Использование элемента управления условным доступом к приложениям Defender for Cloud Apps

В этой статье содержится обзор использования Microsoft Defender for Cloud Apps управления приложениями для создания политик доступа и сеансов. Управление условным доступом к приложениям обеспечивает мониторинг в режиме реального времени и контроль доступа пользователей к облачным приложениям.

Поток управления использованием приложений условного доступа (предварительная версия)

На следующем рисунке показан высокоуровневый процесс настройки и реализации управления условным доступом к приложениям:

Какой поставщик удостоверений вы используете?

Прежде чем приступить к использованию управления условным доступом к приложениям, определите, управляются ли приложениями Microsoft Entra или другим поставщиком удостоверений (IdP).

• Microsoft Entra приложения автоматически подключены к управлению приложениями условного доступа и сразу же доступны для использования в условиях политики доступа и сеанса (предварительная версия). Их можно подключить вручную, прежде чем вы сможете выбрать их в условиях политики доступа и сеанса.

• Приложения, использующие сторонних поставщиков удостоверений , должны быть подключены вручную, прежде чем их можно будет выбрать в условиях политики доступа и сеанса.

  • Если вы работаете с приложением каталога из поставщика удостоверений, отличного от Майкрософт, настройте интеграцию между поставщиком удостоверений и Defender for Cloud Apps для подключения всех приложений каталога. Дополнительные сведения см. в разделе Подключение приложений каталога поставщика удостоверений сторонних поставщиков удостоверений для управления условным доступом.

  • Если вы работаете с пользовательскими приложениями, необходимо настроить интеграцию между поставщиком удостоверений и Defender for Cloud Apps, а также подключить каждое пользовательское приложение. Дополнительные сведения см. в разделе Подключение пользовательских приложений поставщика удостоверений сторонних поставщиков удостоверений для управления условным доступом.

Примеры процедур

В следующих статьях приведены примеры процессов настройки поставщика удостоверений сторонних поставщиков удостоверений для работы с Defender for Cloud Apps.

• PingOne в качестве поставщика удостоверений
• службы федерации Active Directory (AD FS) (AD FS) в качестве поставщика удостоверений
• Okta в качестве поставщика удостоверений

Предварительные требования:

1. Убедитесь, что конфигурации брандмауэра разрешают трафик со всех IP-адресов, перечисленных в разделе Требования к сети.
2. Убедитесь, что приложение обладает полной цепочкой сертификатов. Неполные или частичные цепочки сертификатов могут привести к непредвиденному поведению в приложениях при мониторинге с помощью политик управления приложениями условного доступа.

Создание политики условного доступа Microsoft Entra ID

Чтобы политика доступа или сеанса работала, необходимо также иметь Microsoft Entra ID политику условного доступа, которая создает разрешения для управления трафиком.

Пример этого процесса мы встроим в документацию по созданию политики доступа и сеансов .

Дополнительные сведения см. в разделах Политики условного доступа и Создание политики условного доступа.

Создание политик доступа и сеансов

Убедившись, что ваши приложения подключены автоматически, так как они Microsoft Entra ID приложения или вручную, и вы получите политику условного доступа Microsoft Entra ID, вы можете продолжить создание политик доступа и сеансов для любого сценария.

Дополнительные сведения см. в разделе:

• Создание политики доступа Defender for Cloud Apps
• Создание политики сеанса Defender for Cloud Apps

Тестирование политик

Обязательно протестируйте политики и обновите все условия или параметры при необходимости. Дополнительные сведения см. в разделе:

• Тестирование политики доступа
• Тестирование политики сеанса

Связанные материалы

Дополнительные сведения см. в статье Защита приложений с помощью Microsoft Defender for Cloud Apps управления условным доступом.