Udostępnij za pośrednictwem

Dołączanie aplikacji wykazu innych niż Microsoft IdP na potrzeby kontroli aplikacji dostępu warunkowego

  • Artykuł

Kontrolki dostępu i sesji w Microsoft Defender dla aplikacji w chmurze działają zarówno z aplikacjami katalogu, jak i aplikacjami niestandardowymi. Podczas gdy aplikacje Tożsamość Microsoft Entra są automatycznie dołączane do korzystania z kontroli dostępu warunkowego, jeśli pracujesz z innym niż Microsoft IdP, musisz dołączyć aplikację ręcznie.

W tym artykule opisano sposób konfigurowania dostawcy tożsamości do pracy z Defender for Cloud Apps. Integrowanie dostawcy tożsamości z Defender for Cloud Apps automatycznie dołącza wszystkie aplikacje wykazu z twojego dostawcy tożsamości na potrzeby kontroli aplikacji dostępu warunkowego.

Wymagania wstępne

  • Twoja organizacja musi mieć następujące licencje, aby używać kontroli aplikacji dostępu warunkowego:

    • Licencja wymagana przez rozwiązanie dostawcy tożsamości
    • Microsoft Defender for Cloud Apps

  • Aplikacje muszą być skonfigurowane przy użyciu logowania jednokrotnego

  • Aplikacje muszą być skonfigurowane przy użyciu protokołu uwierzytelniania SAML 2.0.

Pełne wykonywanie i testowanie procedur opisanych w tym artykule wymaga skonfigurowania sesji lub zasad dostępu. Więcej informacji można znaleźć w następujących artykułach:

Konfigurowanie dostawcy tożsamości do pracy z Defender for Cloud Apps

W tej procedurze opisano sposób kierowania sesji aplikacji z innych rozwiązań IdP do Defender for Cloud Apps.

Porada

Poniższe artykuły zawierają szczegółowe przykłady tej procedury:

Aby skonfigurować adres IdP do pracy z Defender for Cloud Apps:

  1. W Microsoft Defender XDR wybierz pozycję Ustawienia > Aplikacje połączone aplikacje > w chmurze Aplikacje > dostęp warunkowy Aplikacje kontroli aplikacji.

  2. Na stronie Aplikacje kontroli aplikacji dostępu warunkowego wybierz pozycję + Dodaj.

  3. W oknie dialogowym Dodawanie aplikacji SAML za pomocą dostawcy tożsamości wybierz listę rozwijaną Wyszukaj aplikację , a następnie wybierz aplikację, którą chcesz wdrożyć. Po wybraniu aplikacji wybierz pozycję Uruchom kreatora.

  4. Na stronie INFORMACJE O APLIKACJI kreatora przekaż plik metadanych z aplikacji lub wprowadź dane aplikacji ręcznie.

    Pamiętaj, aby podać następujące informacje:

    • Adres URL usługi assertion consumer. Jest to adres URL używany przez aplikację do odbierania asercji SAML z twojego dostawcy tożsamości.
    • Certyfikat SAML, jeśli aplikacja go udostępnia. W takich przypadkach wybierz pozycję Użyj ... Opcja certyfikatu SAML , a następnie przekaż plik certyfikatu.

    Po zakończeniu wybierz pozycję Dalej , aby kontynuować.

  5. Na stronie DOSTAWCA TOŻSAMOŚCI kreatora postępuj zgodnie z instrukcjami, aby skonfigurować nową aplikację niestandardową w portalu dostawcy tożsamości.

    Uwaga

    Wymagane kroki mogą się różnić w zależności od twojego dostawcy tożsamości. Zalecamy wykonanie konfiguracji zewnętrznej zgodnie z opisem z następujących powodów:

    • Niektórzy dostawcy tożsamości nie zezwalają na zmianę atrybutów SAML ani właściwości adresu URL aplikacji galerii/wykazu.
    • Podczas konfigurowania aplikacji niestandardowej można przetestować aplikację przy użyciu Defender for Cloud Apps kontrolek dostępu i sesji bez zmiany istniejącego skonfigurowanego zachowania organizacji.

    Skopiuj informacje o konfiguracji logowania jednokrotnego aplikacji do użycia w dalszej części tej procedury. Po zakończeniu wybierz pozycję Dalej , aby kontynuować.

  6. Kontynuując na stronie DOSTAWCA TOŻSAMOŚCI kreatora, przekaż plik metadanych z dostawcy tożsamości lub wprowadź dane aplikacji ręcznie.

    Pamiętaj, aby podać następujące informacje:

    • Adres URL usługi logowania jednokrotnego. Jest to adres URL używany przez twojego dostawcy tożsamości do odbierania żądań logowania jednokrotnego.
    • Certyfikat SAML, jeśli twój adres IdP go udostępnia. W takich przypadkach wybierz opcję Użyj certyfikatu SAML dostawcy tożsamości , a następnie przekaż plik certyfikatu.

  7. Kontynuując na stronie DOSTAWCA TOŻSAMOŚCI kreatora, skopiuj zarówno adres URL logowania jednokrotnego, jak i wszystkie atrybuty i wartości do użycia w dalszej części tej procedury.

    Po zakończeniu wybierz pozycję Dalej , aby kontynuować.

  8. Przejdź do portalu dostawcy tożsamości i wprowadź wartości skopiowane do konfiguracji dostawcy tożsamości. Zazwyczaj te ustawienia znajdują się w obszarze niestandardowych ustawień aplikacji dostawcy tożsamości.

    1. Wprowadź adres URL logowania jednokrotnego aplikacji skopiowany z poprzedniego kroku. Niektórzy dostawcy mogą odwoływać się do adresu URL logowania jednokrotnego jako adresu URL odpowiedzi.

    2. Dodaj atrybuty i wartości skopiowane z poprzedniego kroku do właściwości aplikacji. Niektórzy dostawcy mogą określać je jako atrybuty użytkownika lub oświadczenia.

      Jeśli atrybuty są ograniczone do 1024 znaków dla nowych aplikacji, najpierw utwórz aplikację bez odpowiednich atrybutów, a następnie dodaj je, edytując aplikację.

    3. Sprawdź, czy identyfikator nazwy jest w formacie adresu e-mail.

    4. Pamiętaj, aby zapisać ustawienia po zakończeniu.

  9. Po powrocie do Defender for Cloud Apps na stronie ZMIANY APLIKACJI kreatora skopiuj adres URL logowania jednokrotnego SAML i pobierz certyfikat Microsoft Defender for Cloud Apps SAML. Adres URL logowania jednokrotnego SAML to dostosowany adres URL aplikacji, gdy jest używany z kontrolą aplikacji dostępu warunkowego Defender for Cloud Apps.

  10. Przejdź do portalu aplikacji i skonfiguruj ustawienia logowania jednokrotnego w następujący sposób:

    1. (Zalecane) Utwórz kopię zapasową bieżących ustawień.
    2. Zastąp wartość pola adresu URL logowania dostawcy tożsamości Defender for Cloud Apps adresem URL logowania jednokrotnego SAML skopiowanym z poprzedniego kroku. Określona nazwa tego pola może się różnić w zależności od aplikacji.
    3. Przekaż Defender for Cloud Apps certyfikat SAML pobrany w poprzednim kroku.
    4. Pamiętaj, aby zapisać zmiany.

  11. W kreatorze wybierz pozycję Zakończ , aby ukończyć konfigurację.

Po zapisaniu ustawień logowania jednokrotnego aplikacji przy użyciu wartości dostosowanych przez Defender for Cloud Apps wszystkie skojarzone żądania logowania do aplikacji są kierowane przez Defender for Cloud Apps i kontrolę aplikacji dostępu warunkowego.

Uwaga

Certyfikat DEFENDER FOR CLOUD APPS SAML jest ważny przez 1 rok. Po jego wygaśnięciu musisz wygenerować i przekazać nowy.

Zaloguj się do aplikacji przy użyciu użytkownika o zakresie określonym w zasadach

Po utworzeniu zasad dostępu lub sesji zaloguj się do każdej aplikacji skonfigurowanej w zasadach. Upewnij się, że najpierw wylogujesz się ze wszystkich istniejących sesji i że logujesz się przy użyciu użytkownika skonfigurowanego w zasadach.

Defender for Cloud Apps zsynchronizuje szczegóły zasad z serwerami dla każdej nowej aplikacji, do których się logujesz. Może to potrwać do jednej minuty.

Więcej informacji można znaleźć w następujących artykułach:

Sprawdź, czy aplikacje są skonfigurowane do używania kontrolek dostępu i sesji

W tej procedurze opisano sposób sprawdzania, czy aplikacje są skonfigurowane do używania kontrolek dostępu i sesji w Defender for Cloud Apps i konfigurowania tych ustawień w razie potrzeby.

Uwaga

Chociaż nie można usunąć ustawień kontroli sesji dla aplikacji, żadne zachowanie nie zostanie zmienione, dopóki nie zostaną skonfigurowane zasady sesji lub dostępu dla aplikacji.

  1. W Microsoft Defender XDR wybierz pozycję Ustawienia > Aplikacje w chmurze Aplikacje > połączone aplikacje > Dostęp warunkowy Aplikacje kontroli aplikacji.

  2. W tabeli aplikacji wyszukaj aplikację i sprawdź wartość kolumny typu dostawcy tożsamości. Upewnij się, że aplikacja uwierzytelniania innych niż MS i kontrolka Sesja są wyświetlane dla twojej aplikacji.

Zawartość pokrewna

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.