Nasazení řízení podmíněného přístupu aplikací pro aplikace katalogu pomocí Azure AD

Poznámka

  • Přejmenovali jsme Microsoft Cloud App Security. Teď se jí říká Microsoft Defender for Cloud Apps. V nadcházejících týdnech aktualizujeme snímky obrazovek a pokyny zde a na souvisejících stránkách. Další informace o změně najdete v tomto oznámení. Další informace o nedávném přejmenování služeb zabezpečení Společnosti Microsoft najdete na blogu Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps je teď součástí Microsoft 365 Defender. Portál Microsoft 365 Defender umožňuje správcům zabezpečení provádět své úlohy zabezpečení na jednom místě. To zjednoduší pracovní postupy a přidá funkce ostatních služeb Microsoft 365 Defender. Microsoft 365 Defender bude domovem pro monitorování a správu zabezpečení napříč identitami, daty, zařízeními, aplikacemi a infrastrukturou Microsoftu. Další informace o těchto změnách najdete v tématu Microsoft Defender for Cloud Apps v Microsoft 365 Defender.

Řízení přístupu a relací v Microsoft Defender for Cloud Apps pracovat s aplikacemi z katalogu cloudových aplikací a s vlastními aplikacemi. Seznam aplikací, které jsou předem zprovozněné a fungují, najdete v tématu Ochrana aplikací pomocí programu Defender for Cloud Apps – Podmíněné řízení přístupu k aplikacím.

Požadavky

  • Aby vaše organizace používala řízení podmíněného přístupu k aplikacím, musí mít následující licence:

  • Aplikace musí být nakonfigurované s jednotným přihlašováním.

  • Aplikace musí používat jeden z následujících ověřovacích protokolů:

    Přihlašovací Protokoly
    Azure AD SAML 2.0 nebo OpenID Connect
    Ostatní SAML 2.0

Nasazení aplikací katalogu

Podle následujících kroků nakonfigurujte aplikace katalogu tak, aby se ovládaly Microsoft Defender for Cloud Apps podmíněného přístupu k aplikacím.

Konfigurace integrace s Azure AD

Poznámka

Při konfiguraci aplikace s jednotným přihlašováním v Azure AD nebo jiných zprostředkovatelích identity je jedno pole, které může být uvedené jako volitelné, je nastavení přihlašovací adresy URL. Upozorňujeme, že toto pole může být vyžadováno pro fungování řízení podmíněného přístupu k aplikacím.

Pomocí následujícího postupu vytvořte Azure AD zásadu podmíněného přístupu, která směruje relace aplikací do Programu Defender for Cloud Apps. Další řešení zprostředkovatele identity najdete v tématu Konfigurace integrace s jinými řešeními zprostředkovatele identity.

  1. V Azure AD přejděte kpodmíněnému přístupuzabezpečení>.

  2. V podokně Podmíněný přístup na panelu nástrojů nahoře vyberte Nová zásada ->Vytvořit novou zásadu.

  3. V podokně Nový zadejte do textového pole Název název název zásady.

  4. V části Přiřazení vyberte Uživatele nebo identity úloh a přiřaďte uživatele a skupiny, které budou aplikaci připojovat (počáteční přihlášení a ověření).

  5. V části Přiřazení vyberte cloudové aplikace nebo akce a přiřaďte aplikace a akce, které chcete řídit pomocí řízení podmíněného přístupu k aplikacím.

  6. V části Řízení přístupu vyberte Relace, vyberte Použít řízení podmíněného přístupu aplikací a zvolte předdefinované zásady (jenom Monitorování (Preview) nebo Blokovat stahování (Preview)) nebo Použít vlastní zásady k nastavení rozšířených zásad v Programu Defender for Cloud Apps a pak vyberte Vybrat.

    Azure AD podmíněný přístup.

  7. Volitelně můžete podle potřeby přidat podmínky a udělit ovládací prvky.

  8. Nastavte povolit zásadu na Zapnuto a pak vyberte Vytvořit.

Poznámka

Než budete pokračovat, nezapomeňte se nejprve odhlásit z existujících relací.

Po vytvoření zásady se přihlaste ke každé aplikaci nakonfigurované v této zásadě. Ujistěte se, že se přihlašujete pomocí uživatele nakonfigurovaného v zásadách.

Defender for Cloud Apps synchronizuje podrobnosti o zásadách se svými servery pro každou novou aplikaci, ke které se přihlašujete. Může to trvat až jednu minutu.

Předchozí pokyny vám pomohly vytvořit předdefinované zásady Defenderu pro Cloud Apps pro aplikace katalogu přímo v Azure AD. V tomto kroku ověřte, že jsou pro tyto aplikace nakonfigurované ovládací prvky přístupu a relací.

  1. Na portálu Defender for Cloud Apps vyberte ikonu nastavení ozubeného kola. a pak vyberte Řízení podmíněného přístupu k aplikacím.

  2. V tabulce aplikací pro řízení podmíněného přístupu se podívejte na sloupec Dostupné ovládací prvky a ověřte, že se pro vaše aplikace zobrazí řízení přístupu nebo Azure AD podmíněný přístup a řízení relací.

    Poznámka

    Pokud aplikace není pro řízení relací povolená, můžete ji přidat tak, že vyberete Onboard s řízením relací a zaškrtnete možnost Použít tuto aplikaci s ovládacími prvky relace. Onboarding s ovládacím prvku relace

Jakmile budete připraveni aplikaci povolit pro použití v produkčním prostředí vaší organizace, proveďte následující kroky.

  1. V programu Defender for Cloud Apps vyberte ikonu nastavení ozubeného kola a pak vyberte Řízení podmíněného přístupu k aplikacím.

  2. V seznamu aplikací na řádku, ve kterém se aplikace, kterou nasazujete, zobrazí, zvolte tři tečky na konci řádku a pak zvolte Upravit aplikaci.

  3. Vyberte Použít aplikaci s ovládacími prvky relace a pak vyberte Uložit.

    Umožňuje upravit dialogové okno této aplikace.

  4. Nejprve se odhlaste od všech existujících relací. Pak se zkuste přihlásit ke každé aplikaci, která byla úspěšně nasazena. Přihlaste se pomocí uživatele, který odpovídá zásadám nakonfigurovaným v Azure AD, nebo pro aplikaci SAML nakonfigurovanou u vašeho zprostředkovatele identity.

  5. Na portálu Defender for Cloud Apps v části Prozkoumat vyberte protokol aktivit a ujistěte se, že jsou aktivity přihlášení zachycené pro každou aplikaci.

  6. Filtrování můžete filtrovat kliknutím na Upřesnit a následným filtrováním pomocí řízení přístupu se rovná zdroji.

    Filtrování pomocí podmíněného přístupu Azure AD

  7. Doporučujeme se přihlásit k mobilním a desktopovým aplikacím ze spravovaných a nespravovaných zařízení. Tím zajistíte, aby se aktivity správně zaznamenávaly v protokolu aktivit.
    Pokud chcete ověřit, že je aktivita správně zachycená, vyberte aktivitu přihlášení s jednotným přihlašováním, aby se otevřela zásuvka aktivity. Ujistěte se, že značka uživatelského agenta správně odráží, jestli je zařízení nativním klientem (to znamená mobilní nebo desktopová aplikace), nebo je spravované zařízení (kompatibilní, připojené k doméně nebo platný klientský certifikát).

Poznámka

Po nasazení nemůžete aplikaci odebrat ze stránky Řízení podmíněného přístupu k aplikacím. Pokud v aplikaci nenastavíte zásady relace ani přístupu, řízení podmíněného přístupu k aplikaci nezmění žádné chování aplikace.

Další kroky

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.