Delen via

Niet-Microsoft IdP-catalogus-apps onboarden voor app-beheer voor voorwaardelijke toegang

  • Artikel

Toegangs- en sessiebesturingselementen in Microsoft Defender voor Cloud-apps werken met zowel catalogus- als aangepaste apps. Hoewel Microsoft Entra ID apps automatisch worden onboarding uitgevoerd voor het gebruik van app-beheer voor voorwaardelijke toegang, moet u uw app handmatig onboarden als u werkt met een niet-Microsoft IdP.

In dit artikel wordt beschreven hoe u uw IdP configureert voor gebruik met Defender for Cloud Apps. Als u uw IdP integreert met Defender for Cloud Apps, worden alle catalogus-apps automatisch onboarden vanuit uw IdP voor app-beheer voor voorwaardelijke toegang.

Vereisten

  • Uw organisatie moet de volgende licenties hebben om app-beheer voor voorwaardelijke toegang te kunnen gebruiken:

    • De licentie die is vereist voor uw id-provideroplossing (IdP)
    • Microsoft Defender for Cloud Apps

  • Apps moeten worden geconfigureerd met eenmalige aanmelding

  • Apps moeten worden geconfigureerd met het SAML 2.0-verificatieprotocol.

Als u de procedures in dit artikel volledig uitvoert en test, moet u een sessie- of toegangsbeleid hebben geconfigureerd. Zie voor meer informatie:

Uw IdP configureren voor gebruik met Defender for Cloud Apps

In deze procedure wordt beschreven hoe u app-sessies van andere IdP-oplossingen naar Defender for Cloud Apps routert.

Tip

De volgende artikelen bevatten gedetailleerde voorbeelden van deze procedure:

Uw IdP configureren voor gebruik met Defender for Cloud Apps:

  1. Selecteer in Microsoft Defender XDR Instellingen > Cloud-apps > Verbonden apps > Voorwaardelijke toegang App-beheer-apps.

  2. Selecteer + Toevoegen op de pagina Apps voor app-beheer voor voorwaardelijke toegang.

  3. Selecteer in het dialoogvenster Een SAML-toepassing toevoegen met uw id-provider de vervolgkeuzelijst Een app zoeken en selecteer vervolgens de app die u wilt implementeren. Selecteer wizard starten terwijl uw app is geselecteerd.

  4. Upload op de pagina APP-INFORMATIE van de wizard een metagegevensbestand van uw app of voer handmatig app-gegevens in.

    Zorg ervoor dat u de volgende informatie opgeeft:

    • De URL van de Assertion Consumer Service. Dit is de URL die uw app gebruikt om SAML-asserties van uw IdP te ontvangen.
    • Een SAML-certificaat, als uw app er een biedt. Selecteer in dergelijke gevallen de optie Gebruik ... Optie SAML-certificaat en upload het certificaatbestand.

    Wanneer u klaar bent, selecteert u Volgende om door te gaan.

  5. Volg op de pagina ID-PROVIDER van de wizard de instructies voor het instellen van een nieuwe aangepaste app in de portal van uw IdP.

    Opmerking

    De vereiste stappen kunnen verschillen, afhankelijk van uw IdP. We raden u om de volgende redenen aan om de externe configuratie uit te voeren zoals beschreven:

    • Bij sommige id-providers kunt u de SAML-kenmerken of URL-eigenschappen van een galerie-/catalogus-app niet wijzigen.
    • Wanneer u een aangepaste app configureert, kunt u de app testen met Defender for Cloud Apps toegangs- en sessiebesturingselementen, zonder het bestaande geconfigureerde gedrag van uw organisatie te wijzigen.

    Kopieer de configuratiegegevens voor eenmalige aanmelding van uw app voor later gebruik in deze procedure. Wanneer u klaar bent, selecteert u Volgende om door te gaan.

  6. Als u verdergaat op de pagina ID-PROVIDER van de wizard, uploadt u een metagegevensbestand van uw IdP of voert u handmatig app-gegevens in.

    Zorg ervoor dat u de volgende informatie opgeeft:

    • De URL van de service voor eenmalige aanmelding. Dit is de URL die uw IdP gebruikt om aanvragen voor eenmalige aanmelding te ontvangen.
    • Een SAML-certificaat, als uw IdP er een biedt. In dergelijke gevallen selecteert u de optie SAML-certificaat van de id-provider gebruiken en uploadt u het certificaatbestand.

  7. Kopieer op de pagina ID-PROVIDER van de wizard zowel de URL voor eenmalige aanmelding als alle kenmerken en waarden voor gebruik verderop in deze procedure.

    Wanneer u klaar bent, selecteert u Volgende om door te gaan.

  8. Blader naar de portal van uw IdP en voer de waarden in die u hebt gekopieerd naar uw IdP-configuratie. Deze instellingen vindt u doorgaans in het gebied met aangepaste app-instellingen van uw IdP.

    1. Voer de URL voor eenmalige aanmelding van uw app in die u in de vorige stap hebt gekopieerd. Sommige providers verwijzen naar de URL voor eenmalige aanmelding als de antwoord-URL.

    2. Voeg de kenmerken en waarden die u uit de vorige stap hebt gekopieerd toe aan de eigenschappen van de app. Sommige providers kunnen ernaar verwijzen als Gebruikerskenmerken of Claims.

      Als uw kenmerken zijn beperkt tot 1024 tekens voor nieuwe apps, maakt u eerst de app zonder de relevante kenmerken en voegt u deze daarna toe door de app te bewerken.

    3. Controleer of uw naam-id de indeling van een e-mailadres heeft.

    4. Sla uw instellingen op wanneer u klaar bent.

  9. Terug in Defender for Cloud Apps kopieert u op de pagina APP-WIJZIGINGEN van de wizard de URL voor eenmalige aanmelding van SAML en downloadt u het Microsoft Defender for Cloud Apps SAML-certificaat. De URL voor eenmalige aanmelding van SAML is een aangepaste URL voor uw app wanneer deze wordt gebruikt met Defender for Cloud Apps app-beheer voor voorwaardelijke toegang.

  10. Blader naar de portal van uw app en configureer uw instellingen voor eenmalige aanmelding als volgt:

    1. (Aanbevolen) Maak een back-up van uw huidige instellingen.
    2. Vervang de veldwaarde van de aanmeldings-URL van de id-provider door de Defender for Cloud Apps URL voor eenmalige aanmelding van SAML die u uit de vorige stap hebt gekopieerd. De specifieke naam voor dit veld kan verschillen, afhankelijk van uw app.
    3. Upload het Defender for Cloud Apps SAML-certificaat dat u in de vorige stap hebt gedownload.
    4. Sla uw wijzigingen op.

  11. Selecteer Voltooien in de wizard om de configuratie te voltooien.

Nadat u de instellingen voor eenmalige aanmelding van uw app hebt opgeslagen met de waarden die zijn aangepast door Defender for Cloud Apps, worden alle gekoppelde aanmeldingsaanvragen naar de app gerouteerd via Defender for Cloud Apps en app-beheer voor voorwaardelijke toegang.

Opmerking

Het Defender for Cloud Apps SAML-certificaat is 1 jaar geldig. Nadat deze is verlopen, moet u een nieuwe genereren en uploaden.

Meld u aan bij uw app met behulp van een gebruiker die is afgestemd op het beleid

Nadat u uw toegangs- of sessiebeleid hebt gemaakt, meldt u zich aan bij elke app die in het beleid is geconfigureerd. Zorg ervoor dat u zich eerst hebt afgemeld bij alle bestaande sessies en dat u zich aanmeldt met een gebruiker die is geconfigureerd in het beleid.

Defender for Cloud Apps synchroniseert uw beleidsdetails met de servers voor elke nieuwe app waarbij u zich aanmeldt. Dit kan tot één minuut duren.

Zie voor meer informatie:

Controleer of apps zijn geconfigureerd voor het gebruik van toegangs- en sessiebesturingselementen

In deze procedure wordt beschreven hoe u kunt controleren of uw apps zijn geconfigureerd voor het gebruik van toegangs- en sessiebesturingselementen in Defender for Cloud Apps en hoe u deze instellingen indien nodig configureert.

Opmerking

Hoewel u geen instellingen voor sessiebeheer voor een app kunt verwijderen, wordt er geen gedrag gewijzigd totdat u een sessie- of toegangsbeleid hebt geconfigureerd voor de app.

  1. Selecteer in Microsoft Defender XDR Instellingen > Cloud-apps > Verbonden apps > Voorwaardelijke toegang App-beheer-apps.

  2. Zoek in de tabel met apps naar uw app en controleer de kolomwaarde van het IDP-type . Zorg ervoor dat de niet-MS-verificatie-app en sessiebeheer worden weergegeven voor uw app.

Verwante onderwerpen

Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.