Aangepaste apps van niet-Microsoft IdP onboarden voor app-beheer voor voorwaardelijke toegang

Toegangs- en sessiebesturingselementen in Microsoft Defender voor Cloud-apps werken met zowel catalogus- als aangepaste apps. Hoewel Microsoft Entra ID apps automatisch worden onboarding uitgevoerd voor het gebruik van app-beheer voor voorwaardelijke toegang, moet u uw app handmatig onboarden als u werkt met een niet-Microsoft IdP.

In dit artikel wordt beschreven hoe u uw IdP configureert om te werken met Defender for Cloud Apps en vervolgens ook handmatig elke aangepaste app onboardt. Catalogus-apps van een niet-Microsoft IdP worden daarentegen automatisch onboarding uitgevoerd wanneer u de integratie tussen uw IdP en Defender for Cloud Apps configureert.

Vereisten

• Uw organisatie moet de volgende licenties hebben om app-beheer voor voorwaardelijke toegang te kunnen gebruiken:

  • De licentie die is vereist voor uw id-provideroplossing (IdP)
  • Microsoft Defender for Cloud Apps

• Apps moeten worden geconfigureerd met eenmalige aanmelding

• Apps moeten worden geconfigureerd met het SAML 2.0-verificatieprotocol.

Beheerders toevoegen aan de onboarding-/onderhoudslijst van uw app

1. Selecteer in Microsoft Defender XDR Instellingen > Cloud-apps > Voorwaardelijke toegang App-beheer > Onboarding/onderhoud van apps.

2. Voer de gebruikersnamen of e-mailberichten in van gebruikers die uw app gaan onboarden en selecteer vervolgens Opslaan.

Zie Diagnose en probleemoplossing met de werkbalk Beheer Weergave voor meer informatie.

Uw IdP configureren voor gebruik met Defender for Cloud Apps

In deze procedure wordt beschreven hoe u app-sessies van andere IdP-oplossingen naar Defender for Cloud Apps routert.

Tip

De volgende artikelen bevatten gedetailleerde voorbeelden van deze procedure:

• Uw PingOne IdP configureren
• Uw AD FS IdP configureren
• Uw Okta IdP configureren

Uw IdP configureren voor gebruik met Defender for Cloud Apps:

1. Selecteer in Microsoft Defender XDR Instellingen > Cloud-apps > Verbonden apps > Voorwaardelijke toegang App-beheer-apps.

2. Selecteer + Toevoegen op de pagina Apps voor app-beheer voor voorwaardelijke toegang.

3. Selecteer in het dialoogvenster Een SAML-toepassing toevoegen met uw id-provider de vervolgkeuzelijst Een app zoeken en selecteer vervolgens de app die u wilt implementeren. Selecteer wizard starten terwijl uw app is geselecteerd.

4. Upload op de pagina APP-INFORMATIE van de wizard een metagegevensbestand van uw app of voer handmatig app-gegevens in.

   Zorg ervoor dat u de volgende informatie opgeeft:

   • De URL van de Assertion Consumer Service. Dit is de URL die uw app gebruikt om SAML-asserties van uw IdP te ontvangen.
   • Een SAML-certificaat, als uw app er een biedt. Selecteer in dergelijke gevallen de optie Gebruik ... Optie SAML-certificaat en upload het certificaatbestand.

   Wanneer u klaar bent, selecteert u Volgende om door te gaan.

5. Volg op de pagina ID-PROVIDER van de wizard de instructies voor het instellen van een nieuwe aangepaste app in de portal van uw IdP.

   Opmerking

   De vereiste stappen kunnen verschillen, afhankelijk van uw IdP. We raden u om de volgende redenen aan om de externe configuratie uit te voeren zoals beschreven:

   • Bij sommige id-providers kunt u de SAML-kenmerken of URL-eigenschappen van een galerie-/catalogus-app niet wijzigen.
   • Wanneer u een aangepaste app configureert, kunt u de app testen met Defender for Cloud Apps toegangs- en sessiebesturingselementen, zonder het bestaande geconfigureerde gedrag van uw organisatie te wijzigen.

   Kopieer de configuratiegegevens voor eenmalige aanmelding van uw app voor later gebruik in deze procedure. Wanneer u klaar bent, selecteert u Volgende om door te gaan.

6. Als u verdergaat op de pagina ID-PROVIDER van de wizard, uploadt u een metagegevensbestand van uw IdP of voert u handmatig app-gegevens in.

   Zorg ervoor dat u de volgende informatie opgeeft:

   • De URL van de service voor eenmalige aanmelding. Dit is de URL die uw IdP gebruikt om aanvragen voor eenmalige aanmelding te ontvangen.
   • Een SAML-certificaat, als uw IdP er een biedt. In dergelijke gevallen selecteert u de optie SAML-certificaat van de id-provider gebruiken en uploadt u het certificaatbestand.

7. Kopieer op de pagina ID-PROVIDER van de wizard zowel de URL voor eenmalige aanmelding als alle kenmerken en waarden voor gebruik verderop in deze procedure.

   Wanneer u klaar bent, selecteert u Volgende om door te gaan.

8. Blader naar de portal van uw IdP en voer de waarden in die u hebt gekopieerd naar uw IdP-configuratie. Deze instellingen vindt u doorgaans in het gebied met aangepaste app-instellingen van uw IdP.

   1. Voer de URL voor eenmalige aanmelding van uw app in die u in de vorige stap hebt gekopieerd. Sommige providers verwijzen naar de URL voor eenmalige aanmelding als de antwoord-URL.

   2. Voeg de kenmerken en waarden die u uit de vorige stap hebt gekopieerd toe aan de eigenschappen van de app. Sommige providers kunnen ernaar verwijzen als Gebruikerskenmerken of Claims.

      Als uw kenmerken zijn beperkt tot 1024 tekens voor nieuwe apps, maakt u eerst de app zonder de relevante kenmerken en voegt u deze daarna toe door de app te bewerken.

   3. Controleer of uw naam-id de indeling van een e-mailadres heeft.

   4. Sla uw instellingen op wanneer u klaar bent.

9. Terug in Defender for Cloud Apps kopieert u op de pagina APP-WIJZIGINGEN van de wizard de URL voor eenmalige aanmelding van SAML en downloadt u het Microsoft Defender for Cloud Apps SAML-certificaat. De URL voor eenmalige aanmelding van SAML is een aangepaste URL voor uw app wanneer deze wordt gebruikt met Defender for Cloud Apps app-beheer voor voorwaardelijke toegang.

10. Blader naar de portal van uw app en configureer de instellingen voor eenmalige aanmelding als volgt:

    1. (Aanbevolen) Maak een back-up van uw huidige instellingen.
    2. Vervang de veldwaarde van de aanmeldings-URL van de id-provider door de Defender for Cloud Apps URL voor eenmalige aanmelding van SAML die u uit de vorige stap hebt gekopieerd. De specifieke naam voor dit veld kan verschillen, afhankelijk van uw app.
    3. Upload het Defender for Cloud Apps SAML-certificaat dat u in de vorige stap hebt gedownload.
    4. Sla uw wijzigingen op.

11. Selecteer Voltooien in de wizard om de configuratie te voltooien.

Nadat u de instellingen voor eenmalige aanmelding van uw app hebt opgeslagen met de waarden die zijn aangepast door Defender for Cloud Apps, worden alle gekoppelde aanmeldingsaanvragen naar de app gerouteerd via Defender for Cloud Apps en app-beheer voor voorwaardelijke toegang.

Opmerking

Het Defender for Cloud Apps SAML-certificaat is 1 jaar geldig. Nadat deze is verlopen, moet u een nieuwe genereren.

Uw app onboarden voor app-beheer voor voorwaardelijke toegang

Als u werkt met een aangepaste app die niet automatisch wordt ingevuld in de app-catalogus, moet u deze handmatig toevoegen.

Controleer als volgt of uw app al is toegevoegd:

1. Selecteer in Microsoft Defender XDR Instellingen > Cloud-apps > Verbonden apps > Voorwaardelijke toegang App-beheer-apps.

2. Selecteer de vervolgkeuzelijst App: Selecteer apps... om naar uw app te zoeken.

Als uw app al wordt vermeld, gaat u verder met de procedure voor catalogus-apps.

Uw app handmatig toevoegen:

1. Als u nieuwe apps hebt, ziet u boven aan de pagina een banner met de melding dat u nieuwe apps hebt om te onboarden. Selecteer de koppeling Nieuwe apps weergeven om ze weer te geven.

2. Zoek in het dialoogvenster Gedetecteerde Azure AD apps uw app op, bijvoorbeeld op basis van de waarde van de aanmeldings-URL. Selecteer de + knop en vervolgens Toevoegen om deze te onboarden als een aangepaste app.

Basiscertificaten installeren

Zorg ervoor dat u de juiste huidige CA - of volgende CA-certificaten gebruikt voor elk van uw apps.

Herhaal de volgende stap voor elk certificaat om uw certificaten te installeren:

1. Open en installeer het certificaat door Huidige gebruiker of Lokale computer te selecteren.

2. Wanneer u wordt gevraagd waar u uw certificaten wilt plaatsen, bladert u naar Vertrouwde basiscertificeringsinstanties.

3. Selecteer OK en Voltooien indien nodig om de procedure te voltooien.

4. Start de browser opnieuw op, open uw app opnieuw en selecteer Doorgaan wanneer hierom wordt gevraagd.

5. Selecteer in Microsoft Defender XDR Instellingen > Cloud-apps > Verbonden apps > Voorwaardelijke toegang App-beheer-apps en zorg ervoor dat uw app nog steeds wordt weergegeven in de tabel.

Zie App wordt niet weergegeven op de pagina apps voor app-beheer voor voorwaardelijke toegang voor meer informatie.

Verwante onderwerpen

• Apps beveiligen met Microsoft Defender for Cloud Apps app-beheer voor voorwaardelijke toegang
• App-beheer voor voorwaardelijke toegang implementeren voor catalogus-apps met niet-Microsoft IDP's
• Problemen met toegangs- en sessiebesturingselementen oplossen

Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.