다음을 통해 공유


조건부 액세스 앱 제어를 위해 비 Microsoft IdP 카탈로그 앱 온보딩

클라우드 앱용 Microsoft Defender 액세스 및 세션 제어는 카탈로그 및 사용자 지정 앱 모두에서 작동합니다. Microsoft Entra ID 앱은 조건부 액세스 앱 제어를 사용하도록 자동으로 온보딩되지만, 비 Microsoft IdP로 작업하는 경우 앱을 수동으로 온보딩해야 합니다.

이 문서에서는 Defender for Cloud Apps 작동하도록 IdP를 구성하는 방법을 설명합니다. IdP를 Defender for Cloud Apps 통합하면 조건부 액세스 앱 제어를 위해 IdP의 모든 카탈로그 앱이 자동으로 온보딩됩니다.

필수 구성 요소

  • 조건부 액세스 앱 제어를 사용하려면 organization 다음 라이선스가 있어야 합니다.

    • IdP(ID 공급자) 솔루션에 필요한 라이선스
    • Microsoft Defender for Cloud Apps
  • Single Sign-On을 사용하여 앱을 구성해야 합니다.

  • 앱은 SAML 2.0 인증 프로토콜로 구성해야 합니다.

이 문서의 절차를 완벽하게 수행하고 테스트하려면 세션 또는 액세스 정책을 구성해야 합니다. 자세한 내용은 다음 항목을 참조하세요.

Defender for Cloud Apps 작동하도록 IdP 구성

이 절차에서는 앱 세션을 다른 IdP 솔루션에서 Defender for Cloud Apps 라우팅하는 방법을 설명합니다.

다음 문서에서는 이 절차의 자세한 예를 제공합니다.

Defender for Cloud Apps 작동하도록 IdP를 구성하려면 다음을 수행합니다.

  1. Microsoft Defender XDR 설정 > Cloud Apps 연결된 앱 >> 조건부 액세스 앱 제어 앱을 선택합니다.

  2. 조건부 액세스 앱 제어 앱 페이지에서 + 추가를 선택합니다.

  3. ID 공급자를 사용하여 SAML 애플리케이션 추가 대화 상자에서 앱 검색 드롭다운을 선택한 다음 배포할 앱을 선택합니다. 앱을 선택한 상태에서 시작 마법사를 선택합니다.

  4. 마법사의 APP INFORMATION 페이지에서 앱에서 메타데이터 파일을 업로드하거나 앱 데이터를 수동으로 입력합니다.

    다음 정보를 제공해야 합니다.

    • 어설션 소비자 서비스 URL입니다. 앱이 IdP에서 SAML 어설션을 수신하는 데 사용하는 URL입니다.
    • 앱이 제공하는 경우 SAML 인증서입니다. 이러한 경우 사용...을 선택합니다. SAML 인증서 옵션을 선택한 다음 인증서 파일을 업로드합니다.

    완료되면 다음 을 선택하여 계속합니다.

  5. 마법사의 ID 공급자 페이지에서 지침에 따라 IdP의 포털에서 새 사용자 지정 앱을 설정합니다.

    참고

    필요한 단계는 IdP에 따라 다를 수 있습니다. 다음과 같은 이유로 설명된 대로 외부 구성을 수행하는 것이 좋습니다.

    • 일부 ID 공급자는 갤러리/카탈로그 앱의 SAML 특성 또는 URL 속성을 변경할 수 없습니다.
    • 사용자 지정 앱을 구성할 때 organization 구성된 기존 동작을 변경하지 않고도 Defender for Cloud Apps 액세스 및 세션 컨트롤을 사용하여 앱을 테스트할 수 있습니다.

    이 절차의 뒷부분에서 사용할 앱의 Single Sign-On 구성 정보를 복사합니다. 완료되면 다음 을 선택하여 계속합니다.

  6. 마법사의 IDENTITY PROVIDER 페이지에서 계속 진행하면서 IdP에서 메타데이터 파일을 업로드하거나 앱 데이터를 수동으로 입력합니다.

    다음 정보를 제공해야 합니다.

    • Single Sign-On 서비스 URL입니다. IdP가 Single Sign-On 요청을 받는 데 사용하는 URL입니다.
    • IDP가 제공하는 경우 SAML 인증서입니다. 이러한 경우 ID 공급자의 SAML 인증서 사용 옵션을 선택한 다음 인증서 파일을 업로드합니다.
  7. 마법사의 IDENTITY PROVIDER 페이지에서 계속 이 절차의 뒷부분에서 사용할 Single Sign-On URL과 모든 특성 및 값을 모두 복사합니다.

    완료되면 다음 을 선택하여 계속합니다.

  8. IdP의 포털로 이동하여 IdP 구성에 복사한 값을 입력합니다. 일반적으로 이러한 설정은 IdP의 사용자 지정 앱 설정 영역에서 찾을 수 있습니다.

    1. 이전 단계에서 복사한 앱의 Single Sign-On URL을 입력합니다. 일부 공급자는 Single Sign-On URL을 회신 URL로 참조할 수 있습니다.

    2. 이전 단계에서 복사한 특성 및 값을 앱의 속성에 추가합니다. 일부 공급자는 이를 사용자 특성 또는 클레임이라고 할 수 있습니다.

      특성이 새 앱의 경우 1024자로 제한되는 경우 먼저 관련 특성 없이 앱을 만들고 나중에 앱을 편집하여 추가합니다.

    3. 이름 식별자가 전자 메일 주소 형식인지 확인합니다.

    4. 완료되면 설정을 저장해야 합니다.

  9. Defender for Cloud Apps 다시 마법사의 APP CHANGES 페이지에서 SAML Single Sign-On URL을 복사하고 Microsoft Defender for Cloud Apps SAML 인증서를 다운로드합니다. SAML Single Sign-On URL은 Defender for Cloud Apps 조건부 액세스 앱 제어와 함께 사용할 때 앱에 대한 사용자 지정된 URL입니다.

  10. 앱의 포털로 이동하여 다음과 같이 Single Sign-On 설정을 구성합니다.

    1. (권장) 현재 설정의 백업을 만듭니다.
    2. ID 공급자 로그인 URL 필드 값을 이전 단계에서 복사한 Defender for Cloud Apps SAML Single Sign-On URL로 바꿉니다. 이 필드의 특정 이름은 앱에 따라 다를 수 있습니다.
    3. 이전 단계에서 다운로드한 Defender for Cloud Apps SAML 인증서를 업로드합니다.
    4. 변경 내용을 저장해야 합니다.
  11. 마법사에서 마침 을 선택하여 구성을 완료합니다.

Defender for Cloud Apps 사용자 지정된 값으로 앱의 Single Sign-On 설정을 저장한 후 앱에 연결된 모든 로그인 요청은 Defender for Cloud Apps 및 조건부 액세스 앱 제어를 통해 라우팅됩니다.

참고

Defender for Cloud Apps SAML 인증서는 1년 동안 유효합니다. 만료된 후에는 새 항목을 생성하고 업로드해야 합니다.

정책 범위가 지정된 사용자를 사용하여 앱에 로그인

액세스 또는 세션 정책을 만든 후 정책에 구성된 각 앱에 로그인합니다. 모든 기존 세션에서 먼저 로그아웃했고 정책에 구성된 사용자로 로그인했는지 확인합니다.

Defender for Cloud Apps 로그인하는 새 앱마다 정책 세부 정보를 해당 서버에 동기화합니다. 최대 1분이 걸릴 수 있습니다.

자세한 내용은 다음 항목을 참조하세요.

앱이 액세스 및 세션 컨트롤을 사용하도록 구성되어 있는지 확인합니다.

이 절차에서는 앱이 Defender for Cloud Apps 액세스 및 세션 컨트롤을 사용하도록 구성되어 있는지 확인하고 필요한 경우 해당 설정을 구성하는 방법을 설명합니다.

참고

앱에 대한 세션 제어 설정을 제거할 수는 없지만 앱에 대해 세션 또는 액세스 정책이 구성될 때까지 동작이 변경되지 않습니다.

  1. Microsoft Defender XDR 설정 > Cloud Apps 연결된 앱 >> 조건부 액세스 앱 제어 앱을 선택합니다.

  2. 앱 테이블에서 앱을 검색하고 IDP 형식 열 값을 검사. 비 MS 인증 앱세션 제어가 앱에 대해 표시되는지 확인합니다.

문제가 발생하면 도움을 드리겠습니다. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.