Innebygde ikke-Microsoft IdP-egendefinerte apper for appkontroll for betinget tilgang

Tilgangs- og øktkontroller i Microsoft Defender for skyapper fungerer både med katalog- og egendefinerte apper. Selv om Microsoft Entra ID apper automatisk blir registrert for å bruke appkontroll for betinget tilgang, må du gå inn i appen manuelt hvis du arbeider med en ikke-Microsoft-IdP.

Denne artikkelen beskriver hvordan du både konfigurerer IdP-en til å fungere med Defender for Cloud Apps, og deretter også manuelt om bord i hver egendefinert app. Katalogapper fra en ikke-Microsoft IdP blir derimot automatisk pålastet når du konfigurerer integreringen mellom IdP og Defender for Cloud Apps.

Forutsetninger

• Organisasjonen må ha følgende lisenser for å bruke appkontroll for betinget tilgang:

  • Lisensen som kreves av identitetsleverandørens (IdP)-løsning
  • Microsoft Defender for skyapper

• Apper må konfigureres med enkel pålogging

• Apper må konfigureres med SAML 2.0-godkjenningsprotokollen.

Legge til administratorer i appens pålastings-/vedlikeholdsliste

1. I Microsoft Defender XDR velger du Innstillinger > for appkontrollapp > for betinget tilgang for skyapper > for pålasting/vedlikehold.

2. Skriv inn brukernavnene eller e-postmeldingene til alle brukere som skal pålaste appen, og velg deretter Lagre.

Hvis du vil ha mer informasjon, kan du se Diagnostisere og feilsøke med verktøylinjen for Admin visning.

Konfigurer IdP-en til å fungere med Defender for Cloud Apps

Denne fremgangsmåten beskriver hvordan du ruter appøkter fra andre IdP-løsninger til Defender for Cloud Apps.

Tips

Følgende artikler inneholder detaljerte eksempler på denne prosedyren:

• Konfigurer PingOne-IdP-en
• Konfigurer AD FS-IdP-en
• Konfigurer Okta IdP

Slik konfigurerer du IdP-en til å fungere med Defender for Cloud Apps:

1. I Microsoft Defender XDR velger du Innstillinger >> for appkontrollapper for tilkoblede > apper for skyapper for betinget tilgang.

2. Velg + Legg tilpå appkontrollsiden for betinget tilgang.

3. Velg rullegardinlisten Søk etter en app i dialogboksen Legg til et SAML-program med identitetsleverandøren, og velg deretter appen du vil distribuere. Velg Startveiviser mens appen er valgt.

4. Last opp en metadatafil fra appen på siden appinformasjon for veiviseren, eller angi appdata manuelt.

   Pass på å oppgi følgende informasjon:

   • Url-adressen for deklarasjonsforbrukertjenesten. Dette er nettadressen som appen bruker til å motta SAML-deklarasjoner fra IdP-en.
   • Et SAML-sertifikat hvis appen inneholder et. I slike tilfeller velger du Bruk ... Alternativet SAML-sertifikat , og last deretter opp sertifikatfilen.

   Når du er ferdig, velger du Neste for å fortsette.

5. På siden identitetsleverandør for veiviseren følger du instruksjonene for å konfigurere en ny egendefinert app i IdP-portalen.

   Obs!

   Trinnene som kreves, kan variere avhengig av IdP-en. Vi anbefaler at du utfører den eksterne konfigurasjonen som beskrevet av følgende årsaker:

   • Noen identitetsleverandører tillater ikke at du endrer SAML-attributtene eller URL-adresseegenskapene for et galleri/ en katalogapp.
   • Når du konfigurerer en egendefinert app, kan du teste appen med Defender for Cloud Apps tilgangs- og øktkontroller, uten å endre organisasjonens eksisterende konfigurerte virkemåte.

   Kopier appens konfigurasjonsinformasjon for enkel pålogging for bruk senere i denne prosedyren. Når du er ferdig, velger du Neste for å fortsette.

6. Hvis du fortsetter på SIDEN IDENTITETSLEVERANDØR i veiviseren, laster du opp en metadatafil fra IdP-en eller skriver inn appdata manuelt.

   Pass på å oppgi følgende informasjon:

   • Url-adressen for enkel påloggingstjeneste. Dette er nettadressen som IdP-en bruker til å motta forespørsler om enkel pålogging.
   • Et SAML-sertifikat hvis IdP-en inneholder et. I slike tilfeller velger du alternativet Bruk SAML-sertifikatet til identitetsleverandøren , og deretter laster du opp sertifikatfilen.

7. Hvis du fortsetter på SIDEN IDENTITETSLEVERANDØR i veiviseren, kopierer du både url-adressen for enkel pålogging og alle attributter og verdier for bruk senere i denne prosedyren.

   Når du er ferdig, velger du Neste for å fortsette.

8. Bla til IdP-portalen, og skriv inn verdiene du hadde kopiert til IdP-konfigurasjonen. Disse innstillingene finnes vanligvis i IdP-området for egendefinerte appinnstillinger.

   1. Skriv inn appens nettadresse for enkel pålogging som du hadde kopiert fra forrige trinn. Noen leverandører kan referere til nettadressen for enkel pålogging som nettadressen for svar.

   2. Legg til attributtene og verdiene du kopierte fra forrige trinn, i appens egenskaper. Noen leverandører kan referere til dem som brukerattributter eller krav.

      Hvis attributtene er begrenset til 1024 tegn for nye apper, må du først opprette appen uten relevante attributter og legge dem til etterpå ved å redigere appen.

   3. Kontroller at navneidentifikatoren er i formatet til en e-postadresse.

   4. Pass på å lagre innstillingene når du er ferdig.

9. Når du er tilbake i Defender for Cloud Apps, kopierer du URL-adressen for enkel pålogging for SAML på veiviserens appendringer og laster ned Microsoft Defender for Cloud Apps SAML-sertifikatet. URL-adressen for enkel pålogging for SAML er en tilpasset nettadresse for appen når den brukes med Defender for Cloud Apps appkontroll for betinget tilgang.

10. Bla til appportalen og konfigurer innstillingene for enkel pålogging på følgende måte:

    1. (Anbefales) Opprett en sikkerhetskopi av gjeldende innstillinger.
    2. Erstatt feltverdien for påloggingsnettadressen for identitetsleverandøren med url-adressen for enkel pålogging for Defender for Cloud Apps SAML som du kopierte fra forrige trinn. Det spesifikke navnet for dette feltet kan variere avhengig av appen.
    3. Last opp Defender for Cloud Apps SAML-sertifikatet du lastet ned i forrige trinn.
    4. Pass på å lagre endringene.

11. Velg Fullfør i veiviseren for å fullføre konfigurasjonen.

Når du har lagret appens innstillinger for enkel pålogging med verdiene som er tilpasset av Defender for Cloud Apps, rutes alle tilknyttede påloggingsforespørsler til appen gjennom Defender for Cloud Apps og appkontroll for betinget tilgang.

Obs!

SAML-sertifikatet for Defender for Cloud Apps er gyldig i ett år. Når den utløper, må du generere en ny.

Om bord i appen for appkontroll for betinget tilgang

Hvis du arbeider med en egendefinert app som ikke fylles ut automatisk i appkatalogen, må du legge den til manuelt.

Slik kontrollerer du om appen allerede er lagt til:

1. I Microsoft Defender XDR velger du Innstillinger for > appkontrollapper for tilkoblede skyapper >> for betinget tilgang.

2. Velg appen: Velg apper... rullegardinmeny for å søke etter appen.

Hvis appen allerede er oppført, fortsetter du med prosedyren for katalogapper i stedet.

Slik legger du til appen manuelt:

1. Hvis du har nye apper, ser du et banner øverst på siden som varsler deg om at du har nye apper på bord. Velg koblingen Vis nye apper for å se dem.

2. Finn appen i dialogboksen Oppdaget Azure AD-apper, for eksempel etter verdien for nettadressen for pålogging. Velg knappen, og legg deretter til for å legge den + til som en egendefinert app.

Installer rotsertifikater

Kontroller at du bruker riktige sertifikater for gjeldende sertifiseringsinstans eller neste sertifiseringsinstans for hver av appene dine.

Hvis du vil installere sertifikatene, gjentar du følgende trinn for hvert sertifikat:

1. Åpne og installer sertifikatet, og velg gjeldende bruker eller lokal maskin.

2. Når du blir bedt om å angi hvor du vil plassere sertifikatene, blar du til klarerte rotsertifiseringsinstanser.

3. Velg OK og Fullfør etter behov for å fullføre prosedyren.

4. Start nettleseren på nytt, åpne appen på nytt, og velg Fortsett når du blir bedt om det.

5. I Microsoft Defender XDR velger du Innstillinger >> for appkontrollapper for tilkoblet skyapper > for betinget tilgang, og kontroller at appen fortsatt er oppført i tabellen.

Hvis du vil ha mer informasjon, kan du se Appen vises ikke på appkontrollappsiden for betinget tilgang.

Beslektet innhold

• Beskytt apper med Microsoft Defender for Cloud Apps appkontroll for betinget tilgang
• Distribuer appkontroll for betinget tilgang for katalogapper med ikke-Microsoft-ID-er
• Feilsøking av tilgang og øktkontroller

Hvis det oppstår problemer, er vi her for å hjelpe. Hvis du vil ha hjelp eller støtte for produktproblemet, kan du åpne en støtteforespørsel.