將非Microsoft IdP 目錄應用程式上線以進行條件式存取應用程控

雲端應用程式 Microsoft Defender 中的存取和會話控件同時適用於目錄和自定義應用程式。 雖然 Microsoft Entra ID 應用程式會自動上線以使用條件式存取應用程控，但如果您使用非Microsoft IdP，則必須手動將應用程式上線。

本文說明如何設定IdP以使用 Defender for Cloud Apps。 整合 IdP 與 Defender for Cloud Apps 會自動將來自 IdP 的所有目錄應用程式上線以進行條件式存取應用程控。

必要條件

• 您的組織必須具有下列授權，才能使用條件式存取應用程控：

  • 身分識別提供者 (IdP) 解決方案所需的授權
  • Microsoft Defender for Cloud Apps

• 應用程式必須設定單一登錄

• 應用程式必須使用 SAML 2.0 驗證通訊協議來設定。

若要完整執行和測試本文中的程式，您必須設定會話或存取原則。 如需詳細資訊，請參閱：

• 建立 Microsoft Defender for Cloud Apps 存取原則
• 建立 Microsoft Defender for Cloud Apps會話原則

設定 IdP 以使用 Defender for Cloud Apps

此程式描述如何將應用程式會話從其他 IdP 解決方案路由傳送至 Defender for Cloud Apps。

提示

下列文章提供此程式的詳細範例：

• 設定 PingOne IdP
• 設定 AD FS IdP
• 設定Okta IdP

若要設定 IdP 以使用 Defender for Cloud Apps：

1. 在 [Microsoft Defender 全面偵測回應] 中，選取 > [設定雲端應用程式連線應用程式>>條件式存取應用程控應用程式]。

2. 在 [ 條件式存取應用程控應用程式 ] 頁面中，選取 [ + 新增]。

3. 在 [ 使用您的識別提供者新增 SAML 應用程式] 對話框中，選取 [ 搜尋應用程式 ] 下拉式清單，然後選取您要部署的應用程式。 選取您的應用程式後，選取 [ 啟動精靈]。

4. 在精靈的 [應用程式資訊 ] 頁面上，從您的應用程式上傳元數據檔案，或手動輸入應用程式數據。

   請務必提供下列資訊：

   • 判斷 提示取用者服務 URL。 這是您的應用程式用來從 IdP 接收 SAML 判斷提示的 URL。
   • 如果您的應用程式提供 SAML 憑證，則為 SAML 憑證。 在這種情況下，請選取 [使用...]SAML 憑證 選項，然後上傳憑證檔案。

   當您完成時，請選取 [下一步 ] 繼續。

5. 在精靈的 [ 識別提供者 ] 頁面上，依照指示在IdP的入口網站中設定新的自定義應用程式。

   注意事項

   所需的步驟可能會有所不同，視您的 IdP 而定。 基於下列原因，建議您執行外部設定：

   • 某些識別提供者不允許您變更資源庫/目錄應用程式的 SAML 屬性或 URL 屬性。
   • 當您設定自定義應用程式時，您可以使用 Defender for Cloud Apps 存取和會話控制來測試應用程式，而不需要變更組織現有的設定行為。

   複製應用程式的單一登錄設定資訊，以供稍後在此程式中使用。 當您完成時，請選取 [下一步 ] 繼續。

6. 繼續在精靈的 [ 識別提供者 ] 頁面上，從您的IdP上傳元數據檔案，或手動輸入應用程式數據。

   請務必提供下列資訊：

   • 單一登錄服務 URL。 這是您的 IdP 用來接收單一登錄要求的 URL。
   • 如果您的 IdP 提供 SAML 憑證，則為 SAML 憑證。 在這種情況下，請選取 [ 使用識別提供者的 SAML 憑證 ] 選項，然後上傳憑證檔案。

7. 繼續在精靈的 [ 識別提供者 ] 頁面上，複製單一登錄 URL 以及所有屬性和值，以供稍後在此程式中使用。

   當您完成時，請選取 [下一步 ] 繼續。

8. 流覽至 IdP 的入口網站，然後輸入您複製到 IdP 設定的值。 一般而言，這些設定會在IdP的自訂應用程式設定區域中找到。

   1. 輸入您從上一個步驟複製的應用程式單一登錄URL。 某些提供者可能會將單一登錄 URL 稱為 「回復 URL」。

   2. 將您從上一個步驟複製的屬性和值新增至應用程式的屬性。 某些提供者可能會將它們稱為 用戶屬性 或 宣告。

      如果新應用程式的屬性限制為 1024 個字元，請先建立沒有相關屬性的應用程式，然後編輯應用程式將其新增至 。

   3. 確認您的名稱識別碼是電子郵件位址的格式。

   4. 完成時，請務必儲存您的設定。

9. 回到 Defender for Cloud Apps，在精靈的 [應用程式變更] 頁面上，複製 SAML 單一登錄 URL 並下載 Microsoft Defender for Cloud Apps SAML 憑證。 SAML 單一登錄 URL 是與條件式存取應用程控搭配使用時，應用程式的自定義 URL Defender for Cloud Apps。

10. 瀏覽至應用程式的入口網站，並設定您的單一登入設定，如下所示：

    1. (建議) 建立目前設定的備份。
    2. 以您從上一個步驟複製的 Defender for Cloud Apps SAML 單一登錄 URL 取代識別提供者登入 URL 域值。 視您的應用程式而定，此欄位的特定名稱可能會有所不同。
    3. 上傳您在上一個步驟中下載 Defender for Cloud Apps SAML 憑證。
    4. 請務必儲存您的變更。

11. 在精靈中，選取 [完成 ] 以完成設定。

將應用程式的單一登錄設定與 Defender for Cloud Apps 自定義的值一起儲存之後，所有對應用程式的相關聯登入要求都會透過 Defender for Cloud Apps 和條件式存取應用程控來路由傳送。

注意事項

Defender for Cloud Apps SAML 憑證的有效期為 1 年。 到期之後，您必須產生並上傳新的。

使用設定原則範圍的使用者登入您的應用程式

建立存取或會話原則之後，請登入原則中設定的每個應用程式。 請確定您已先註銷所有現有的工作階段，並使用原則中設定的使用者登入。

Defender for Cloud Apps 會針對您登入的每個新應用程式，將原則詳細數據同步至其伺服器。 這最多可能需要一分鐘的時間。

如需詳細資訊，請參閱：

• 建立 Microsoft Defender for Cloud Apps 存取原則
• 建立 Microsoft Defender for Cloud Apps會話原則

確認應用程式已設定為使用存取和會話控制項

此程式描述如何確認您的應用程式已設定為在 Defender for Cloud Apps 中使用存取和會話控件，並視需要設定這些設定。

注意事項

雖然您無法移除應用程式的會話控制設定，但除非您已為應用程式設定會話或存取原則，否則不會變更任何行為。

1. 在 [Microsoft Defender 全面偵測回應] 中，選取 > [設定雲端應用程式連線應用程式>>條件式存取應用程控應用程式]。

2. 在應用程式資料表中，搜尋您的應用程式，並檢查 IDP類型 資料行值。 確定您的 應用程式出現非 MS 驗證應用程式 和 工作階段控制 項。

相關內容

• 使用 Microsoft Defender for Cloud Apps 條件式存取應用程控來保護應用程式
• 使用非Microsoft識別提供者的自定義應用程式部署條件式存取應用程控
• 針對存取和會話控件進行疑難解答

如果您遇到任何問題，我們在這裡提供協助。 若要取得產品問題的協助或支援，請 開啟支援票證。