot fest:

    • Name
    • Protokoll
    • IP-Adresse
    • Port
  4. Wählen Sie OK aus.

    Citrix ADC-Konfiguration: Bereich „Grundeinstellungen“

Binden des virtuellen Servers

So binden Sie den Lastenausgleich mit dem virtuellen Server:

  1. Wählen Sie im Bereich Services and Service Groups (Dienste und Dienstgruppen) die Option No Load Balancing Virtual Server Service Binding (Keine Dienstbindung für virtuellen Lastenausgleichsserver) aus.

    Citrix ADC-Konfiguration: Bereich für die Dienstbindung für den virtuellen Lastenausgleichsserver

  2. Vergewissern Sie sich, dass die Einstellungen wie im folgenden Screenshot festgelegt sind, und wählen Sie anschließend Close (Schließen) aus.

    Citrix ADC-Konfiguration: Überprüfen der Dienstbindung für den virtuellen Server

Binden des Zertifikats

Wenn Sie diesen Dienst als TLS veröffentlichen möchten, muss das Serverzertifikat gebunden und die Anwendung anschließend getestet werden:

  1. Wählen Sie unter Certificate (Zertifikat) die Option No Server Certificate (Kein Serverzertifikat) aus.

    Citrix ADC-Konfiguration: Bereich „Serverzertifikat“

  2. Vergewissern Sie sich, dass die Einstellungen wie im folgenden Screenshot festgelegt sind, und wählen Sie anschließend Close (Schließen) aus.

    Citrix ADC-Konfiguration: Überprüfen des Zertifikats

Citrix ADC-SAML-Profil

Durchlaufen Sie zum Konfigurieren des Citrix ADC-SAML-Profils die folgenden Abschnitte:

Erstellen einer Authentifizierungsrichtlinie

So erstellen Sie eine Authentifizierungsrichtlinie:

  1. Navigieren Sie zu Security>AAA – Application Traffic>Policies>Authentication>Authentication Policies (Sicherheit > AAA – Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Authentifizierungsrichtlinien).

  2. Wählen Sie Hinzufügen aus.

  3. Geben Sie im Bereich Create Authentication Policy (Authentifizierungsrichtlinie erstellen) die folgenden Werte ein, oder wählen Sie sie aus:

    • Name: Geben Sie einen Namen für Ihre Authentifizierungsrichtlinie ein.
    • Aktion: Geben Sie SAML ein, und wählen Sie Add (Hinzufügen) aus.
    • Expression (Ausdruck): Geben Sie true ein.

    Citrix ADC-Konfiguration: Bereich „Authentifizierungsrichtlinie erstellen“

  4. Klicken Sie auf Erstellen.

Erstellen eines SAML-Authentifizierungsservers

Navigieren Sie zum Erstellen eines SAML-Authentifizierungsservers zum Bereich Create Authentication SAML Server (SAML-Authentifizierungsserver erstellen), und führen Sie die folgenden Schritte aus:

  1. Geben Sie unter Name einen Namen für den SAML-Authentifizierungsserver ein.

  2. Gehen Sie unter Export SAML Metadata (SAML-Metadaten exportieren) wie folgt vor:

    1. Aktivieren Sie das Kontrollkästchen Import Metadata (Metadaten importieren).

    2. Geben Sie die Verbundmetadaten-URL ein, die Sie zuvor auf der Azure-SAML-Benutzeroberfläche kopiert haben.

  3. Geben Sie unter Issuer Name (Ausstellername) die relevante URL ein.

  4. Klicken Sie auf Erstellen.

Citrix ADC-Konfiguration: Bereich „SAML-Authentifizierungsserver erstellen“

Erstellen eines virtuellen Authentifizierungsservers

So erstellen Sie einen virtuellen Authentifizierungsserver:

  1. Navigieren Sie zu Security>AAA - Application Traffic>Policies>Authentication>Authentication Virtual Servers (Sicherheit > AAA – Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Virtuelle Authentifizierungsserver).

  2. Wählen Sie Add (Hinzufügen) aus, und gehen Sie anschließend wie folgt vor:

    1. Geben Sie unter Name einen Namen für den virtuellen Authentifizierungsserver ein.

    2. Aktivieren Sie das Kontrollkästchen Non-Addressable (Nicht adressierbar).

    3. Wählen Sie unter Protocol (Protokoll) die Option SSL aus.

    4. Wählen Sie OK aus.

    Citrix ADC-Konfiguration: Bereich „Virtueller Authentifizierungsserver“

Konfigurieren des virtuellen Authentifizierungsservers für die Verwendung von Microsoft Entra ID

Ändern Sie zwei Abschnitte für den virtuellen Authentifizierungsserver:

  1. Wählen Sie im Bereich Advanced Authentication Policies (Erweiterte Authentifizierungsrichtlinien) die Option No Authentication Policy (Keine Authentifizierungsrichtlinie) aus.

    Citrix ADC-Konfiguration: Bereich „Erweiterte Authentifizierungsrichtlinien“

  2. Wählen Sie im Bereich Policy Binding (Richtlinienbindung) die Authentifizierungsrichtlinie und anschließend Bind (Binden) aus.

    Citrix ADC-Konfiguration: Bereich „Richtlinienbindung“

  3. Wählen Sie im Bereich Form Based Virtual Servers (Formularbasierte virtuelle Server) die Option No Load Balancing Virtual Server (Kein virtueller Lastenausgleichsserver) aus.

    Citrix ADC-Konfiguration: Bereich „Formularbasierte virtuelle Server“

  4. Geben Sie unter Authentication FQDN (FQDN für die Authentifizierung) einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) ein. (Diese Angabe ist erforderlich.)

  5. Wählen Sie den virtuellen Lastenausgleichsserver aus, den Sie mittels Azure AD-Authentifizierung schützen möchten.

  6. Wählen Sie Bind (Binden) aus.

    Citrix ADC-Konfiguration: Bereich zum Binden des virtuellen Lastenausgleichsservers

    Hinweis

    Wählen Sie im Bereich Authentication Virtual Server Configuration (Konfiguration des virtuellen Authentifizierungsservers) die Option Done (Fertig) aus.

  7. Navigieren Sie zum Überprüfen Ihrer Änderungen in einem Browser zur Anwendungs-URL. Daraufhin sollte anstelle des vorherigen nicht authentifizierten Zugriffs Ihre Mandantenanmeldeseite angezeigt werden.

    Citrix ADC-Konfiguration: Anmeldeseite in einem Webbrowser

Konfigurieren des Single Sign-On für Citrix ADC (headerbasierte Authentifizierung)

Konfigurieren von Citrix ADC

Durchlaufen Sie die folgenden Abschnitte, wenn Sie Citrix ADC für die headerbasierte Authentifizierung konfigurieren möchten:

Erstellen einer Aktion zum erneuten Generieren

  1. Navigieren Sie zu AppExpert>Rewrite>Rewrite Actions (AppExpert > Erneut generieren > Aktionen zum erneuten Generieren).

    Citrix ADC-Konfiguration: Bereich mit Aktionen zum erneuten Generieren

  2. Wählen Sie Add (Hinzufügen) aus, und gehen Sie anschließend wie folgt vor:

    1. Geben Sie unter Name einen Namen für die Aktion zum erneuten Generieren ein.

    2. Geben Sie unter Type (Typ) die Zeichenfolge INSERT_HTTP_HEADER ein.

    3. Geben Sie unter Header Name (Headername) einen Headernamen ein (in diesem Beispiel: SecretID).

    4. Geben Sie unter Expression (Ausdruck) den Ausdruck aaa.USER.ATTRIBUTE("mySecretID") ein. mySecretID ist hierbei der an Citrix ADC gesendete Azure AD-SAML-Anspruch.

    5. Klicken Sie auf Erstellen.

    Citrix ADC-Konfiguration: Bereich zum Erstellen von Aktionen zum erneuten Generieren

Erstellen einer Richtlinie zum erneuten Generieren

  1. Navigieren Sie zu AppExpert>Rewrite>Rewrite Policies (AppExpert > Erneut generieren > Richtlinien zum erneuten Generieren).

    Citrix ADC-Konfiguration: Bereich „Richtlinien zum erneuten Generieren“

  2. Wählen Sie Add (Hinzufügen) aus, und gehen Sie anschließend wie folgt vor:

    1. Geben Sie unter Name einen Namen für die Richtlinie zum erneuten Generieren ein.

    2. Wählen Sie unter Action (Aktion) die Aktion zum erneuten Generieren aus, die Sie im vorherigen Abschnitt erstellt haben.

    3. Geben Sie unter Expression (Ausdruck) true ein.

    4. Klicken Sie auf Erstellen.

    Citrix ADC-Konfiguration: Bereich „Richtlinien zum erneuten Generieren erstellen“

Binden einer Richtlinie zum erneuten Generieren an einen virtuellen Server

So binden Sie eine Richtlinie zum erneuten Generieren unter Verwendung der grafischen Benutzeroberfläche an einen virtuellen Server:

  1. Navigieren Sie zu Traffic Management>Load Balancing>Virtual Servers (Datenverkehrsverwaltung > Lastenausgleich > Virtuelle Server).

  2. Wählen Sie in der Liste mit den virtuellen Servern den virtuellen Server aus, an den Sie die Richtlinie zum erneuten Generieren binden möchten, und wählen Sie anschließend Open (Öffnen) aus.

  3. Wählen Sie im Bereich Load Balancing Virtual Server (Virtueller Lastenausgleichsserver) unter Advanced Settings (Erweiterte Einstellungen) die Option Policies (Richtlinien) aus. Die Liste enthält alle für Ihre NetScaler-Instanz konfigurierten Richtlinien. Citrix ADC-Konfiguration: Bereich „Virtueller Lastenausgleichsserver“

  4. Aktivieren Sie das Kontrollkästchen neben dem Namen der Richtlinie, die Sie an diesen virtuellen Server binden möchten.

    Citrix ADC-Konfiguration: Bereich zum Binden der Datenverkehrsrichtlinie für den virtuellen Lastenausgleichsserver

  5. Gehen Sie im Dialogfeld Choose Type (Typ auswählen) wie folgt vor:

    1. Wählen Sie unter Choose Policy (Richtlinie auswählen) die Option Traffic (Datenverkehr) aus.

    2. Wählen Sie unter Choose Type (Typ auswählen) die Option Request (Anforderung) aus.

    Citrix ADC-Konfiguration: Dialogfeld „Richtlinien“

  6. Wählen Sie OK aus. Auf der Statusleiste wird eine Meldung mit dem Hinweis angezeigt, dass die Richtlinie erfolgreich konfiguriert wurde.

Ändern des SAML-Servers, um Attribute aus einem Anspruch zu extrahieren

  1. Navigieren Sie zu Security>AAA - Application Traffic>Policies>Authentication>Advanced Policies>Actions>Servers (Sicherheit > AAA – Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Aktionen > Server).

  2. Wählen Sie den entsprechenden SAML-Authentifizierungsserver für die Anwendung aus.

    Citrix ADC-Konfiguration: Bereich „SAML-Authentifizierungsserver konfigurieren“

  3. Geben Sie im BereichAttributes (Attribute) die zu extrahierenden SAML-Attribute als kommagetrennte Liste ein. In unserem Beispiel verwenden wir das Attribut mySecretID.

    Citrix ADC-Konfiguration: Bereich „Attribute“

  4. Suchen Sie in einem Browser unter der URL nach dem SAML-Attribut (unter Headers Collection (Headerauflistung)), um den Zugriff zu überprüfen.

    Citrix ADC-Konfiguration: Headerauflistung unter der URL

Erstellen eines Citrix ADC-Testbenutzers

In diesem Abschnitt wird in Citrix ADC ein Benutzer mit dem Namen B. Simon erstellt. Citrix ADC unterstützt die Just-in-Time-Benutzerbereitstellung, die standardmäßig aktiviert ist. In diesem Abschnitt ist keine Aktion erforderlich. Wenn ein Benutzer in Citrix ADC noch nicht vorhanden ist, wird nach der Authentifizierung ein neuer Benutzer erstellt.

Hinweis

Wenn Sie einen Benutzer manuell erstellen müssen, wenden Sie sich an das Supportteam für den Citrix ADC-Client.

Testen des Single Sign-On

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für Single Sign-On mit den folgenden Optionen.

  • Klicken Sie auf Diese Anwendung testen. Dadurch werden Sie zur Anmelde-URL von Citrix ADC weitergeleitet, wo Sie den Anmeldeflow initiieren können.

  • Navigieren Sie direkt zur Anmelde-URL für Citrix ADC, und initiieren Sie dort den Anmeldeflow.

  • Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie in „Meine Apps“auf die Kachel „Citrix ADC“ klicken, werden Sie zur Anmelde-URL für Citrix ADC weitergeleitet. Weitere Informationen zu „Meine Apps“ finden Sie in der Einführung in „Meine Apps“.

Nächste Schritte

Nach dem Konfigurieren von Citrix ADC können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.