Innebygde ikke-Microsoft IdP-katalogapper for appkontroll for betinget tilgang

Tilgangs- og øktkontroller i Microsoft Defender for skyapper fungerer både med katalog- og egendefinerte apper. Selv om Microsoft Entra ID apper automatisk blir registrert for å bruke appkontroll for betinget tilgang, må du gå inn i appen manuelt hvis du arbeider med en ikke-Microsoft-IdP.

Denne artikkelen beskriver hvordan du konfigurerer IdP-en til å fungere med Defender for Cloud Apps. Integrering av IdP-en med Defender for Cloud Apps registrerer automatisk alle katalogapper fra appkontrollen for IdP for betinget tilgang.

Forutsetninger

• Organisasjonen må ha følgende lisenser for å bruke appkontroll for betinget tilgang:

  • Lisensen som kreves av identitetsleverandørens (IdP)-løsning
  • Microsoft Defender for skyapper

• Apper må konfigureres med enkel pålogging

• Apper må konfigureres med SAML 2.0-godkjenningsprotokollen.

Fullstendig utføring og testing av prosedyrene i denne artikkelen krever at du har konfigurert en økt eller tilgangspolicy. Hvis du vil ha mer informasjon, kan du se:

• Opprett Microsoft Defender for Cloud Apps tilgangspolicyer
• Opprette Microsoft Defender for Cloud Apps øktpolicyer

Konfigurer IdP-en til å fungere med Defender for Cloud Apps

Denne fremgangsmåten beskriver hvordan du ruter appøkter fra andre IdP-løsninger til Defender for Cloud Apps.

Tips

Følgende artikler inneholder detaljerte eksempler på denne prosedyren:

• Konfigurer PingOne-IdP-en
• Konfigurer AD FS-IdP-en
• Konfigurer Okta IdP

Slik konfigurerer du IdP-en til å fungere med Defender for Cloud Apps:

1. I Microsoft Defender XDR velger du Innstillinger >> for appkontrollapper for tilkoblede > apper for skyapper for betinget tilgang.

2. Velg + Legg tilpå appkontrollsiden for betinget tilgang.

3. Velg rullegardinlisten Søk etter en app i dialogboksen Legg til et SAML-program med identitetsleverandøren, og velg deretter appen du vil distribuere. Velg Startveiviser mens appen er valgt.

4. Last opp en metadatafil fra appen på siden appinformasjon for veiviseren, eller angi appdata manuelt.

   Pass på å oppgi følgende informasjon:

   • Url-adressen for deklarasjonsforbrukertjenesten. Dette er nettadressen som appen bruker til å motta SAML-deklarasjoner fra IdP-en.
   • Et SAML-sertifikat hvis appen inneholder et. I slike tilfeller velger du Bruk ... Alternativet SAML-sertifikat , og last deretter opp sertifikatfilen.

   Når du er ferdig, velger du Neste for å fortsette.

5. På siden identitetsleverandør for veiviseren følger du instruksjonene for å konfigurere en ny egendefinert app i IdP-portalen.

   Obs!

   Trinnene som kreves, kan variere avhengig av IdP-en. Vi anbefaler at du utfører den eksterne konfigurasjonen som beskrevet av følgende årsaker:

   • Noen identitetsleverandører tillater ikke at du endrer SAML-attributtene eller URL-adresseegenskapene for et galleri/ en katalogapp.
   • Når du konfigurerer en egendefinert app, kan du teste appen med Defender for Cloud Apps tilgangs- og øktkontroller, uten å endre organisasjonens eksisterende konfigurerte virkemåte.

   Kopier appens konfigurasjonsinformasjon for enkel pålogging for bruk senere i denne prosedyren. Når du er ferdig, velger du Neste for å fortsette.

6. Hvis du fortsetter på SIDEN IDENTITETSLEVERANDØR i veiviseren, laster du opp en metadatafil fra IdP-en eller skriver inn appdata manuelt.

   Pass på å oppgi følgende informasjon:

   • Url-adressen for enkel påloggingstjeneste. Dette er nettadressen som IdP-en bruker til å motta forespørsler om enkel pålogging.
   • Et SAML-sertifikat hvis IdP-en inneholder et. I slike tilfeller velger du alternativet Bruk SAML-sertifikatet til identitetsleverandøren , og deretter laster du opp sertifikatfilen.

7. Hvis du fortsetter på SIDEN IDENTITETSLEVERANDØR i veiviseren, kopierer du både url-adressen for enkel pålogging og alle attributter og verdier for bruk senere i denne prosedyren.

   Når du er ferdig, velger du Neste for å fortsette.

8. Bla til IdP-portalen, og skriv inn verdiene du hadde kopiert til IdP-konfigurasjonen. Disse innstillingene finnes vanligvis i IdP-området for egendefinerte appinnstillinger.

   1. Skriv inn appens nettadresse for enkel pålogging som du hadde kopiert fra forrige trinn. Noen leverandører kan referere til nettadressen for enkel pålogging som nettadressen for svar.

   2. Legg til attributtene og verdiene du kopierte fra forrige trinn, i appens egenskaper. Noen leverandører kan referere til dem som brukerattributter eller krav.

      Hvis attributtene er begrenset til 1024 tegn for nye apper, må du først opprette appen uten relevante attributter og legge dem til etterpå ved å redigere appen.

   3. Kontroller at navneidentifikatoren er i formatet til en e-postadresse.

   4. Pass på å lagre innstillingene når du er ferdig.

9. Når du er tilbake i Defender for Cloud Apps, kopierer du URL-adressen for enkel pålogging for SAML på veiviserens appendringer og laster ned Microsoft Defender for Cloud Apps SAML-sertifikatet. URL-adressen for enkel pålogging for SAML er en tilpasset nettadresse for appen når den brukes med Defender for Cloud Apps appkontroll for betinget tilgang.

10. Bla til appportalen og konfigurer innstillingene for enkel pålogging på følgende måte:

    1. (Anbefales) Opprett en sikkerhetskopi av gjeldende innstillinger.
    2. Erstatt feltverdien for påloggingsnettadressen for identitetsleverandøren med url-adressen for enkel pålogging for Defender for Cloud Apps SAML som du kopierte fra forrige trinn. Det spesifikke navnet for dette feltet kan variere avhengig av appen.
    3. Last opp Defender for Cloud Apps SAML-sertifikatet du lastet ned i forrige trinn.
    4. Pass på å lagre endringene.

11. Velg Fullfør i veiviseren for å fullføre konfigurasjonen.

Når du har lagret appens innstillinger for enkel pålogging med verdiene som er tilpasset av Defender for Cloud Apps, rutes alle tilknyttede påloggingsforespørsler til appen gjennom Defender for Cloud Apps og appkontroll for betinget tilgang.

Obs!

SAML-sertifikatet for Defender for Cloud Apps er gyldig i ett år. Når den utløper, må du generere og laste opp en ny.

Logg deg på appen ved hjelp av en bruker som er begrenset til policyen

Når du har opprettet tilgangs- eller øktpolicyen, logger du på hver app som er konfigurert i policyen. Kontroller at du først har logget av alle eksisterende økter, og at du logger på med en bruker som er konfigurert i policyen.

Defender for Cloud Apps synkroniserer policydetaljene til serverne for hver nye app du logger på. Dette kan ta opptil ett minutt.

Hvis du vil ha mer informasjon, kan du se:

• Opprett Microsoft Defender for Cloud Apps tilgangspolicyer
• Opprette Microsoft Defender for Cloud Apps øktpolicyer

Kontroller at apper er konfigurert til å bruke tilgangs- og øktkontroller

Denne fremgangsmåten beskriver hvordan du bekrefter at appene er konfigurert til å bruke tilgangs- og øktkontroller i Defender for Cloud Apps og konfigurere disse innstillingene om nødvendig.

Obs!

Selv om du ikke kan fjerne innstillingene for øktkontroll for en app, endres ingen virkemåte før du har konfigurert en økt eller tilgangspolicy for appen.

1. I Microsoft Defender XDR velger du Innstillinger for > appkontrollapper for tilkoblede skyapper >> for betinget tilgang.

2. Søk etter appen i apptabellen, og kontroller kolonneverdien for IDP-typen . Kontroller at appen og øktkontrollen for ikke-MS-godkjenning vises for appen.

Beslektet innhold

• Beskytt apper med Microsoft Defender for Cloud Apps appkontroll for betinget tilgang
• Distribuer appkontroll for betinget tilgang for egendefinerte apper med ikke-Microsoft-identitetsleverandører
• Feilsøking av tilgang og øktkontroller

Hvis det oppstår problemer, er vi her for å hjelpe. Hvis du vil ha hjelp eller støtte for produktproblemet, kan du åpne en støtteforespørsel.