加入非 Microsoft IdP 自定义应用以进行条件访问应用控制

Microsoft Defender for Cloud Apps 中的访问和会话控制适用于目录应用和自定义应用两者。 虽然 Microsoft Entra ID 应用会自动加入以使用条件访问应用控制,但如果使用的是非Microsoft IdP,则需要手动加入应用。

本文介绍如何将 IdP 配置为使用 Defender for Cloud Apps,然后手动加入每个自定义应用。 相比之下,当配置 IdP 和 Defender for Cloud Apps 之间的集成时,来自非 Microsoft IdP 的目录应用将自动加入。

先决条件

  • 组织必须具有以下许可证才能使用条件访问应用控制:

    • 标识提供者 (IdP) 解决方案所需的许可证
    • Microsoft Defender for Cloud Apps
  • 应用必须配置单一登录

  • 应用必须配置 SAML 2.0 身份验证协议。

将管理员添加到应用加入/维护列表

  1. 在 Microsoft Defender XDR 中,选择设置 > 云应用 > 条件访问应用控制 >应用加入/维护

  2. 输入要加入应用的任何用户的用户名或电子邮件,然后选择保存

有关详细信息,请参阅使用“管理员视图”工具栏诊断和故障排除

将 IdP 配置为使用 Defender for Cloud Apps

此过程介绍如何将应用会话从其他 IdP 解决方案路由到 Defender for Cloud Apps。

提示

以下文章提供了此过程的详细示例:

将 IdP 配置为使用 Defender for Cloud Apps

  1. 在 Microsoft Defender XDR 中,选择设置 >云应用 > 已连接的应用 > 条件访问应用控制应用

  2. 条件访问应用控制应用页面上,选择 + 添加

  3. 使用标识提供者添加 SAML 应用程序对话框中,选择搜索应用下拉列表,然后选择要部署的应用。 选择应用后,选择启动向导

  4. 在向导的应用信息页上,从应用上传元数据文件或手动输入应用数据。

    请确保提供以下信息:

    • 断言使用者服务 URL。 这是应用用于从 IdP 接收 SAML 断言的 URL。
    • SAML 证书(如果应用提供)。 在这种情况下,请选择使用...SAML 证书选项,然后上传证书文件。

    完成后,选择下一步以继续。

  5. 在向导的标识提供者页上,按照说明在 IdP 的门户中设置新的自定义应用。

    注意

    所需的步骤可能会有所不同,具体取决于 IdP。 出于以下原因,建议按说明执行外部配置:

    • 某些标识提供者不允许更改图库/目录应用的 SAML 属性或 URL 属性。
    • 配置自定义应用时,可以使用 Defender for Cloud Apps 访问和会话控制测试应用,而无需更改组织的现有配置行为。

    复制应用的单一登录配置信息,以便在此过程的后面部分使用。 完成后,选择下一步以继续。

  6. 继续进入向导的标识提供者页面,从 IdP 上传元数据文件或手动输入应用数据。

    请确保提供以下信息:

    • 单一登录服务 URL。 这是 IdP 用于接收单一登录请求的 URL。
    • SAML 证书(如果 IdP 提供)。 在这种情况下,请选择使用标识提供者的 SAML 证书选项,然后上传证书文件。
  7. 继续进入向导的标识提供者页,复制单一登录 URL 和所有属性和值,以便在此过程的后面部分使用。

    完成后,选择“下一步”继续。

  8. 浏览到 IdP 的门户,并输入复制到 IdP 配置的值。 通常,这些设置位于 IdP 的自定义应用设置区域中。

    1. 输入从上一步复制的应用单一登录 URL。 某些提供程序可能会将单一登录 URL 称为回复 URL

    2. 将从上一步复制的属性和值添加到应用的属性中。 某些提供程序可能将其称为用户属性声明

      如果新应用的属性限制为 1024 个字符,请先创建不包含相关属性的应用,然后通过编辑应用添加这些属性。

    3. 验证名称标识符是否采用电子邮件地址格式。

    4. 完成后,确保保存设置。

  9. 返回 Defender for Cloud Apps,在向导的应用更改页上,复制 SAML 单一登录 URL,并下载 Microsoft Defender for Cloud Apps SAML 证书。 当与 Defender for Cloud Apps 条件访问应用控制一起使用时,SAML 单一登录 URL 是应用的自定义 URL。

  10. 浏览到应用的门户,并按如下方式配置单一登录设置:

    1. (建议)创建当前设置的备份。
    2. 将标识提供者登录 URL 字段值替换为从上一步复制的 Defender for Cloud Apps SAML 单一登录 URL。 此字段的特定名称可能有所不同,具体取决于你的应用。
    3. 上载在上一步中下载的 Defender for Cloud Apps SAML 证书。
    4. 确保保存所做的更改。
  11. 在向导中,选择完成以完成配置。

使用 Defender for Cloud Apps 自定义的值保存应用单一登录设置后,所有关联的登录请求都会通过 Defender for Cloud Apps 和条件访问应用控制进行路由。

注意

Defender for Cloud Apps SAML 证书的有效期为一年。 过期后,需要生成一个新证书。

加入应用以进行条件访问应用控制

如果使用的自定义应用不是在应用目录中自动填充的,则需要手动添加。

若要检查是否已添加应用,请执行以下操作:

  1. 在 Microsoft Defender XDR 中,选择设置 >云应用 > 已连接的应用 > 条件访问应用控制应用

  2. 选择应用:选择应用...下拉菜单,以搜索应用。

如果应用已列出,请改为继续执行目录应用的过程

若要手动添加应用,请执行以下操作:

  1. 如果你有新应用,你将在页面顶部看到一条横幅,通知你有新应用要加入。 选择查看新应用链接以查看它们。

  2. 发现的 Azure AD 应用对话框中,找到应用,例如登录 URL 值。 选择 + 按钮,然后将其添加,以将其作为自定义应用加入。

安装根证书

请确保为每个应用使用正确的当前 CA下一个 CA 证书。

若要安装证书,请为每个证书重复以下步骤:

  1. 打开并安装证书,选择当前用户本地计算机

  2. 当系统提示要放置证书的位置时,请浏览到受信任的根证书颁发机构

  3. 根据需要选择确定完成以完成该过程。

  4. 重启浏览器,再次打开应用,并在出现提示时选择继续

  5. 在 Microsoft Defender XDR 中,选择设置 > 云应用 >已连接的应用 > 条件访问应用控制应用,并确保应用仍列在表中。

有关详细信息,请参阅应用未在“条件访问应用控制应用”页上出现

如果遇到任何问题,我们可随时提供帮助。 要获取产品问题的帮助或支持,请开立支持票证