Registrera anpassade IdP-appar som inte kommer från Microsoft för appkontroll för villkorsstyrd åtkomst

Åtkomst- och sessionskontroller i Microsoft Defender för molnappar fungerar med både katalogappar och anpassade appar. Även om Microsoft Entra ID appar automatiskt registreras för att använda appkontrollen för villkorsstyrd åtkomst måste du registrera appen manuellt om du arbetar med en IdP som inte kommer från Microsoft.

Den här artikeln beskriver hur du både konfigurerar din IdP så att den fungerar med Defender for Cloud Apps och sedan även registrerar varje anpassad app manuellt. Katalogappar från en icke-Microsoft-IdP registreras däremot automatiskt när du konfigurerar integreringen mellan din IdP och Defender for Cloud Apps.

Förhandskrav

• Din organisation måste ha följande licenser för att använda appkontrollen för villkorsstyrd åtkomst:

  • Den licens som krävs av identitetsproviderns (IdP)-lösning
  • Microsoft Defender for Cloud Apps

• Appar måste konfigureras med enkel inloggning

• Appar måste konfigureras med SAML 2.0-autentiseringsprotokollet.

Lägga till administratörer i din app onboarding/maintenance-lista

1. I Microsoft Defender XDR väljer du Inställningar Cloud > Apps > Villkorlig åtkomst Appkontroll > App onboarding/maintenance.

2. Ange användarnamn eller e-postmeddelanden för alla användare som ska registrera din app och välj sedan Spara.

Mer information finns i Diagnostisera och felsöka med verktygsfältet Admin Visa.

Konfigurera din IdP så att den fungerar med Defender for Cloud Apps

Den här proceduren beskriver hur du dirigerar appsessioner från andra IdP-lösningar till Defender for Cloud Apps.

Tips

Följande artiklar innehåller detaljerade exempel på den här proceduren:

• Konfigurera din PingOne-IdP
• Konfigurera AD FS IdP
• Konfigurera okta-IdP:t

Så här konfigurerar du din IdP så att den fungerar med Defender for Cloud Apps:

1. I Microsoft Defender XDR väljer du Inställningar Molnappar >> Anslutna appar > Appkontrollappar för villkorsstyrd åtkomst.

2. På sidan Appkontrollappar för villkorsstyrd åtkomst väljer du + Lägg till.

3. I dialogrutan Lägg till ett SAML-program med din identitetsprovider väljer du listrutan Sök efter en app och väljer sedan den app som du vill distribuera. När appen är vald väljer du Starta guiden.

4. På guidens appinformationssida laddar du antingen upp en metadatafil från din app eller anger appdata manuellt.

   Se till att ange följande information:

   • URL:en för konsumenttjänsten för försäkran. Det här är den URL som appen använder för att ta emot SAML-intyg från din IdP.
   • Ett SAML-certifikat, om din app tillhandahåller ett. I sådana fall väljer du Använd ... SAML-certifikatalternativ och ladda sedan upp certifikatfilen.

   När du är klar väljer du Nästa för att fortsätta.

5. På guidens sida IDENTITETSPROVIDER följer du anvisningarna för att konfigurera en ny anpassad app i IdP-portalen.

   Obs!

   De steg som krävs kan variera beroende på din IdP. Vi rekommenderar att du utför den externa konfigurationen enligt beskrivningen av följande orsaker:

   • Vissa identitetsprovidrar tillåter inte att du ändrar SAML-attribut eller URL-egenskaper för ett galleri/katalogprogram.
   • När du konfigurerar en anpassad app kan du testa appen med Defender for Cloud Apps åtkomst- och sessionskontroller, utan att ändra organisationens befintliga konfigurerade beteende.

   Kopiera konfigurationsinformationen för enkel inloggning för appen för senare användning i den här proceduren. När du är klar väljer du Nästa för att fortsätta.

6. Fortsätt på sidan IDENTITETSPROVIDER i guiden, antingen ladda upp en metadatafil från din IdP eller ange appdata manuellt.

   Se till att ange följande information:

   • URL:en för tjänsten enkel inloggning. Det här är den URL som din IdP använder för att ta emot begäranden om enkel inloggning.
   • Ett SAML-certifikat, om din IdP tillhandahåller ett. I sådana fall väljer du alternativet Använd identitetsproviderns SAML-certifikat och laddar sedan upp certifikatfilen.

7. Om du fortsätter på sidan IDENTITETSPROVIDER i guiden kopierar du både URL:en för enkel inloggning och alla attribut och värden för senare användning i den här proceduren.

   När du är klar väljer du Nästa för att fortsätta.

8. Bläddra till IdP-portalen och ange de värden som du kopierade till IdP-konfigurationen. Normalt finns de här inställningarna i ditt IdP:s inställningsområde för anpassade appar.

   1. Ange appens url för enkel inloggning som du kopierade från föregående steg. Vissa leverantörer kan referera till url:en för enkel inloggning som svars-URL.

   2. Lägg till attributen och värdena som du kopierade från föregående steg till appens egenskaper. Vissa leverantörer kan referera till dem som användarattribut eller anspråk.

      Om dina attribut är begränsade till 1 024 tecken för nya appar skapar du först appen utan relevanta attribut och lägger till dem efteråt genom att redigera appen.

   3. Kontrollera att din namnidentifierare har formatet för en e-postadress.

   4. Spara inställningarna när du är klar.

9. I Defender for Cloud Apps kopierar du URL:en för enkel inloggning med SAML på sidan APPÄNDRINGAR i guiden och laddar ned Microsoft Defender for Cloud Apps SAML-certifikatet. URL:en för enkel inloggning med SAML är en anpassad URL för din app när den används med Defender for Cloud Apps appkontroll för villkorsstyrd åtkomst.

10. Bläddra till appens portal och konfigurera inställningarna för enkel inloggning på följande sätt:

    1. (Rekommenderas) Skapa en säkerhetskopia av dina aktuella inställningar.
    2. Ersätt värdet för inloggnings-URL:en för identitetsprovidern med den Defender for Cloud Apps URL för enkel inloggning med SAML som du kopierade från föregående steg. Det specifika namnet för det här fältet kan variera beroende på din app.
    3. Ladda upp det Defender for Cloud Apps SAML-certifikat som du laddade ned i föregående steg.
    4. Spara ändringarna.

11. I guiden väljer du Slutför för att slutföra konfigurationen.

När du har sparat appens inställningar för enkel inloggning med de värden som har anpassats av Defender for Cloud Apps dirigeras alla associerade inloggningsbegäranden till appen via appkontrollen Defender for Cloud Apps och villkorsstyrd åtkomst.

Obs!

DEFENDER FOR CLOUD APPS SAML-certifikatet är giltigt i 1 år. När den har upphört att gälla måste du generera en ny.

Registrera din app för appkontroll för villkorsstyrd åtkomst

Om du arbetar med en anpassad app som inte fylls i automatiskt i appkatalogen måste du lägga till den manuellt.

Så här kontrollerar du om din app redan har lagts till:

1. I Microsoft Defender XDR väljer du Inställningar > Molnappar > Anslutna appar > Appkontrollappar för villkorsstyrd åtkomst.

2. Välj listrutan App: Välj appar... för att söka efter din app.

Om din app redan visas fortsätter du med proceduren för katalogappar i stället.

Så här lägger du till din app manuellt:

1. Om du har nya appar visas en banderoll överst på sidan som meddelar dig att du har nya appar att registrera. Välj länken Visa nya appar för att se dem.

2. I dialogrutan Identifierade Azure AD appar letar du reda på din app, till exempel av värdet för inloggnings-URL. + Välj knappen och sedan Lägg till för att publicera den som en anpassad app.

Installera rotcertifikat

Kontrollera att du använder rätt aktuella CA - eller nästa CA-certifikat för var och en av dina appar.

Om du vill installera dina certifikat upprepar du följande steg för varje certifikat:

1. Öppna och installera certifikatet och välj antingen Aktuell användare eller Lokal dator.

2. När du uppmanas att ange var du vill placera dina certifikat bläddrar du till Betrodda rotcertifikatutfärdare.

3. Välj OK och Slutför efter behov för att slutföra proceduren.

4. Starta om webbläsaren, öppna appen igen och välj Fortsätt när du uppmanas till det.

5. I Microsoft Defender XDR väljer du Inställningar > Molnappar > Anslutna appar > Appkontrollappar för villkorsstyrd åtkomst och kontrollerar att din app fortfarande visas i tabellen.

Mer information finns i Appen visas inte på appkontrollappsidan för villkorsstyrd åtkomst.

Relaterat innehåll

• Skydda appar med Microsoft Defender for Cloud Apps appkontroll för villkorsstyrd åtkomst
• Distribuera appkontroll för villkorsstyrd åtkomst för katalogappar med ip-adresser som inte kommer från Microsoft
• Felsöka åtkomst- och sessionskontroller

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.