Подключение пользовательских приложений поставщика удостоверений сторонних поставщиков удостоверений для управления условным доступом

Элементы управления доступом и сеансами в Microsoft Defender для облачных приложений работают как с каталогом, так и с пользовательскими приложениями. Хотя Microsoft Entra ID приложения автоматически подключены к управлению условным доступом к приложениям, если вы работаете с поставщиком удостоверений, не являющихся поставщиком удостоверений Майкрософт, вам потребуется подключить приложение вручную.

В этой статье описывается настройка поставщика удостоверений для работы с Defender for Cloud Apps, а также подключение каждого пользовательского приложения вручную. В отличие от этого, приложения каталога из поставщика удостоверений, отличного от Майкрософт, автоматически добавляются при настройке интеграции между поставщиком удостоверений и Defender for Cloud Apps.

Предварительные условия

• Ваша организация должна иметь следующие лицензии для использования управления условным доступом к приложениям:

  • Лицензия, необходимая для решения поставщика удостоверений (IdP)
  • Microsoft Defender for Cloud Apps

• Для приложений необходимо настроить единый вход.

• Приложения должны быть настроены с использованием протокола проверки подлинности SAML 2.0.

Добавление администраторов в список подключений и обслуживания приложений

1. В Microsoft Defender XDR выберите Параметры Облачные > приложения > с условным доступом Управление приложениями > подключение и обслуживание.

2. Введите имена пользователей или адреса электронной почты всех пользователей, которые будут подключены к вашему приложению, а затем нажмите кнопку Сохранить.

Дополнительные сведения см. в статье Диагностика и устранение неполадок с помощью панели инструментов Администратор Вид.

Настройка поставщика удостоверений для работы с Defender for Cloud Apps

В этой процедуре описывается маршрутизация сеансов приложений из других решений поставщика удостоверений на Defender for Cloud Apps.

Совет

В следующих статьях приведены подробные примеры этой процедуры.

• Настройка поставщика pingOne
• Настройка поставщика удостоверений AD FS
• Настройка поставщика удостоверений Okta

Чтобы настроить поставщика удостоверений для работы с Defender for Cloud Apps:

1. В Microsoft Defender XDR выберите Параметры Облачные > приложения > Подключенные приложения > для управления условным доступом к приложениям.

2. На странице Приложений управления условным доступом выберите + Добавить.

3. В диалоговом окне Добавление приложения SAML с поставщиком удостоверений выберите раскрывающийся список Поиск приложения , а затем выберите приложение, которое требуется развернуть. Выбрав приложение, выберите Запустить мастер.

4. На странице сведения о приложении мастера отправьте файл метаданных из приложения или введите данные приложения вручную.

   Обязательно укажите следующие сведения:

   • URL-адрес службы потребителя утверждений. Это URL-адрес, который приложение использует для получения утверждений SAML от поставщика удостоверений.
   • Сертификат SAML, если приложение предоставляет его. В таких случаях выберите Использовать ... Параметр сертификата SAML , а затем отправьте файл сертификата.

   По завершении нажмите кнопку Далее , чтобы продолжить.

5. На странице IDENTITY PROVIDER мастера следуйте инструкциям, чтобы настроить новое пользовательское приложение на портале поставщика удостоверений.

   Примечание.

   Требуемые действия могут отличаться в зависимости от поставщика удостоверений. Мы рекомендуем выполнить внешнюю настройку, как описано, по следующим причинам:

   • Некоторые поставщики удостоверений не позволяют изменять атрибуты SAML или свойства URL-адреса приложения коллекции или каталога.
   • При настройке пользовательского приложения можно протестировать приложение с помощью Defender for Cloud Apps управления доступом и сеансом, не изменяя существующее настроенное поведение организации.

   Скопируйте сведения о конфигурации единого входа приложения, чтобы использовать их позже в этой процедуре. По завершении нажмите кнопку Далее , чтобы продолжить.

6. Продолжая работу на странице IDENTITY PROVIDER мастера, отправьте файл метаданных из поставщика удостоверений или введите данные приложения вручную.

   Обязательно укажите следующие сведения:

   • URL-адрес службы единого входа. Это URL-адрес, который поставщик удостоверений использует для получения запросов единого входа.
   • Сертификат SAML, если он предоставляется поставщиком удостоверений. В таких случаях выберите параметр Использовать сертификат SAML поставщика удостоверений и отправьте файл сертификата.

7. На странице IDENTITY PROVIDER мастера скопируйте URL-адрес единого входа, а также все атрибуты и значения для последующего использования в этой процедуре.

   По завершении нажмите кнопку Далее , чтобы продолжить.

8. Перейдите на портал поставщика удостоверений и введите значения, скопированные в конфигурацию поставщика удостоверений. Как правило, эти параметры находятся в области настраиваемых параметров приложения поставщика удостоверений.

   1. Введите URL-адрес единого входа приложения, скопированный на предыдущем шаге. Некоторые поставщики могут ссылаться на URL-адрес единого входа в качестве URL-адреса ответа.

   2. Добавьте атрибуты и значения, скопированные на предыдущем шаге, в свойства приложения. Некоторые поставщики могут называть их атрибутами пользователя или утверждениями.

      Если атрибуты ограничены 1024 символами для новых приложений, сначала создайте приложение без соответствующих атрибутов, а затем добавьте их, изменив приложение.

   3. Убедитесь, что идентификатор вашего имени имеет формат адреса электронной почты.

   4. По завершении обязательно сохраните параметры.

9. В Defender for Cloud Apps на странице ИЗМЕНЕНИЯ ПРИЛОЖЕНИЯ мастера скопируйте URL-адрес единого входа SAML и скачайте сертификат SAML Microsoft Defender for Cloud Apps. URL-адрес единого входа SAML — это настраиваемый URL-адрес приложения при использовании с элементом управления Defender for Cloud Apps условным доступом.

10. Перейдите на портал приложения и настройте параметры единого входа следующим образом:

    1. (Рекомендуется) Создайте резервную копию текущих параметров.
    2. Замените значение поля "URL-адрес входа поставщика удостоверений" Defender for Cloud Apps URL-адресом единого входа SAML, скопированным на предыдущем шаге. Конкретное имя этого поля может отличаться в зависимости от вашего приложения.
    3. Отправьте сертификат SAML Defender for Cloud Apps, скачанный на предыдущем шаге.
    4. Обязательно сохраните изменения.

11. В мастере нажмите кнопку Готово , чтобы завершить настройку.

После сохранения параметров единого входа приложения со значениями, настроенными Defender for Cloud Apps, все связанные запросы на вход в приложение перенаправляются с помощью Defender for Cloud Apps и элемента управления условным доступом.

Примечание.

Сертификат SAML Defender for Cloud Apps действителен в течение 1 года. По истечении срока действия необходимо создать новый.

Подключение приложения для управления условным доступом

Если вы работаете с пользовательским приложением, которое не заполняется автоматически в каталоге приложений, необходимо добавить его вручную.

Чтобы проверка, если приложение уже добавлено:

1. В Microsoft Defender XDR выберите Параметры > Облачные приложения > Подключенные приложения > Условный доступ к приложениям управления приложениями.

2. Выберите раскрывающееся меню Приложение: выберите приложения... для поиска приложения.

Если приложение уже указано в списке, перейдите к процедуре для приложений каталога.

Чтобы добавить приложение вручную, выполните приведенные далее действия.

1. Если у вас есть новые приложения, в верхней части страницы появится баннер с уведомлением о том, что у вас есть новые приложения для подключения. Щелкните ссылку Просмотреть новые приложения, чтобы просмотреть их.

2. В диалоговом окне Обнаруженные приложения Azure AD найдите свое приложение, например по значению URL-адрес входа. Нажмите кнопку + и выберите Добавить в подключение в качестве настраиваемого приложения.

Установка корневых сертификатов

Убедитесь, что вы используете правильные сертификаты текущего ЦС или Следующего ЦС для каждого из ваших приложений.

Чтобы установить сертификаты, повторите следующий шаг для каждого сертификата:

1. Откройте и установите сертификат, выбрав Текущий пользователь или Локальный компьютер.

2. При появлении запроса на размещение сертификатов перейдите к доверенным корневым центрам сертификации.

3. Нажмите кнопки ОК и Готово , чтобы завершить процедуру.

4. Перезапустите браузер, снова откройте приложение и при появлении запроса нажмите кнопку Продолжить .

5. В Microsoft Defender XDR выберите Параметры Облачные > приложения > Подключенные приложения > для управления условным доступом к приложениям и убедитесь, что ваше приложение по-прежнему указано в таблице.

Дополнительные сведения см. в статье Приложение не отображается на странице приложений для управления условным доступом.

Связанные материалы

• Защита приложений с помощью Microsoft Defender for Cloud Apps управления условным доступом к приложениям
• Развертывание элемента управления условным доступом для приложений каталога с поставщиком удостоверений сторонних поставщиков удостоверений
• Устранение неполадок с элементами управления доступом и сеансами

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.