Dołączanie niestandardowych aplikacji innych niż Microsoft IdP na potrzeby kontroli aplikacji dostępu warunkowego

Kontrolki dostępu i sesji w Microsoft Defender dla aplikacji w chmurze działają zarówno z aplikacjami katalogu, jak i aplikacjami niestandardowymi. Podczas gdy aplikacje Tożsamość Microsoft Entra są automatycznie dołączane do korzystania z kontroli dostępu warunkowego, jeśli pracujesz z innym niż Microsoft IdP, musisz dołączyć aplikację ręcznie.

W tym artykule opisano sposób konfigurowania dostawcy tożsamości do pracy z Defender for Cloud Apps, a następnie ręcznego dołączania każdej aplikacji niestandardowej. Natomiast aplikacje wykazu z dostawcy tożsamości firmy innej niż Microsoft są automatycznie dołączane podczas konfigurowania integracji między tożsamościami IdP i Defender for Cloud Apps.

Wymagania wstępne

• Twoja organizacja musi mieć następujące licencje, aby używać kontroli aplikacji dostępu warunkowego:

  • Licencja wymagana przez rozwiązanie dostawcy tożsamości
  • Microsoft Defender for Cloud Apps

• Aplikacje muszą być skonfigurowane przy użyciu logowania jednokrotnego

• Aplikacje muszą być skonfigurowane przy użyciu protokołu uwierzytelniania SAML 2.0.

Dodawanie administratorów do listy dołączania/konserwacji aplikacji

1. W Microsoft Defender XDR wybierz pozycję Ustawienia > Aplikacje > w chmurze — dostęp warunkowy Dołączanie/konserwacja aplikacji kontroli > dostępu warunkowego aplikacji.

2. Wprowadź nazwy użytkownika lub wiadomości e-mail wszystkich użytkowników, którzy będą dołączać aplikację, a następnie wybierz pozycję Zapisz.

Aby uzyskać więcej informacji, zobacz Diagnose and troubleshoot with the Administracja View toolbar (Diagnozowanie i rozwiązywanie problemów z paskiem narzędzi Administracja Wyświetl).

Konfigurowanie dostawcy tożsamości do pracy z Defender for Cloud Apps

W tej procedurze opisano sposób kierowania sesji aplikacji z innych rozwiązań IdP do Defender for Cloud Apps.

Porada

Poniższe artykuły zawierają szczegółowe przykłady tej procedury:

• Konfigurowanie dostawcy tożsamości pingOne
• Konfigurowanie dostawcy tożsamości usług AD FS
• Konfigurowanie dostawcy tożsamości okta

Aby skonfigurować adres IdP do pracy z Defender for Cloud Apps:

1. W Microsoft Defender XDR wybierz pozycję Ustawienia > Aplikacje połączone aplikacje > w chmurze Aplikacje > dostęp warunkowy Aplikacje kontroli aplikacji.

2. Na stronie Aplikacje kontroli aplikacji dostępu warunkowego wybierz pozycję + Dodaj.

3. W oknie dialogowym Dodawanie aplikacji SAML za pomocą dostawcy tożsamości wybierz listę rozwijaną Wyszukaj aplikację , a następnie wybierz aplikację, którą chcesz wdrożyć. Po wybraniu aplikacji wybierz pozycję Uruchom kreatora.

4. Na stronie INFORMACJE O APLIKACJI kreatora przekaż plik metadanych z aplikacji lub wprowadź dane aplikacji ręcznie.

   Pamiętaj, aby podać następujące informacje:

   • Adres URL usługi assertion consumer. Jest to adres URL używany przez aplikację do odbierania asercji SAML z twojego dostawcy tożsamości.
   • Certyfikat SAML, jeśli aplikacja go udostępnia. W takich przypadkach wybierz pozycję Użyj ... Opcja certyfikatu SAML , a następnie przekaż plik certyfikatu.

   Po zakończeniu wybierz pozycję Dalej , aby kontynuować.

5. Na stronie DOSTAWCA TOŻSAMOŚCI kreatora postępuj zgodnie z instrukcjami, aby skonfigurować nową aplikację niestandardową w portalu dostawcy tożsamości.

   Uwaga

   Wymagane kroki mogą się różnić w zależności od twojego dostawcy tożsamości. Zalecamy wykonanie konfiguracji zewnętrznej zgodnie z opisem z następujących powodów:

   • Niektórzy dostawcy tożsamości nie zezwalają na zmianę atrybutów SAML ani właściwości adresu URL aplikacji galerii/wykazu.
   • Podczas konfigurowania aplikacji niestandardowej można przetestować aplikację przy użyciu Defender for Cloud Apps kontrolek dostępu i sesji bez zmiany istniejącego skonfigurowanego zachowania organizacji.

   Skopiuj informacje o konfiguracji logowania jednokrotnego aplikacji do użycia w dalszej części tej procedury. Po zakończeniu wybierz pozycję Dalej , aby kontynuować.

6. Kontynuując na stronie DOSTAWCA TOŻSAMOŚCI kreatora, przekaż plik metadanych z dostawcy tożsamości lub wprowadź dane aplikacji ręcznie.

   Pamiętaj, aby podać następujące informacje:

   • Adres URL usługi logowania jednokrotnego. Jest to adres URL używany przez twojego dostawcy tożsamości do odbierania żądań logowania jednokrotnego.
   • Certyfikat SAML, jeśli twój adres IdP go udostępnia. W takich przypadkach wybierz opcję Użyj certyfikatu SAML dostawcy tożsamości , a następnie przekaż plik certyfikatu.

7. Kontynuując na stronie DOSTAWCA TOŻSAMOŚCI kreatora, skopiuj zarówno adres URL logowania jednokrotnego, jak i wszystkie atrybuty i wartości do użycia w dalszej części tej procedury.

   Po zakończeniu wybierz pozycję Dalej , aby kontynuować.

8. Przejdź do portalu dostawcy tożsamości i wprowadź wartości skopiowane do konfiguracji dostawcy tożsamości. Zazwyczaj te ustawienia znajdują się w obszarze niestandardowych ustawień aplikacji dostawcy tożsamości.

   1. Wprowadź adres URL logowania jednokrotnego aplikacji skopiowany z poprzedniego kroku. Niektórzy dostawcy mogą odwoływać się do adresu URL logowania jednokrotnego jako adresu URL odpowiedzi.

   2. Dodaj atrybuty i wartości skopiowane z poprzedniego kroku do właściwości aplikacji. Niektórzy dostawcy mogą określać je jako atrybuty użytkownika lub oświadczenia.

      Jeśli atrybuty są ograniczone do 1024 znaków dla nowych aplikacji, najpierw utwórz aplikację bez odpowiednich atrybutów, a następnie dodaj je, edytując aplikację.

   3. Sprawdź, czy identyfikator nazwy jest w formacie adresu e-mail.

   4. Pamiętaj, aby zapisać ustawienia po zakończeniu.

9. Po powrocie do Defender for Cloud Apps na stronie ZMIANY APLIKACJI kreatora skopiuj adres URL logowania jednokrotnego SAML i pobierz certyfikat Microsoft Defender for Cloud Apps SAML. Adres URL logowania jednokrotnego SAML to dostosowany adres URL aplikacji, gdy jest używany z kontrolą aplikacji dostępu warunkowego Defender for Cloud Apps.

10. Przejdź do portalu aplikacji i skonfiguruj ustawienia logowania jednokrotnego w następujący sposób:

    1. (Zalecane) Utwórz kopię zapasową bieżących ustawień.
    2. Zastąp wartość pola adresu URL logowania dostawcy tożsamości Defender for Cloud Apps adresem URL logowania jednokrotnego SAML skopiowanym z poprzedniego kroku. Określona nazwa tego pola może się różnić w zależności od aplikacji.
    3. Przekaż Defender for Cloud Apps certyfikat SAML pobrany w poprzednim kroku.
    4. Pamiętaj, aby zapisać zmiany.

11. W kreatorze wybierz pozycję Zakończ , aby ukończyć konfigurację.

Po zapisaniu ustawień logowania jednokrotnego aplikacji przy użyciu wartości dostosowanych przez Defender for Cloud Apps wszystkie skojarzone żądania logowania do aplikacji są kierowane przez Defender for Cloud Apps i kontrolę aplikacji dostępu warunkowego.

Uwaga

Certyfikat DEFENDER FOR CLOUD APPS SAML jest ważny przez 1 rok. Po jego wygaśnięciu musisz wygenerować nowy.

Dołączanie aplikacji do kontroli aplikacji dostępu warunkowego

Jeśli pracujesz z aplikacją niestandardową, która nie jest automatycznie wypełniana w katalogu aplikacji, musisz dodać ją ręcznie.

Aby sprawdzić, czy aplikacja została już dodana:

1. W Microsoft Defender XDR wybierz pozycję Ustawienia > Aplikacje w chmurze Aplikacje > połączone aplikacje > Dostęp warunkowy Aplikacje kontroli aplikacji.

2. Wybierz menu rozwijane Aplikacja: Wybierz aplikacje... , aby wyszukać aplikację.

Jeśli twoja aplikacja jest już wymieniona, zamiast tego kontynuuj procedurę dotyczącą aplikacji wykazu.

Aby ręcznie dodać aplikację:

1. Jeśli masz nowe aplikacje, w górnej części strony zostanie wyświetlony baner z powiadomieniem, że masz nowe aplikacje do dołączenia. Wybierz link Wyświetl nowe aplikacje , aby je wyświetlić.

2. W oknie dialogowym Odnalezione aplikacje Azure AD znajdź aplikację, na przykład przez wartość Adresu URL logowania. Wybierz przycisk, + a następnie dodaj , aby dołączyć go jako aplikację niestandardową.

Instalowanie certyfikatów głównych

Upewnij się, że używasz prawidłowych certyfikatów bieżącego urzędu certyfikacji lub następnego urzędu certyfikacji dla każdej aplikacji.

Aby zainstalować certyfikaty, powtórz następujący krok dla każdego certyfikatu:

1. Otwórz i zainstaluj certyfikat, wybierając pozycję Bieżący użytkownik lub Maszyna lokalna.

2. Po wyświetleniu monitu o miejsce, w którym chcesz umieścić certyfikaty, przejdź do pozycji Zaufane główne urzędy certyfikacji.

3. Wybierz pozycję OK i Zakończ zgodnie z potrzebami, aby ukończyć procedurę.

4. Uruchom ponownie przeglądarkę, otwórz ponownie aplikację i wybierz pozycję Kontynuuj po wyświetleniu monitu.

5. W Microsoft Defender XDR wybierz pozycję Ustawienia > Aplikacje w chmurze Aplikacje > połączone aplikacje > Dostęp warunkowy Aplikacje kontrola aplikacji i upewnij się, że aplikacja jest nadal wyświetlana w tabeli.

Aby uzyskać więcej informacji, zobacz App doesn't appear on the conditional access app control apps (Aplikacja nie jest wyświetlana na stronie aplikacji kontroli dostępu warunkowego).

Zawartość pokrewna

• Ochrona aplikacji za pomocą Microsoft Defender for Cloud Apps kontroli aplikacji dostępu warunkowego
• Wdrażanie kontroli dostępu warunkowego dla aplikacji wykazu z adresami IP innych niż Microsoft
• Rozwiązywanie problemów z kontrolkami dostępu i sesji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.