为条件访问应用控制载入非Microsoft IdP 自定义应用

Microsoft Defender for Cloud 应用中的访问和会话控制同时适用于目录应用和自定义应用。 虽然自动载入Microsoft Entra ID应用以使用条件访问应用控制，但如果使用的是非Microsoft IdP，则需要手动载入应用。

本文介绍如何将 IdP 配置为使用 Defender for Cloud Apps，以及如何手动载入每个自定义应用。 相比之下，配置 IdP 与 Defender for Cloud Apps 之间的集成时，会自动载入非Microsoft IdP 中的目录应用。

先决条件

• 组织必须具有以下许可证才能使用条件访问应用控制：

  • 标识提供者 (IdP) 解决方案所需的许可证
  • Microsoft Defender for Cloud Apps

• 应用必须配置单一登录

• 必须使用 SAML 2.0 身份验证协议配置应用。

将管理员添加到应用载入/维护列表

1. 在“Microsoft Defender XDR”中，选择“设置>”“云应用>条件访问应用控制>应用载入/维护”。

2. 输入将载入应用的任何用户的用户名或电子邮件，然后选择“ 保存”。

有关详细信息，请参阅使用管理员视图工具栏进行诊断和故障排除。

将 IdP 配置为使用 Defender for Cloud Apps

此过程介绍如何将应用会话从其他 IdP 解决方案路由到Defender for Cloud Apps。

提示

以下文章提供了此过程的详细示例：

• 配置 PingOne IdP
• 配置 AD FS IdP
• 配置 Okta IdP

若要将 IdP 配置为使用 Defender for Cloud Apps：

1. 在“Microsoft Defender XDR”中，选择“设置>云应用>连接应用>条件访问应用控制应用”。

2. 在 “条件访问应用控制应用 ”页中，选择“ + 添加”。

3. 在 “使用标识提供者添加 SAML 应用程序 ”对话框中，选择“ 搜索应用 ”下拉列表，然后选择要部署的应用。 选择应用后，选择 “开始向导”。

4. 在向导的“ 应用信息 ”页上，从应用上传元数据文件或手动输入应用数据。

   请确保提供以下信息：

   • 断言使用者服务 URL。 这是应用用于从 IdP 接收 SAML 断言的 URL。
   • 如果应用提供 SAML 证书，则为 。 在这种情况下，请选择“ 使用...”SAML 证书 选项，然后上传证书文件。

   完成后，选择“ 下一步 ”以继续。

5. 在向导的 “标识提供者 ”页上，按照说明在 IdP 的门户中设置新的自定义应用。

   注意

   所需步骤可能会有所不同，具体取决于 IdP。 出于以下原因，建议按说明执行外部配置：

   • 某些标识提供者不允许更改库/目录应用的 SAML 属性或 URL 属性。
   • 配置自定义应用时，可以使用Defender for Cloud Apps访问和会话控件测试应用，而无需更改组织的现有配置行为。

   复制应用的单一登录配置信息，以便在此过程的后面部分使用。 完成后，选择“ 下一步 ”以继续。

6. 继续在向导的 “标识提供者 ”页上，从 IdP 上传元数据文件或手动输入应用数据。

   请确保提供以下信息：

   • 单一登录服务 URL。 这是 IdP 用于接收单一登录请求的 URL。
   • 如果 IdP 提供 SAML 证书，则为 。 在这种情况下，请选择“ 使用标识提供者的 SAML 证书 ”选项，然后上传证书文件。

7. 继续在向导的 “标识提供程序 ”页上复制单一登录 URL 以及所有属性和值，供稍后在此过程中使用。

   完成后，选择“ 下一步 ”以继续。

8. 浏览到 IdP 的门户，并输入已复制到 IdP 配置的值。 通常，这些设置位于 IdP 的自定义应用设置区域中。

   1. 输入从上一步复制的应用单一登录 URL。 某些提供程序可能会将单一登录 URL 称为 “回复 URL”。

   2. 将上一步中复制的属性和值添加到应用的属性。 某些提供程序可能会将它们称为 用户属性 或 声明。

      如果新应用的属性限制为 1024 个字符，请先创建没有相关属性的应用，然后通过编辑应用将其添加到中。

   3. 验证名称标识符的格式是否为电子邮件地址。

   4. 完成后，请务必保存设置。

9. 返回到 Defender for Cloud Apps，在向导的“应用更改”页上，复制 SAML 单一登录 URL 并下载Microsoft Defender for Cloud Apps SAML 证书。 与 Defender for Cloud Apps 条件访问应用控件一起使用时，SAML 单一登录 URL 是应用的自定义 URL。

10. 浏览到应用的门户并配置单一登录设置，如下所示：

    1. (建议) 创建当前设置的备份。
    2. 将标识提供者登录 URL 字段值替换为从上一步复制的 Defender for Cloud Apps SAML 单一登录 URL。 此字段的特定名称可能会有所不同，具体取决于你的应用。
    3. 上传在上一步中下载的Defender for Cloud Apps SAML 证书。
    4. 请确保保存更改。

11. 在向导中，选择“ 完成 ”以完成配置。

使用Defender for Cloud Apps自定义的值保存应用的单一登录设置后，将通过Defender for Cloud Apps和条件访问应用控制路由到应用的所有关联的登录请求。

注意

Defender for Cloud Apps SAML 证书的有效期为 1 年。 过期后，需要生成一个新。

载入应用以用于条件访问应用控制

如果你使用的是未在应用目录中自动填充的自定义应用，则需要手动添加它。

若要检查是否已添加应用：

1. 在“Microsoft Defender XDR”中，选择“设置>云应用>连接应用>条件访问应用控制应用”。

2. 选择 “应用：选择应用...” 下拉菜单以搜索你的应用。

如果应用已列出，请改为继续执行 目录应用的过程。

若要手动添加应用，请执行以下操作：

1. 如果你有新应用，你将在页面顶部看到一个横幅，通知你有新应用要加入。 选择“ 查看新应用” 链接以查看它们。

2. 在“ 发现 Azure AD 应用 ”对话框中，通过 “登录 URL ”值查找应用。 选择按钮 + ，然后选择 “添加” 以将其加入为自定义应用。

安装根证书

请确保为每个应用使用正确的 当前 CA 或 下一个 CA 证书。

若要安装证书，请为每个证书重复以下步骤：

1. 打开并安装证书，选择“ 当前用户” 或“ 本地计算机”。

2. 当系统提示输入要放置证书的位置时，请浏览到 “受信任的根证书颁发机构”。

3. 根据需要选择“ 确定 ”和“ 完成” 以完成该过程。

4. 重启浏览器，再次打开应用，并在出现提示时选择“ 继续 ”。

5. 在“Microsoft Defender XDR”中，选择“设置>云应用>连接应用>条件访问应用控制应用”，并确保应用仍列在表中。

有关详细信息，请参阅 应用未显示在条件访问应用控制应用页上。

相关内容

• 使用Microsoft Defender for Cloud Apps条件访问应用控制保护应用
• 为具有非Microsoft IdP 的目录应用部署条件访问应用控件
• 排查访问和会话控制问题

如果你遇到任何问题，我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持，请 开具支持票证。