針對條件式存取應用程控將非Microsoft IdP 目錄應用程序上線

適用於雲端的 Microsoft Defender 應用程式中的存取和會話控件同時使用目錄和自定義應用程式。 雖然Microsoft Entra ID 應用程式會自動上線以使用條件式存取應用程控，但如果您使用非Microsoft IdP，則必須手動將應用程序上線。

本文說明如何設定IdP來處理 適用於雲端的 Defender Apps。 將 IdP 與 適用於雲端的 Defender Apps 整合時，會自動從 IdP 上線所有類別目錄應用程式，以進行條件式存取應用程式。

必要條件

• 您的組織必須具有下列授權，才能使用條件式存取應用程控：

  • 識別提供者 （IdP） 解決方案所需的授權
  • 適用於雲端應用程式的 Microsoft Defender

• 應用程式必須設定為單一登錄

• 應用程式必須使用 SAML 2.0 驗證通訊協定進行設定。

若要完整執行及測試本文中的程式，您必須設定會話或存取原則。 如需詳細資訊，請參閱

• 建立 適用於雲端的 Microsoft Defender 應用程式存取原則
• 建立 適用於雲端的 Microsoft Defender 應用程式會話原則

將您的 IdP 設定為使用 適用於雲端的 Defender Apps

此程式描述如何將應用程式會話從其他 IdP 解決方案路由傳送至 適用於雲端的 Defender Apps。

提示

下列文章提供此程式的詳細範例：

• 設定 PingOne IdP
• 設定 AD FS IdP
• 設定Okta IdP

若要將IdP設定為使用 適用於雲端的 Defender Apps：

1. 在 Microsoft Defender 全面偵測回應 中，選取 [設定>雲端應用程式連線的應用程式>>] [條件式存取應用程控應用程式]。

2. 在 [條件式 存取應用程控應用程式] 頁面中，選取 [ + 新增]。

3. 在 [ 新增 SAML 應用程式與識別提供者 ] 對話框中，選取 [搜尋應用程式 ] 下拉式清單，然後選取您要部署的應用程式。 選取您的應用程式後，選取 [ 開始精靈]。

4. 在精靈的 [應用程式資訊] 頁面上，從您的應用程式上傳元數據檔案，或手動輸入應用程式數據。

   請務必提供下列資訊：

   • 判斷提示取 用者服務 URL。 這是您的應用程式用來從 IdP 接收 SAML 判斷提示的 URL。
   • 如果您的應用程式提供 SAML 憑證，則為 。 在這種情況下，請選取 [使用... ]SAML 憑證 選項，然後上傳憑證檔案。

   完成後，請選取 [下一步 ] 繼續。

5. 在精靈的 IDENTITY PROVIDER 頁面上，依照指示在 IdP 的入口網站中設定新的自定義應用程式。

   注意

   視您的 IdP 而定，所需的步驟可能會有所不同。 基於下列原因，建議您執行外部組態：

   • 某些識別提供者不允許您變更資源庫/目錄應用程式的 SAML 屬性或 URL 屬性。
   • 當您設定自定義應用程式時，您可以使用 適用於雲端的 Defender Apps 存取和工作階段控制項來測試應用程式，而不需要變更組織現有的設定行為。

   複製應用程式的單一登錄組態資訊，以供稍後在此程式中使用。 完成後，請選取 [下一步 ] 繼續。

6. 繼續在 精靈的 [識別提供者 ] 頁面上，從IdP上傳元數據檔案，或手動輸入應用程式數據。

   請務必提供下列資訊：

   • 單一登錄服務 URL。 這是IdP用來接收單一登錄要求的URL。
   • 如果您的 IdP 提供 SAML 憑證， 則為 。 在這種情況下，請選取 [ 使用識別提供者的 SAML 憑證 ] 選項，然後上傳憑證檔案。

7. 在精靈的 [ IDENTITY PROVIDER ] 頁面上繼續，複製單一登錄 URL 和所有屬性和值，以供稍後在此程式中使用。

   完成時，請選取 [下一步 ] 繼續。

8. 流覽至您的 IdP 入口網站，並輸入您複製到 IdP 設定的值。 這些設定通常位於IdP的自訂應用程式設定區域中。

   1. 輸入您從上一個步驟複製的應用程式單一登錄URL。 某些提供者可能會將單一登錄 URL 稱為回復 URL。

   2. 將您從上一個步驟複製的屬性和值新增至應用程式的屬性。 某些提供者可能會將其 稱為用戶屬性 或 宣告。

      如果您的屬性限制為 1024 個字元的新應用程式，請先建立沒有相關屬性的應用程式，然後編輯應用程式以新增這些屬性。

   3. 確認您的名稱識別碼格式為電子郵件位址。

   4. 當您完成時，請務必儲存您的設定。

9. 回到 適用於雲端的 Defender 應用程式，在精靈的 [應用程式變更] 頁面上，複製 SAML 單一登錄 URL，並下載 適用於雲端的 Microsoft Defender 應用程式 SAML 憑證。 SAML 單一登錄 URL 是與 適用於雲端的 Defender Apps 條件式存取應用程控搭配使用時，應用程式的自定義 URL。

10. 瀏覽至應用程式的入口網站，並設定您的單一登入設定，如下所示：

    1. （建議）建立目前設定的備份。
    2. 將識別提供者登入 URL 域值取代為您從上一個步驟複製的 適用於雲端的 Defender Apps SAML 單一登錄 URL。 視您的應用程式而定，此欄位的特定名稱可能會有所不同。
    3. 上傳您在上一個步驟中下載的 適用於雲端的 Defender Apps SAML 憑證。
    4. 請務必儲存變更。

11. 在精靈中，選取 [ 完成 ] 以完成設定。

使用 適用於雲端的 Defender Apps 自定義的值來儲存應用程式的單一登錄設定之後，所有相關聯的登入要求都會透過 適用於雲端的 Defender 應用程式與條件式存取應用程控路由傳送。

注意

適用於雲端的 Defender Apps SAML 憑證的有效期限為 1 年。 到期之後，您必須產生並上傳新的。

使用範圍設定為原則的使用者登入您的應用程式

建立存取或會話原則之後，請登入原則中設定的每個應用程式。 請確定您已先註銷所有現有的工作階段，並使用原則中設定的使用者登入。

適用於雲端的 Defender 應用程式會將原則詳細數據與您登入的每個新應用程式同步處理至其伺服器。 最多可能需要一分鐘。

如需詳細資訊，請參閱

• 建立 適用於雲端的 Microsoft Defender 應用程式存取原則
• 建立 適用於雲端的 Microsoft Defender 應用程式會話原則

確認應用程式已設定為使用存取和會話控制項

此程式說明如何確認您的應用程式已設定為在 適用於雲端的 Defender Apps 中使用存取和會話控件，並視需要設定這些設定。

注意

雖然您無法移除應用程式的會話控制設定，但在您為應用程式設定會話或存取原則之前，不會變更任何行為。

1. 在 Microsoft Defender 全面偵測回應 中，選取 [設定雲端應用程式>連線的應用程式>] [條件式存取應用程控應用程式>]。

2. 在應用程式資料表中，搜尋您的應用程式，並檢查 IDP類型 資料行值。 請確定您的應用程式會出現非 MS 驗證應用程式和工作階段控制項。

相關內容

• 使用 適用於雲端的 Microsoft Defender 應用程式條件式存取應用程控來保護應用程式
• 為具有非Microsoft識別提供者的自定義應用程式部署條件式存取應用程控
• 針對存取和會話控件進行疑難解答

如果您遇到任何問題，我們會在這裡提供説明。 若要取得產品問題的協助或支援，請 開啟支援票證。