Incorporación de aplicaciones personalizadas que no son de Microsoft IdP para el control de aplicaciones de acceso condicional

Los controles de acceso y sesión de Microsoft Defender para aplicaciones en la nube funcionan con aplicaciones personalizadas y de catálogo. Aunque Microsoft Entra ID aplicaciones se incorporan automáticamente para usar el control de aplicaciones de acceso condicional, si trabaja con un IdP que no es de Microsoft, deberá incorporar la aplicación manualmente.

En este artículo se describe cómo configurar el IdP para que funcione con Defender for Cloud Apps y, a continuación, incorporar manualmente cada aplicación personalizada. Por el contrario, las aplicaciones de catálogo de un IdP que no es de Microsoft se incorporan automáticamente al configurar la integración entre el IdP y Defender for Cloud Apps.

Requisitos previos

• Su organización debe tener las siguientes licencias para usar el control de aplicaciones de acceso condicional:

  • La licencia requerida por la solución del proveedor de identidades (IdP)
  • Microsoft Defender for Cloud Apps

• Las aplicaciones deben configurarse con el inicio de sesión único

• Las aplicaciones deben configurarse con el protocolo de autenticación SAML 2.0.

Agregar administradores a la lista de incorporación o mantenimiento de aplicaciones

1. En Microsoft Defender XDR, seleccione Configuración Aplicaciones > en la nube > Acceso condicional Control > de aplicaciones Incorporación o mantenimiento de aplicaciones.

2. Escriba los nombres de usuario o correos electrónicos de los usuarios que van a incorporar la aplicación y, a continuación, seleccione Guardar.

Para obtener más información, vea Diagnóstico y solución de problemas con la barra de herramientas ver Administración.

Configurar el IdP para que funcione con Defender for Cloud Apps

En este procedimiento se describe cómo enrutar las sesiones de aplicación de otras soluciones de IdP a Defender for Cloud Apps.

Sugerencia

En los artículos siguientes se proporcionan ejemplos detallados de este procedimiento:

• Configuración del IdP de PingOne
• Configuración del idP de AD FS
• Configuración del IdP de Okta

Para configurar el IdP para que funcione con Defender for Cloud Apps:

1. En Microsoft Defender XDR, seleccione Configuración Aplicaciones > en la nube > Aplicaciones > conectadas Aplicaciones de acceso condicional Aplicaciones de control de aplicaciones de acceso condicional.

2. En la página Aplicaciones de control de aplicaciones de acceso condicional , seleccione + Agregar.

3. En el cuadro de diálogo Agregar una aplicación SAML con el proveedor de identidades , seleccione la lista desplegable Buscar una aplicación y, a continuación, seleccione la aplicación que desea implementar. Con la aplicación seleccionada, seleccione Asistente para inicio.

4. En la página APP INFORMATION del asistente, cargue un archivo de metadatos desde la aplicación o escriba los datos de la aplicación manualmente.

   Asegúrese de proporcionar la siguiente información:

   • Dirección URL del servicio de consumidor de aserción. Esta es la dirección URL que usa la aplicación para recibir aserciones de SAML del IdP.
   • Un certificado SAML, si la aplicación proporciona uno. En tales casos, seleccione usar ... Opción de certificado SAML y, a continuación, cargue el archivo de certificado.

   Cuando haya terminado, seleccione Siguiente para continuar.

5. En la página PROVEEDOR DE IDENTIDADes del asistente, siga las instrucciones para configurar una nueva aplicación personalizada en el portal del IdP.

   Nota:

   Los pasos necesarios pueden diferir, en función del IdP. Se recomienda realizar la configuración externa como se describe por los siguientes motivos:

   • Algunos proveedores de identidades no permiten cambiar los atributos de SAML ni las propiedades de dirección URL de una aplicación de galería o catálogo.
   • Al configurar una aplicación personalizada, puede probar la aplicación con Defender for Cloud Apps controles de acceso y sesión, sin cambiar el comportamiento configurado existente de la organización.

   Copie la información de configuración de inicio de sesión único de la aplicación para usarla más adelante en este procedimiento. Cuando haya terminado, seleccione Siguiente para continuar.

6. Continuando en la página PROVEEDOR DE IDENTIDADes del asistente, cargue un archivo de metadatos desde el IdP o escriba manualmente los datos de la aplicación.

   Asegúrese de proporcionar la siguiente información:

   • Dirección URL del servicio de inicio de sesión único. Esta es la dirección URL que usa el IdP para recibir solicitudes de inicio de sesión único.
   • Un certificado SAML, si el IdP proporciona uno. En tales casos, seleccione la opción Usar certificado SAML del proveedor de identidades y, a continuación, cargue el archivo de certificado.

7. Continuando en la página PROVEEDOR DE IDENTIDADes del asistente, copie la dirección URL de inicio de sesión único y todos los atributos y valores para usarlos más adelante en este procedimiento.

   Cuando haya terminado, seleccione Siguiente para continuar.

8. Vaya al portal del IdP y escriba los valores que copió en la configuración de IdP. Normalmente, esta configuración se encuentra en el área de configuración de la aplicación personalizada del IdP.

   1. Escriba la dirección URL de inicio de sesión único de la aplicación que copió del paso anterior. Algunos proveedores pueden hacer referencia a la dirección URL de inicio de sesión único como dirección URL de respuesta.

   2. Agregue los atributos y valores que copió del paso anterior a las propiedades de la aplicación. Algunos proveedores pueden hacer referencia a ellos como atributos de usuario o notificaciones.

      Si los atributos están limitados a 1024 caracteres para las nuevas aplicaciones, primero cree la aplicación sin los atributos pertinentes y agréguelos después editando la aplicación.

   3. Compruebe que el identificador de nombre tiene el formato de una dirección de correo electrónico.

   4. Asegúrese de guardar la configuración cuando haya terminado.

9. De nuevo en Defender for Cloud Apps, en la página APP CHANGES del asistente, copie la dirección URL de inicio de sesión único de SAML y descargue el certificado MICROSOFT DEFENDER FOR CLOUD APPS SAML. La dirección URL de inicio de sesión único de SAML es una dirección URL personalizada para la aplicación cuando se usa con Defender for Cloud Apps control de aplicación de acceso condicional.

10. Vaya al portal de la aplicación y configure los valores de inicio de sesión único de la siguiente manera:

    1. (Recomendado) Cree una copia de seguridad de la configuración actual.
    2. Reemplace el valor del campo url de inicio de sesión del proveedor de identidades por la dirección URL de inicio de sesión único de SAML Defender for Cloud Apps que copió del paso anterior. El nombre específico de este campo puede diferir, dependiendo de la aplicación.
    3. Cargue el Defender for Cloud Apps certificado SAML que descargó en el paso anterior.
    4. Asegúrese de guardar los cambios.

11. En el asistente, seleccione Finalizar para completar la configuración.

Después de guardar la configuración de inicio de sesión único de la aplicación con los valores personalizados por Defender for Cloud Apps, todas las solicitudes de inicio de sesión asociadas a la aplicación se enrutan a través de Defender for Cloud Apps y control de aplicación de acceso condicional.

Nota:

El certificado Defender for Cloud Apps SAML es válido durante 1 año. Una vez que expire, tendrá que generar uno nuevo.

Incorporación de la aplicación para el control de aplicaciones de acceso condicional

Si trabaja con una aplicación personalizada que no se rellena automáticamente en el catálogo de aplicaciones, deberá agregarla manualmente.

Para comprobar si la aplicación ya está agregada:

1. En Microsoft Defender XDR, seleccione Configuración Aplicaciones > en la nube > Aplicaciones conectadas Aplicaciones > de acceso condicional Aplicaciones de control de aplicaciones de acceso condicional.

2. Seleccione el menú desplegable Aplicación: Seleccionar aplicaciones... para buscar la aplicación.

Si la aplicación ya aparece en la lista, continúe con el procedimiento para las aplicaciones de catálogo en su lugar.

Para agregar la aplicación manualmente:

1. Si tiene nuevas aplicaciones, verá un banner en la parte superior de la página que le notifica que tiene nuevas aplicaciones que incorporar. Seleccione el vínculo Ver nuevas aplicaciones para verlas.

2. En el cuadro de diálogo Aplicaciones de Azure AD detectadas , busque la aplicación, como por el valor de dirección URL de inicio de sesión . Seleccione el + botón y agregue para incorporarlo como una aplicación personalizada.

Instalación de certificados raíz

Asegúrese de que usa la entidad de certificación actual o los certificados de entidad de certificación siguiente correctos para cada una de las aplicaciones.

Para instalar los certificados, repita el paso siguiente para cada certificado:

1. Abra e instale el certificado, seleccionando Usuario actual o Máquina local.

2. Cuando se le pida dónde desea colocar los certificados, vaya a Entidades de certificación raíz de confianza.

3. Seleccione Aceptar y Finalizar según sea necesario para completar el procedimiento.

4. Reinicie el explorador, vuelva a abrir la aplicación y seleccione Continuar cuando se le solicite.

5. En Microsoft Defender XDR, seleccione Configuración Aplicaciones > en la nube > Aplicaciones > conectadas Aplicaciones de acceso condicional Aplicaciones de control de aplicaciones y asegúrese de que la aplicación sigue aparecen en la tabla.

Para obtener más información, consulte Aplicación no aparece en la página aplicaciones de control de aplicaciones de acceso condicional.

Contenido relacionado

• Protección de aplicaciones con Microsoft Defender for Cloud Apps control de aplicaciones de acceso condicional
• Implementación del control de aplicaciones de acceso condicional para aplicaciones de catálogo con proveedores de identidades que no son de Microsoft
• Solución de problemas de acceso y controles de sesión

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.