Registrera icke-Microsoft IdP-katalogappar för appkontroll för villkorsstyrd åtkomst

Åtkomst- och sessionskontroller i Microsoft Defender för molnappar fungerar med både katalogappar och anpassade appar. Även om Microsoft Entra ID appar automatiskt registreras för att använda appkontrollen för villkorsstyrd åtkomst måste du registrera appen manuellt om du arbetar med en IdP som inte kommer från Microsoft.

Den här artikeln beskriver hur du konfigurerar din IdP så att den fungerar med Defender for Cloud Apps. När du integrerar din IdP med Defender for Cloud Apps registreras automatiskt alla katalogappar från din IdP för appkontroll för villkorsstyrd åtkomst.

Förhandskrav

• Din organisation måste ha följande licenser för att använda appkontrollen för villkorsstyrd åtkomst:

  • Den licens som krävs av identitetsproviderns (IdP)-lösning
  • Microsoft Defender for Cloud Apps

• Appar måste konfigureras med enkel inloggning

• Appar måste konfigureras med SAML 2.0-autentiseringsprotokollet.

För att kunna utföra och testa procedurerna i den här artikeln måste du ha en konfigurerad sessions- eller åtkomstprincip. Mer information finns i:

• Skapa Microsoft Defender for Cloud Apps åtkomstprinciper
• Skapa Microsoft Defender for Cloud Apps sessionsprinciper

Konfigurera din IdP så att den fungerar med Defender for Cloud Apps

Den här proceduren beskriver hur du dirigerar appsessioner från andra IdP-lösningar till Defender for Cloud Apps.

Tips

Följande artiklar innehåller detaljerade exempel på den här proceduren:

• Konfigurera din PingOne-IdP
• Konfigurera AD FS IdP
• Konfigurera okta-IdP:t

Så här konfigurerar du din IdP så att den fungerar med Defender for Cloud Apps:

1. I Microsoft Defender XDR väljer du Inställningar Molnappar >> Anslutna appar > Appkontrollappar för villkorsstyrd åtkomst.

2. På sidan Appkontrollappar för villkorsstyrd åtkomst väljer du + Lägg till.

3. I dialogrutan Lägg till ett SAML-program med din identitetsprovider väljer du listrutan Sök efter en app och väljer sedan den app som du vill distribuera. När appen är vald väljer du Starta guiden.

4. På guidens appinformationssida laddar du antingen upp en metadatafil från din app eller anger appdata manuellt.

   Se till att ange följande information:

   • URL:en för konsumenttjänsten för försäkran. Det här är den URL som appen använder för att ta emot SAML-intyg från din IdP.
   • Ett SAML-certifikat, om din app tillhandahåller ett. I sådana fall väljer du Använd ... SAML-certifikatalternativ och ladda sedan upp certifikatfilen.

   När du är klar väljer du Nästa för att fortsätta.

5. På guidens sida IDENTITETSPROVIDER följer du anvisningarna för att konfigurera en ny anpassad app i IdP-portalen.

   Obs!

   De steg som krävs kan variera beroende på din IdP. Vi rekommenderar att du utför den externa konfigurationen enligt beskrivningen av följande orsaker:

   • Vissa identitetsprovidrar tillåter inte att du ändrar SAML-attribut eller URL-egenskaper för ett galleri/katalogprogram.
   • När du konfigurerar en anpassad app kan du testa appen med Defender for Cloud Apps åtkomst- och sessionskontroller, utan att ändra organisationens befintliga konfigurerade beteende.

   Kopiera konfigurationsinformationen för enkel inloggning för appen för senare användning i den här proceduren. När du är klar väljer du Nästa för att fortsätta.

6. Fortsätt på sidan IDENTITETSPROVIDER i guiden, antingen ladda upp en metadatafil från din IdP eller ange appdata manuellt.

   Se till att ange följande information:

   • URL:en för tjänsten enkel inloggning. Det här är den URL som din IdP använder för att ta emot begäranden om enkel inloggning.
   • Ett SAML-certifikat, om din IdP tillhandahåller ett. I sådana fall väljer du alternativet Använd identitetsproviderns SAML-certifikat och laddar sedan upp certifikatfilen.

7. Om du fortsätter på sidan IDENTITETSPROVIDER i guiden kopierar du både URL:en för enkel inloggning och alla attribut och värden för senare användning i den här proceduren.

   När du är klar väljer du Nästa för att fortsätta.

8. Bläddra till IdP-portalen och ange de värden som du kopierade till IdP-konfigurationen. Normalt finns de här inställningarna i ditt IdP:s inställningsområde för anpassade appar.

   1. Ange appens url för enkel inloggning som du kopierade från föregående steg. Vissa leverantörer kan referera till url:en för enkel inloggning som svars-URL.

   2. Lägg till attributen och värdena som du kopierade från föregående steg till appens egenskaper. Vissa leverantörer kan referera till dem som användarattribut eller anspråk.

      Om dina attribut är begränsade till 1 024 tecken för nya appar skapar du först appen utan relevanta attribut och lägger till dem efteråt genom att redigera appen.

   3. Kontrollera att din namnidentifierare har formatet för en e-postadress.

   4. Spara inställningarna när du är klar.

9. I Defender for Cloud Apps kopierar du URL:en för enkel inloggning med SAML på sidan APPÄNDRINGAR i guiden och laddar ned Microsoft Defender for Cloud Apps SAML-certifikatet. URL:en för enkel inloggning med SAML är en anpassad URL för din app när den används med Defender for Cloud Apps appkontroll för villkorsstyrd åtkomst.

10. Bläddra till appens portal och konfigurera inställningarna för enkel inloggning på följande sätt:

    1. (Rekommenderas) Skapa en säkerhetskopiering av dina aktuella inställningar.
    2. Ersätt värdet för inloggnings-URL:en för identitetsprovidern med den Defender for Cloud Apps URL för enkel inloggning med SAML som du kopierade från föregående steg. Det specifika namnet för det här fältet kan variera beroende på din app.
    3. Ladda upp det Defender for Cloud Apps SAML-certifikat som du laddade ned i föregående steg.
    4. Spara ändringarna.

11. I guiden väljer du Slutför för att slutföra konfigurationen.

När du har sparat appens inställningar för enkel inloggning med de värden som har anpassats av Defender for Cloud Apps dirigeras alla associerade inloggningsbegäranden till appen via appkontrollen Defender for Cloud Apps och villkorsstyrd åtkomst.

Obs!

DEFENDER FOR CLOUD APPS SAML-certifikatet är giltigt i 1 år. När den har upphört att gälla måste du generera och ladda upp en ny.

Logga in på din app med en användare som är begränsad till principen

När du har skapat din åtkomst- eller sessionsprincip loggar du in på varje app som konfigurerats i principen. Kontrollera att du först har loggat ut från alla befintliga sessioner och att du loggar in med en användare som konfigurerats i principen.

Defender for Cloud Apps synkroniserar principinformationen till dess servrar för varje ny app som du loggar in på. Det kan ta upp till en minut.

Mer information finns i:

• Skapa Microsoft Defender for Cloud Apps åtkomstprinciper
• Skapa Microsoft Defender for Cloud Apps sessionsprinciper

Kontrollera att appar har konfigurerats för att använda åtkomst- och sessionskontroller

Den här proceduren beskriver hur du kontrollerar att dina appar har konfigurerats för att använda åtkomst- och sessionskontroller i Defender for Cloud Apps och konfigurera dessa inställningar om det behövs.

Obs!

Du kan inte ta bort sessionskontrollinställningar för en app, men inget beteende ändras förrän du har konfigurerat en sessions- eller åtkomstprincip för appen.

1. I Microsoft Defender XDR väljer du Inställningar > Molnappar > Anslutna appar > Appkontrollappar för villkorsstyrd åtkomst.

2. I tabellen appar söker du efter din app och kontrollerar kolumnvärdet för IDP-typen . Kontrollera att icke-MS-autentiseringsappen och sessionskontrollen visas för din app.

Relaterat innehåll

• Skydda appar med Microsoft Defender for Cloud Apps appkontroll för villkorsstyrd åtkomst
• Distribuera appkontroll för villkorsstyrd åtkomst för anpassade appar med identitetsprovidrar som inte kommer från Microsoft
• Felsöka åtkomst- och sessionskontroller

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.