Nasazení řízení podmíněného přístupu k aplikacím katalogu s ID Microsoft Entra

Řízení přístupu a relací v Programu Microsoft Defender for Cloud Apps pracují s aplikacemi z katalogu cloudových aplikací a s vlastními aplikacemi. Seznam aplikací, které jsou předem nasazené a připravené, najdete v tématu Ochrana aplikací pomocí Defenderu for Cloud Apps pro řízení podmíněného přístupu k aplikacím.

Požadavky

• Abyste mohli používat řízení podmíněného přístupu k aplikacím, musí mít vaše organizace následující licence:

  • Microsoft Entra ID P1 nebo vyšší
  • Microsoft Defender for Cloud Apps

• Aplikace musí být nakonfigurované s jednotným přihlašováním.

• Aplikace musí používat jeden z následujících ověřovacích protokolů:

  Federační	Protokoly
  Microsoft Entra ID	SAML 2.0 nebo OpenID Připojení
  Jiný důvod	SAML 2.0

Konfigurace integrace Microsoft Entra ID

Poznámka:

Při konfiguraci aplikace s jednotným přihlašováním v Microsoft Entra ID nebo jiných zprostředkovatelů identity je jedno pole, které může být uvedeno jako volitelné, je nastavení přihlašovací adresy URL. Upozorňujeme, že toto pole může být nutné, aby řízení podmíněného přístupu aplikací fungovalo.

Pomocí následujícího postupu vytvořte zásadu podmíněného přístupu Microsoft Entra, která směruje relace aplikací do Defenderu for Cloud Apps. Další řešení zprostředkovatele identity najdete v tématu Konfigurace integrace s jinými řešeními zprostředkovatele identity.

1. V Microsoft Entra ID přejděte k podmíněnému přístupu zabezpečení>.

2. V podokně Podmíněný přístup na panelu nástrojů v horní části vyberte Nová zásada -> Vytvořit novou zásadu.

3. V podokně Nový zadejte do textového pole Název název zásady.

4. V části Přiřazení vyberte Uživatele nebo identity úloh a přiřaďte uživatele a skupiny, které budou aplikaci připojovat (počáteční přihlášení a ověření).

5. V části Přiřazení vyberte Cloudové aplikace nebo akce a přiřaďte aplikace a akce, které chcete řídit pomocí řízení podmíněného přístupu k aplikacím.

6. V části Řízení přístupu vyberte Možnost Relace, vyberte Použít řízení podmíněného přístupu aplikace a zvolte předdefinované zásady (jenom monitorování (Preview) nebo Blokovat stahování (Preview)) nebo Použití vlastních zásad k nastavení rozšířených zásad v Programu Defender for Cloud Apps a pak vyberte Vybrat.

   

7. Volitelně můžete podle potřeby přidat podmínky a udělit ovládací prvky.

8. Nastavte možnost Povolit zásadu na Zapnuto a pak vyberte Vytvořit.

Poznámka:

Než budete pokračovat, nezapomeňte se nejprve odhlásit z existujících relací.

Po vytvoření zásady se přihlaste ke každé aplikaci nakonfigurované v této zásadě. Ujistěte se, že se přihlašujete pomocí uživatele nakonfigurovaného v zásadách.

Defender for Cloud Apps synchronizuje podrobnosti o zásadách se svými servery pro každou novou aplikaci, ke které se přihlašujete. To může trvat až jednu minutu.

Ověřte, že jsou nakonfigurované řízení přístupu a relací.

Předchozí pokyny vám pomohly vytvořit předdefinované zásady Defenderu for Cloud Apps pro aplikace katalogu přímo v Microsoft Entra ID. V tomto kroku ověřte, že jsou pro tyto aplikace nakonfigurované řízení přístupu a relací.

1. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps.

2. V části Připojení ed apps (Aplikace s podmíněným přístupem) vyberte aplikace pro řízení aplikací podmíněného přístupu. Podívejte se na sloupec Dostupné ovládací prvky a ověřte, že se pro vaše aplikace zobrazí řízení přístupu i podmíněný přístup Azure AD a řízení relací.

   Pokud aplikace není povolená pro řízení relace, přidejte ji tak, že vyberete onboarding s ovládacím prvku relace a zkontrolujete použití této aplikace s ovládacími prvky relace. Příklad:

   

Povolení použití aplikace v produkčním prostředí

Až budete připraveni, tento postup popisuje, jak povolit aplikaci pro použití v produkčním prostředí vaší organizace.

1. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps.

2. V části Připojení ed apps (Aplikace s podmíněným přístupem) vyberte aplikace pro řízení aplikací podmíněného přístupu. V seznamu aplikací na řádku, ve kterém se aplikace, kterou nasazujete, zobrazí, zvolte tři tečky na konci řádku a pak zvolte Upravit aplikaci.

3. Vyberte Povolit aplikaci pro práci s ovládacími prvky relace a pak vyberte Uložit. Příklad:

   

4. Nejprve se odhlaste z existujících relací. Pak se zkuste přihlásit ke každé aplikaci, která byla úspěšně nasazena. Přihlaste se pomocí uživatele, který odpovídá zásadám nakonfigurovaným v Microsoft Entra ID, nebo pro aplikaci SAML nakonfigurovanou s vaším zprostředkovatelem identity.

5. Na portálu Microsoft Defender v části Cloud Apps vyberte protokol aktivit a ujistěte se, že se pro každou aplikaci zaznamenávají aktivity přihlášení.

6. Můžete filtrovat výběrem možnosti Upřesnit a následným filtrováním pomocí ovládacího prvku Řízení přístupu se rovná zdroji. Příklad:

   

7. Doporučujeme přihlásit se k mobilním a desktopovým aplikacím ze spravovaných a nespravovaných zařízení. Tím zajistíte, aby se aktivity správně zaznamenávaly v protokolu aktivit.

   Pokud chcete ověřit, že je aktivita správně zachycená, vyberte aktivitu jednotného přihlašování, aby se otevřela zásuvka aktivity. Ujistěte se , že značka uživatelského agenta správně odráží, jestli je zařízení nativním klientem (to znamená mobilní nebo desktopová aplikace), nebo je spravované zařízení (kompatibilní, připojené k doméně nebo platný klientský certifikát).

Poznámka:

Po nasazení nemůžete aplikaci odebrat ze stránky Řízení podmíněného přístupu k aplikacím. Pokud v aplikaci nenastavíte zásady relace ani přístupu, nebude řízení podmíněného přístupu u aplikace měnit žádné chování aplikace.

Další kroky

« PŘEDCHOZÍ: Úvod do řízení podmíněného přístupu aplikace

DALŠÍ: Nasazení řízení podmíněného přístupu aplikace pro libovolnou aplikaci »

Řešení potíží s řízením přístupu a relací

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.